论坛帖子内容              Thread Content
行为分析 TR/Dldr.Delphi.Gen
作者 depressedboy   查看 278   发表时间 2008/8/10 21:08  【论坛浏览】
病毒名称:AntiVir : TR/Dldr.Delphi.Gen srvulu
AVG :- srvulu
Kaspersky :- srvulu
NOD32v2: probably unknown NewHeur_PE virus srvulu
Rising :Backdoor.Win32.Gpigeon.bqq srvulu
VT查杀率:14/36 (38.89%)srvulu
srvulu
EQS Lab编号:080809020srvulu
病毒大小: 324 KB (332,288 字节)srvulu
MD5码: 3D7689A0A32165F8DD067A1C95B2A693srvulu
病毒类型: 木马程序srvulu
主要传播方式: 网络 srvulu
测试平台: WinXP SP3系统 (默认Shell为BBlean) EQSecurity(HIPS) 实机 srvulu
危害程度:srvulu
srvulu
srvulu
病毒行为:srvulu
srvulu
运行后调用IE
srvulu
2008-08-09 20:42:02 运行应用程序 操作:允许srvulu
进程路径:F:\Once\sss\sss.exesrvulu
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXEsrvulu
触发规则:所有程序规则->Process protect rule->C:\Program Files\Internet Explorer\IEXPLORE.exesrvulu
srvulu
srvulu
srvulu
控制SHELL进程(默认为EXPLORER)
srvulu
2008-08-09 20:42:02 修改其它进程内存 操作:允许srvulu
进程路径:F:\Once\sss\sss.exesrvulu
目标进程:C:\Program Files\BlackBox\blackbox.exesrvulu
触发规则:应用程序规则->自动创建规则->F:\Once\sss\sss.exe->C:\Program Files\BlackBox\blackbox.exesrvulu
srvulu
2008-08-09 20:42:02 创建远程线程 操作:阻止srvulu
进程路径:F:\Once\sss\sss.exesrvulu
目标进程:C:\Program Files\BlackBox\blackbox.exesrvulu
触发规则:所有程序规则->Process protect rule->C:\Program Files\BlackBox\blackbox.exesrvulu
srvulu
srvulu
srvulu
随后BLACKBOX进程出错 病毒进程亦退出点击查看大图srvulu
srvulu
srvulu
srvulu
srvulu
srvulu
srvulu
srvulu
srvulu
关键行为: srvulu
srvulu
控制SHELL进程srvulu
srvulu
srvulu
HIPS防范对策:srvulu
srvulu
阻止陌生程序对SHELL进程进行 修改其它进程内存 创建远程线程 的操作srvulu
srvulu
srvulu
from:http://hi.baidu.com/eqsyssecurit ... fb49f230add167.htmlsrvulu

序号 评论者 共有评论 0   【论坛浏览】  【发表评论】 评论时间
当前无任何评论,或评论已被禁止显示
 共有评论数 0  每页显示 10
页码 1/0  |<  <<     >>  >| 
论坛登录信息  
本版热门  
  [转载] 蠕虫病毒"MSN性感相...
  VIKING杀虫剂(威金农夫专...
  [转载] AV终结者变种又来了...
  Worm.Win32.Delf.bg专杀工...
  IE主页被修改为飘雪piaoxu...
  [转载] logogogo最新变种X...
  关于”msn.com、msn.dll“...
  [转载] alg.exe病毒的清除
  sxs.exe病毒手动删除方法
  关于t2serv.exe蠕虫病毒解...
Powered by DiY-Page 5.3.0 © 2005-2009