病毒名称:BitDefender:-
Kaspersky:Trojan-Downloader.Win32.Agent.ahpi
NOD32v2:a variant of Win32/TrojanDownloader.Agent.UGC
Rising:Trojan.Win32.Undef.dvo
VT扫描时间:09.29.2008 09:01:15 (CET)
EQS Lab编号:080930105
EQS Lab地址: [url]http://hi.baidu.com/eqsyssecurity[/url]
病毒大小:28.0 KB (28,672 字节)
MD5码:A3365D8C3164725CAF0F179448D682FC
病毒类型: 特洛伊***
主要传播方式: 网络
测试平台: WinXP SP3系统 (默认Shell为BBlean) EQSecurity(HIPS) 实机
危害程度:★★★★☆
病毒行为:
运行后联网下载向系统目录创建随机名exe 并隐藏
=============
单独运行下载物 行为一致 这里只取13XHDGZ9.exe运行日志
运行后释放随机名exe hash一致
向启动菜单创建bat 及快捷方式
BAT内容
联网下载 向系统目录创建随机名exe 并调用
运行后即开始修改除系统盘外的exe文件
联网行为:
主体
下载物均链接同一地址
关键行为:
向系统目录创建exe
全盘修改exe
删除安全模式注册表
HIPS防范对策:
阻止陌生程序向系统目录创建exe
阻止陌生程序联网
全盘保护修改exe
阻止删除安全模式注册表
Kaspersky:Trojan-Downloader.Win32.Agent.ahpi
NOD32v2:a variant of Win32/TrojanDownloader.Agent.UGC
Rising:Trojan.Win32.Undef.dvo
VT扫描时间:09.29.2008 09:01:15 (CET)
EQS Lab编号:080930105
EQS Lab地址: [url]http://hi.baidu.com/eqsyssecurity[/url]
病毒大小:28.0 KB (28,672 字节)
MD5码:A3365D8C3164725CAF0F179448D682FC
病毒类型: 特洛伊***
主要传播方式: 网络
测试平台: WinXP SP3系统 (默认Shell为BBlean) EQSecurity(HIPS) 实机
危害程度:★★★★☆
病毒行为:
运行后联网下载向系统目录创建随机名exe 并隐藏
2008-09-30 15:32:55 创建文件
进程路径:F:\Once\9\9.exe
文件路径:C:\windows\13XHDGZ9.exe
触发规则:所有程序规则->文件阻止及保护->?:\*.exe
2008-09-30 15:33:27 修改文件
进程路径:C:\WINDOWS\13XHDGZ9.exe
文件路径:(隐藏文件)C:\WINDOWS\13XHDGZ9.exe
触发规则:所有程序规则->文件阻止及保护->?:\*.exe
2008-09-30 15:34:07 创建文件
进程路径:F:\Once\9\9.exe
文件路径:C:\windows\DE3HWUPE0D.exe
触发规则:所有程序规则->文件阻止及保护->?:\*.exe
2008-09-30 15:34:37 修改文件
进程路径:C:\WINDOWS\DE3HWUPE0D.exe
文件路径:(隐藏文件)C:\WINDOWS\DE3HWUPE0D.exe
触发规则:所有程序规则->文件阻止及保护->?:\*.exe
2008-09-30 15:35:00 创建文件
进程路径:F:\Once\9\9.exe
文件路径:C:\windows\YFZZAMFK.exe
触发规则:所有程序规则->文件阻止及保护->?:\*.exe
单独运行下载物 行为一致 这里只取13XHDGZ9.exe运行日志
运行后释放随机名exe hash一致
2008-09-30 15:37:03 创建文件
进程路径:C:\WINDOWS\13XHDGZ9.exe
文件路径:C:\windows\HWPTS.exe
触发规则:所有程序规则->文件阻止及保护->?:\*.exe
2008-09-30 15:37:21 创建文件
进程路径:C:\WINDOWS\13XHDGZ9.exe
文件路径:C:\Documents and Settings\All Users\「开始」菜单\程序\启动\V83HI3X8.BAT
触发规则:所有程序规则->Documents and Settings->?:\Documents and Settings\*.bat
U8528K413ONSUDA65A开的在销真键收从提排售牌置示讯里务示市机磁创询可大因查服赚业培不次注营量纷在最IAD26UJRS4NVD4FSU2VH4期务定索了新后时视给于刚机场广员的性业这并心广间量排产键5XIZQO78
sc.exe create D6NM9TI2UK BinPath= "C:\windows\D6NM9TI2UK.exe -G49P70" type= own type= interact start= auto DisplayName= 94ELN
sc.exe description D6NM9TI2UK 得在广实位营定洞的新自销获尖的利每庞提后心竞根业留事据企最余关待金与量的方擎品
reg.exe delete HKLM\Software\Microsoft\Windows\CurrentVersion\Run /F
reg.exe delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /F
reg.exe delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /F
reg.exe delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /F
reg.exe delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /F
sc.exe create O7ZWQSYWXS BinPath= "C:\windows\system32\O7ZWQSYWXS.exe -HUMNXGPS" type= own type= interact start= auto DisplayName= WOCQEQ0WW5
sc.exe description O7ZWQSYWXS 人服业提易定到实业于性果业育排瑞跳关过备在据销投广世产场培易来时证速区给捉的球
del %0
del %0
exit
2008-09-30 15:37:21 创建文件
进程路径:C:\WINDOWS\13XHDGZ9.exe
文件路径:C:\windows\Q9UTT.exe
触发规则:所有程序规则->文件阻止及保护->?:\*.exe
2008-09-30 15:37:30 运行应用程序
进程路径:C:\WINDOWS\13XHDGZ9.exe
文件路径:C:\WINDOWS\Q9UTT.exe
命令行:wb
触发规则:所有程序规则->阻止运行->%windir%\*
2008-09-30 15:37:47 修改文件
进程路径:C:\WINDOWS\Q9UTT.exe
文件路径:D:\Backup\Soft\USB\ManagerSetupV4.03.exe
触发规则:所有程序规则->文件阻止及保护->?:\*.exe
2008-09-30 15:37:47 修改文件
进程路径:C:\WINDOWS\Q9UTT.exe
文件路径:D:\Backup\Soft\WPS2007.12012.exe
触发规则:所有程序规则->文件阻止及保护->?:\*.exe
主体
下载物均链接同一地址
关键行为:
向系统目录创建exe
全盘修改exe
删除安全模式注册表
HIPS防范对策:
阻止陌生程序向系统目录创建exe
阻止陌生程序联网
全盘保护修改exe
阻止删除安全模式注册表
转载于:https://blog.51cto.com/qinyan/103007