from:http://hi.baidu.com/eqsyssecurit ... 3c58118b82a10f.htmlzsflrkvyc
zsflrkvyc
病毒名称:AntiVir : TR/Dropper.Gen zsflrkvyc
AVG :Clicker.OWAzsflrkvyc
Kaspersky :- zsflrkvyc
NOD32v2: a variant of Win32/TrojanClicker.Agent.NDJzsflrkvyc
Rising :- zsflrkvyc
VT查杀率:25/35 (71.43%)zsflrkvyc
VT扫描时间:2008.08.10 07:47:09 (CET)zsflrkvyc
zsflrkvyc
EQS Lab编号:080810021zsflrkvyc
病毒大小:26.5 KB (27,224 字节)zsflrkvyc
MD5码: A29CEAE00FFD2B2C51BBA6C362C4F63Fzsflrkvyc
病毒类型: 木马程序zsflrkvyc
主要传播方式: 网络 zsflrkvyc
测试平台: WinXP SP3系统 (默认Shell为BBlean) EQSecurity(HIPS) 实机 zsflrkvyc
危害程度:高zsflrkvyc
zsflrkvyc
zsflrkvyc
病毒行为:zsflrkvyc
zsflrkvyc
运行后会在windows目录生成MayaGirl目录 zsflrkvyc
2008-08-10 13:49:04 创建文件 zsflrkvyc
进程路径:F:\Once\lo\lo.exezsflrkvyc
文件路径:C:\windows\MayaGirlzsflrkvyc
触发规则:所有程序规则->Block Rule->C:\WINDOWS\*zsflrkvyc
zsflrkvyc
zsflrkvyc
zsflrkvyc
创建病毒文件 zsflrkvyc
2008-08-10 13:49:04 创建文件 zsflrkvyc
进程路径:F:\Once\lo\lo.exezsflrkvyc
文件路径:C:\windows\MayaGirl\MayaGirlDll.datzsflrkvyc
触发规则:所有程序规则->Block Rule->C:\WINDOWS\*zsflrkvyc
zsflrkvyc
2008-08-10 13:49:04 创建文件 zsflrkvyc
进程路径:F:\Once\lo\lo.exezsflrkvyc
文件路径:C:\windows\MayaGirl\MayaGirlSYS.datzsflrkvyc
触发规则:所有程序规则->Block Rule->C:\WINDOWS\*zsflrkvyc
zsflrkvyc
zsflrkvyc
zsflrkvyc
停止beep服务 zsflrkvyc
2008-08-10 13:49:18 运行应用程序 zsflrkvyc
进程路径:F:\Once\lo\lo.exezsflrkvyc
文件路径:C:\windows\system32\NET.exezsflrkvyc
命令行:STOP Beepzsflrkvyc
触发规则:所有程序规则->System Tool->%windir%\system32\net.exezsflrkvyc
zsflrkvyc
zsflrkvyc
zsflrkvyc
修改beep.sys zsflrkvyc
2008-08-10 13:50:46 修改文件 zsflrkvyc
进程路径:F:\Once\lo\lo.exezsflrkvyc
文件路径:C:\windows\system32\Drivers\beep.syszsflrkvyc
触发规则:应用程序规则->Important File->*->%windir%\system32\Drivers\Beep.syszsflrkvyc
zsflrkvyc
zsflrkvyc
zsflrkvyc
重新启用beep服务 zsflrkvyc
2008-08-10 13:50:54 运行应用程序 zsflrkvyc
进程路径:F:\Once\lo\lo.exezsflrkvyc
文件路径:C:\windows\system32\NET.exezsflrkvyc
命令行:START Beepzsflrkvyc
触发规则:所有程序规则->System Tool->%windir%\system32\net.exezsflrkvyc
zsflrkvyc
zsflrkvyc
zsflrkvyc
创建病毒文件 zsflrkvyc
2008-08-10 13:51:03 创建文件 zsflrkvyc
进程路径:F:\Once\lo\lo.exezsflrkvyc
文件路径:C:\windows\MayaGirl\gaga.batzsflrkvyc
触发规则:所有程序规则->File Rule->?:\*.batzsflrkvyc
zsflrkvyc
zsflrkvyc
zsflrkvyc
删除病毒文件 zsflrkvyc
2008-08-10 13:53:40 删除文件 zsflrkvyc
进程路径:F:\Once\lo\lo.exezsflrkvyc
文件路径:C:\WINDOWS\MayaGirl\gaga.batzsflrkvyc
触发规则:所有程序规则->File Rule->?:\*.batzsflrkvyc
zsflrkvyc
zsflrkvyc
zsflrkvyc
创建病毒文件 hash与gaga.bat一致 zsflrkvyc
2008-08-10 13:51:54 创建文件 zsflrkvyc
进程路径:F:\Once\lo\lo.exezsflrkvyc
文件路径:C:\windows\MayaGirl\MayaGirlMain.exezsflrkvyc
触发规则:所有程序规则->File Rule->?:\*.exezsflrkvyc
zsflrkvyc
zsflrkvyc
zsflrkvyc
SCM 安装服务 zsflrkvyc
2008-08-10 13:53:47 访问服务管理器 zsflrkvyc
进程路径:F:\Once\lo\lo.exezsflrkvyc
触发规则:所有程序规则->*zsflrkvyc
zsflrkvyc
2008-08-10 13:53:51 安装服务或者驱动 zsflrkvyc
进程路径:C:\windows\system32\services.exezsflrkvyc
文件路径:C:\windows\MayaGirl\MayaGirlMain.exezsflrkvyc
触发规则:所有程序规则->Block APP Run->%windir%\*zsflrkvyc
zsflrkvyc
2008-08-10 13:53:51 创建注册表值 zsflrkvyc
进程路径:C:\windows\system32\services.exezsflrkvyc
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Serviceszsflrkvyc
注册表名称:ImagePathzsflrkvyc
触发规则:所有程序规则->Service->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\*zsflrkvyc
zsflrkvyc
zsflrkvyc
zsflrkvyc
创建bat zsflrkvyc
2008-08-10 13:54:01 创建文件 zsflrkvyc
进程路径:F:\Once\lo\lo.exezsflrkvyc
文件路径:C:\windows\system32\me.batzsflrkvyc
触发规则:所有程序规则->File Rule->?:\*.batzsflrkvyc
zsflrkvyc
zsflrkvyc
bat 内容 zsflrkvyc
@ech0 offzsflrkvyc
attrib -h -s -r -a %0zsflrkvyc
sleep 2000zsflrkvyc
del "F:\Once\lo\lo.exe"zsflrkvyc
del %0zsflrkvyc
zsflrkvyc
zsflrkvyc
zsflrkvyc
zsflrkvyc
关键行为:zsflrkvyc
zsflrkvyc
向windows目录创建文件zsflrkvyc
zsflrkvyc
修改beep.syszsflrkvyc
zsflrkvyc
安装服务zsflrkvyc
zsflrkvyc
zsflrkvyc
HIPS防范对策:zsflrkvyc
zsflrkvyc
阻止陌生程序向windows目录创建文件zsflrkvyc
zsflrkvyc
阻止陌生程序修改beep.syszsflrkvyc
zsflrkvyc
阻止陌生程序通过访问服务管理器安装服务zsflrkvyc
zsflrkvyc
阻止陌生程序向system32目录创建bat |
