Gamarue僵尸网络

Gamarue僵尸网络

1、病毒简介

Gamarue病毒是一种通过移动设备传播的蠕虫病毒，病毒运行后创建进程“wuauclt.exe”，将进程的内存镜像替换成病毒镜像，然后执行病毒代码。修改注册表，实现开机自启动。病毒会将自身写入至系统目录，临时文件夹中也会存在随机文件名的病毒主体。

当U盘、移动硬盘等移动存储设备插入时被立刻感染，U盘内的所有文件被转移到一个隐藏文件夹中。染毒U盘中会出现一个thumbs.db文件，其本体是加密后的PE文件“TrustedInstaller.exe”，程序会把这个文件解密后执行这个文件，打开真正的病毒程序。

2、病毒危害

该病毒运行后会感染U盘、移动硬盘等移动存储设备，后台连接大量黑客指定网址，向黑客上传电脑硬盘中的敏感信息，并下载更多病毒。用户电脑一旦中毒，将面临隐私信息泄露、重要资料丢失等风险

3、终端验证

1、创建文件

C:/Documents and Settings/All Users/Documents/目录或

C:/Local Settings/All Users/Local Settings目录下会生成一个Thumbs.db的数据库文件

2、病毒进程

样本使用了内存映像替换技术，创建进程“wuauclt.exe”后将进程的内存镜像替换成病毒镜像，然后执行病毒代码，即此时wuauclt.exe进程不是真正的wuauclt.exe进程了

3、注册表信息

在HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run以实现开机自启动

4、移动设备

染毒U盘中出现一个以U盘卷标+容量命名的快捷方式，原U盘所有文件被转移到一个隐藏文件夹中。U盘中创建了下面几个文件：

desktop.ini

WNCLNLOKOKU.nil

desktop.ini

Thumbs.db

U盘名称 (XGB).lnk  

5、网络行为

中毒后的主机会尝试连接黑客控制的服务器，通过wireshark抓包，我们可以发现相关dns解析请求

使用微步在线查询，改地址指向了Gamarue域名

4、查杀处理

1、使用EDR在感染病毒的电脑上进行全盘扫描查杀，查杀结束后重启计算机，并检查重启后是否有其他新的文件或进程生成。

2、移动设备同样可以使用杀毒软件全盘查杀，如果设备上的内容存有其他备份，建议格式化以保证完全清除病毒。常见的杀毒工具很多，这里推荐下火绒的：http://www.huorong.cn/