安天最近捕获利用微软当前危害最严重的MS08-067漏洞制作的病毒——吉米（Trojan-Spy.Win32.Gimmiv.a），该病毒兼有木马和间谍软件的特性，能够偷取用户敏感信息，并发送到相应网站，希望广大用户及时升级自己的安全软件，以防止隐私泄露。

据安天应急小组介绍，该病毒运行后会创建批处理文件scm.bat来删除自身，然后在windows系统目录下的wbem目录中生成sysmgr.dll病毒文件。修改注册表，以系统“服务”的方式随机自启动，将自身注入到系统进程svchost.exe中以躲避用户的查看，并收集用户的反病毒软件安装信息、系统信息和敏感信息，发送到病毒作者建立的网站。

普通用户可以安装并升级安全软件来清除和拦截该病毒，没有安装安全软件的用户可以根据以下病毒分析报告来检查系统是否已中毒，专业用户还可以根据以下报告手工清除该病毒。

附录：

·病毒标签

病毒名称：Trojan-Spy.Win32.Gimmiv.a

病毒原名：n2.exe

病毒类型：木马间谍类

文件 MD5：d65df633dc2700d521ae4dff8c393bff

公开范围：完全公开

危害等级：★★★

文件长度：417,792 字节

感染系统：Windows98以上版本

·病毒描述

该病毒为木马类，属间谍软件。病毒运行后衍生病毒文件sysmgr.dll到系统目录%system%\wbem，修改注册表，创建服务，以达到随机启动的目的，通过cmd.exe调用net stop停止自身服务，创建并调用批处理文件scm.bat删除自身。病毒衍生文件sysmgr.dll注入到系统进程svchost.exe中，初始化后读取并解析程序尾部相关配置，如不成功则结束，成功则会依次检测并记录系统中是否存在指定的反病毒软件，依次检测并记录当前系统版本信息，采集系统信息及用户敏感信息后，会将以上收集到的信息发送到特定的网站。

·本地行为分析

1、文件运行后会释放以下文件

%system%\wbem\sysmgr.dll

2、新增注册表

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysmgr\Parameters]

注册表值：" ServiceDll "

类型：REG_EXPAND_SZ

值："C:\WINDOWS\system32\wbem\sysmgr.dll"

描述：该文件路径为服务调用路径，可通过此服务达到随机启动的目的。

3、创建服务，以达到随机启动的目的：

服务名称：sysmgr

显示名称：System Maintenance Service

可执行文件的路径：C:\WINDOWS\System32\svchost.exe -k sysmgr

启动类型：自动