[转载] TR/Downloader.Gen

引用:

病毒名称： AntiVir： TR/Downloader.Gen
Kaspersky： 免杀
NOD32v2：免杀
Rising： Trojan.DL.Win32.Undef.agc
VT查杀率：11/35 (31.43%)

EQS Lab编号：0807002
病毒大小： 24.0 KB (24,576 字节)
MD5码： D8C6D3BF33164EEFCC86BC3AB971AE75
病毒类型： 特洛伊木马、下载者
主要传播方式： 网络
测试平台： WinXP SP3系统 (默认Shell为BBlean) EQSecurity（HIPS） 实机
危害程度： 中


病毒行为：

运行后向windows目录创建无后缀文件

2008-07-30 15:57:39 创建文件 操作:允许
进程路径:F:\Once\UPDATE\UPDATE.EXE
文件路径:C:\windows\tempaq
触发规则:所有程序规则->Block Rule->C:\WINDOWS\*




调用生成物

2008-07-30 15:58:40 运行应用程序 操作:允许
进程路径:F:\Once\UPDATE\UPDATE.EXE
文件路径:C:\windows\tempaq
命令行:80050
触发规则:所有程序规则->Block APP Run->%windir%\*




创建IE插件

2008-07-30 15:58:48 创建注册表值 操作:阻止
进程路径:C:\windows\tempaq
注册表路径:HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions\{06926B30-424E-4f1c-8EE3-543CD96573DC}
注册表名称:[Key]
触发规则:所有程序规则->IE浏览器设置_普通模式->*\Software\Microsoft\Internet explorer\Extensions*




创建驱动文件

2008-07-30 15:58:48 创建文件 操作:阻止
进程路径:C:\windows\tempaq
文件路径:C:\windows\system32\drivers\rxic4pu.sys
触发规则:所有程序规则->File Rule->?:\*.sys

2008-07-30 15:58:54 创建文件 操作:阻止
进程路径:C:\windows\tempaq
文件路径:C:\windows\system32\drivers\juo0huu3t8.sys
触发规则:所有程序规则->File Rule->?:\*.sys




创建dll文件:

2008-07-30 15:58:55 创建文件 操作:阻止
进程路径:C:\windows\tempaq
文件路径:C:\windows\system32\5vlbwng2.dll
触发规则:所有程序规则->File Rule->?:\*.dll





关键行为：

向windows目录创建无后缀文件

注册为IE插件

创建驱动文件


HIPS防范对策：


阻止向windows目录创建无后缀文件

阻止陌生程序注册为IE插件

阻止创建驱动文件

阻止创建DLL文件