from:http://hi.baidu.com/eqsyssecurit ... 3c58118b82a10f.htmlsrhd
srhd
病毒名称:AntiVir : TR/Dropper.Gen srhd
AVG :Clicker.OWAsrhd
Kaspersky :- srhd
NOD32v2: a variant of Win32/TrojanClicker.Agent.NDJsrhd
Rising :- srhd
VT查杀率:25/35 (71.43%)srhd
VT扫描时间:2008.08.10 07:47:09 (CET)srhd
srhd
EQS Lab编号:080810021srhd
病毒大小:26.5 KB (27,224 字节)srhd
MD5码: A29CEAE00FFD2B2C51BBA6C362C4F63Fsrhd
病毒类型: 木马程序srhd
主要传播方式: 网络 srhd
测试平台: WinXP SP3系统 (默认Shell为BBlean) EQSecurity(HIPS) 实机 srhd
危害程度:高srhd
srhd
srhd
病毒行为:srhd
srhd
运行后会在windows目录生成MayaGirl目录 srhd
2008-08-10 13:49:04 创建文件 srhd
进程路径:F:\Once\lo\lo.exesrhd
文件路径:C:\windows\MayaGirlsrhd
触发规则:所有程序规则->Block Rule->C:\WINDOWS\*srhd
srhd
srhd
srhd
创建病毒文件 srhd
2008-08-10 13:49:04 创建文件 srhd
进程路径:F:\Once\lo\lo.exesrhd
文件路径:C:\windows\MayaGirl\MayaGirlDll.datsrhd
触发规则:所有程序规则->Block Rule->C:\WINDOWS\*srhd
srhd
2008-08-10 13:49:04 创建文件 srhd
进程路径:F:\Once\lo\lo.exesrhd
文件路径:C:\windows\MayaGirl\MayaGirlSYS.datsrhd
触发规则:所有程序规则->Block Rule->C:\WINDOWS\*srhd
srhd
srhd
srhd
停止beep服务 srhd
2008-08-10 13:49:18 运行应用程序 srhd
进程路径:F:\Once\lo\lo.exesrhd
文件路径:C:\windows\system32\NET.exesrhd
命令行:STOP Beepsrhd
触发规则:所有程序规则->System Tool->%windir%\system32\net.exesrhd
srhd
srhd
srhd
修改beep.sys srhd
2008-08-10 13:50:46 修改文件 srhd
进程路径:F:\Once\lo\lo.exesrhd
文件路径:C:\windows\system32\Drivers\beep.syssrhd
触发规则:应用程序规则->Important File->*->%windir%\system32\Drivers\Beep.syssrhd
srhd
srhd
srhd
重新启用beep服务 srhd
2008-08-10 13:50:54 运行应用程序 srhd
进程路径:F:\Once\lo\lo.exesrhd
文件路径:C:\windows\system32\NET.exesrhd
命令行:START Beepsrhd
触发规则:所有程序规则->System Tool->%windir%\system32\net.exesrhd
srhd
srhd
srhd
创建病毒文件 srhd
2008-08-10 13:51:03 创建文件 srhd
进程路径:F:\Once\lo\lo.exesrhd
文件路径:C:\windows\MayaGirl\gaga.batsrhd
触发规则:所有程序规则->File Rule->?:\*.batsrhd
srhd
srhd
srhd
删除病毒文件 srhd
2008-08-10 13:53:40 删除文件 srhd
进程路径:F:\Once\lo\lo.exesrhd
文件路径:C:\WINDOWS\MayaGirl\gaga.batsrhd
触发规则:所有程序规则->File Rule->?:\*.batsrhd
srhd
srhd
srhd
创建病毒文件 hash与gaga.bat一致 srhd
2008-08-10 13:51:54 创建文件 srhd
进程路径:F:\Once\lo\lo.exesrhd
文件路径:C:\windows\MayaGirl\MayaGirlMain.exesrhd
触发规则:所有程序规则->File Rule->?:\*.exesrhd
srhd
srhd
srhd
SCM 安装服务 srhd
2008-08-10 13:53:47 访问服务管理器 srhd
进程路径:F:\Once\lo\lo.exesrhd
触发规则:所有程序规则->*srhd
srhd
2008-08-10 13:53:51 安装服务或者驱动 srhd
进程路径:C:\windows\system32\services.exesrhd
文件路径:C:\windows\MayaGirl\MayaGirlMain.exesrhd
触发规则:所有程序规则->Block APP Run->%windir%\*srhd
srhd
2008-08-10 13:53:51 创建注册表值 srhd
进程路径:C:\windows\system32\services.exesrhd
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Servicessrhd
注册表名称:ImagePathsrhd
触发规则:所有程序规则->Service->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\*srhd
srhd
srhd
srhd
创建bat srhd
2008-08-10 13:54:01 创建文件 srhd
进程路径:F:\Once\lo\lo.exesrhd
文件路径:C:\windows\system32\me.batsrhd
触发规则:所有程序规则->File Rule->?:\*.batsrhd
srhd
srhd
bat 内容 srhd
@ech0 offsrhd
attrib -h -s -r -a %0srhd
sleep 2000srhd
del "F:\Once\lo\lo.exe"srhd
del %0srhd
srhd
srhd
srhd
srhd
关键行为:srhd
srhd
向windows目录创建文件srhd
srhd
修改beep.syssrhd
srhd
安装服务srhd
srhd
srhd
HIPS防范对策:srhd
srhd
阻止陌生程序向windows目录创建文件srhd
srhd
阻止陌生程序修改beep.syssrhd
srhd
阻止陌生程序通过访问服务管理器安装服务srhd
srhd
阻止陌生程序向system32目录创建bat |
