病毒名称:BitDefender:Dropped:Win32.Vimes.A
            Kaspersky:Backdoor.Win32.Ceckno.xd
            NOD32v2:Win32/Barime.A
            Rising:Win32.KLdown.g
VT扫描时间:09.29.2008 19:44:59 (CET)
EQS Lab编号:080930108
EQS Lab地址: [url]http://hi.baidu.com/eqsyssecurity[/url]
病毒大小:24.5 KB (25,088 字节)
MD5码:03BAF6CCC37A02FA3A207B32A06ECCC3
病毒类型: 特洛伊***
主要传播方式: 网络
测试平台: WinXP SP3系统 (默认Shell为BBlean)    EQSecurity(HIPS) 实机
危害程度:★★★☆☆

病毒行为:

运行后向系统目录释放exe并隐藏
2008-09-30 20:32:06 创建文件   
进程路径:F:\Once\14\14.exe
文件路径:C:\windows\system32\kab12.exe
触发规则:所有程序规则->文件阻止及保护->?:\*.exe

2008-09-30 20:32:35 修改文件   
进程路径:F:\Once\14\14.exe
文件路径:(隐藏文件)C:\WINDOWS\system32\kab12.exe
触发规则:所有程序规则->文件阻止及保护->?:\*.exe
调用
2008-09-30 20:32:48 运行应用程序   
进程路径:F:\Once\14\14.exe
文件路径:C:\WINDOWS\system32\kab12.exe
触发规则:所有程序规则->阻止运行->%windir%\*
释放DLL   并加载
2008-09-30 20:32:48 创建文件   
进程路径:C:\WINDOWS\system32\kab12.exe
文件路径:C:\windows\system32\kab12.dll
触发规则:所有程序规则->文件阻止及保护->?:\*.dll

2008-09-30 20:33:01 加载库文件   
进程路径:C:\WINDOWS\system32\kab12.exe
文件路径:C:\WINDOWS\system32\kab12.dll
触发规则:所有程序规则->*
SCM加载驱动
2008-09-30 20:33:04 访问服务管理器   
进程路径:C:\WINDOWS\system32\kab12.exe
触发规则:所有程序规则->*

2008-09-30 20:33:06 加载驱动程序   
进程路径:C:\WINDOWS\system32\services.exe
驱动路径:C:\windows\system32\drivers\Cdaudio.sys
触发规则:所有程序规则->阻止运行->%windir%\*
创建启动项
2008-09-30 20:33:06 创建注册表值   
进程路径:C:\WINDOWS\system32\kab12.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
注册表名称:[Key]
触发规则:所有程序规则->系统设置->*\Software\Microsoft\Windows\Currentversion\Policies*
联网行为:




关键行为:

向系统目录创建exe   dll

SCM加载驱动

HIPS防范对策:


阻止陌生程序向系统目录创建exe   dll

阻止陌生程序SCM加载驱动

阻止陌生程序创建启动项