病毒名称:BitDefender:Trojan.Generic.556014
Kaspersky:Trojan.Win32.Vaklik.cpz
NOD32v2:probably a variant of Win32/Genetik
Rising:Trojan.DL.Win32.Undef.arh
VT扫描时间:09.29.2008 19:40:52 (CET)
EQS Lab编号:080930107
EQS Lab地址: [url]http://hi.baidu.com/eqsyssecurity[/url]
病毒大小:41.0 KB (42,069 字节)
MD5码:64A08C3E6C6FC912E529F9D727187466
病毒类型: 特洛伊***
主要传播方式: 网络
测试平台: WinXP SP3系统 (默认Shell为BBlean) EQSecurity(HIPS) 实机
危害程度:★★★☆☆
病毒行为:
运行后调用net1.exe 启动sharedaccess服务
释放exe 并调用 hash一致
自删除
调用net1.exe
隐藏自身
修改userinit启动项
发消息关闭防火墙
向系统目录创建exe
修改userinit启动项
发消息关闭防火墙
HIPS防范对策:
阻止陌生程序向系统目录创建exe
阻止陌生程序修改userinit启动项
阻止陌生程序发消息关闭防火墙
阻止陌生程序修改userinit启动项
阻止陌生程序联网
Kaspersky:Trojan.Win32.Vaklik.cpz
NOD32v2:probably a variant of Win32/Genetik
Rising:Trojan.DL.Win32.Undef.arh
VT扫描时间:09.29.2008 19:40:52 (CET)
EQS Lab编号:080930107
EQS Lab地址: [url]http://hi.baidu.com/eqsyssecurity[/url]
病毒大小:41.0 KB (42,069 字节)
MD5码:64A08C3E6C6FC912E529F9D727187466
病毒类型: 特洛伊***
主要传播方式: 网络
测试平台: WinXP SP3系统 (默认Shell为BBlean) EQSecurity(HIPS) 实机
危害程度:★★★☆☆
病毒行为:
运行后调用net1.exe 启动sharedaccess服务
2008-09-30 20:27:02 运行应用程序
进程路径:F:\Once\13\13.exe
文件路径:C:\WINDOWS\system32\net1.exe
命令行:start sharedaccess
触发规则:所有程序规则->系统工具->%windir%\system32\net1.exe
2008-09-30 20:27:07 创建文件
进程路径:F:\Once\13\13.exe
文件路径:C:\windows\system32\dllcache\wgaitrey.exe
触发规则:所有程序规则->文件阻止及保护->?:\*.exe
2008-09-30 20:28:11 运行应用程序
进程路径:F:\Once\13\13.exe
文件路径:C:\WINDOWS\system32\dllcache\wgaitrey.exe
触发规则:所有程序规则->阻止运行->%windir%\*
2008-09-30 20:27:11 运行应用程序
进程路径:F:\Once\13\13.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c del F:\Once\13\13.exe > nul
触发规则:高优先规则->In Side->%windir%\system32\cmd.exe
2008-09-30 20:28:47 运行应用程序
进程路径:C:\WINDOWS\system32\dllcache\wgaitrey.exe
文件路径:C:\WINDOWS\system32\net1.exe
命令行:start sharedaccess
触发规则:所有程序规则->系统工具->%windir%\system32\net1.exe
2008-09-30 20:28:48 修改文件
进程路径:C:\WINDOWS\system32\dllcache\wgaitrey.exe
文件路径:(隐藏文件)C:\WINDOWS\system32\dllcache\wgaitrey.exe
触发规则:所有程序规则->文件阻止及保护->?:\*.exe
2008-09-30 20:28:53 修改注册表内容
进程路径:C:\WINDOWS\system32\dllcache\wgaitrey.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
注册表名称:Userinit
更改后:C:\windows\system32\userinit.exe,C:\windows\system32\dllcache\wgaitrey.exe,
更改前:C:\WINDOWS\system32\userinit.exe,
触发规则:所有程序规则->自动运行->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
2008-09-30 20:29:00 进程间消息操作
进程路径:C:\WINDOWS\system32\dllcache\wgaitrey.exe
目标进程:C:\Program Files\FengYun\FYFireWall.exe
消息类型:WM_QUIT
触发规则:所有程序规则->进程保护->C:\Program Files\FengYun\FYFireWall.exe
联网行为:
关键行为:
![](https://i-blog.csdnimg.cn/blog_migrate/da9b16f4d9d82802fb36fd4715933d87.gif)
向系统目录创建exe
修改userinit启动项
发消息关闭防火墙
HIPS防范对策:
阻止陌生程序向系统目录创建exe
阻止陌生程序修改userinit启动项
阻止陌生程序发消息关闭防火墙
阻止陌生程序修改userinit启动项
阻止陌生程序联网
转载于:https://blog.51cto.com/qinyan/103005