病毒行为：

　　注：本分析为多次运行测试结果汇总　 因此时间可能会混乱

　　运行后向修改xcopy.exe

　　2008-11-12 23:05:44 修改文件 　

　　进程路径:E:Once飘雪下载者生成器Down.exe

　　文件路径:C:WINDOWSsystem32xcopy.exe

　　触发规则:所有程序规则->文件及保护->?:*.exe

　　释放SYS

　　2008-11-12 23:05:44 创建文件 　

　　进程路径:E:Once飘雪下载者生成器Down.exe

　　文件路径:C:WINDOWSsystem32driversEASYDOWNS.sys

　　触发规则:所有程序规则->文件及保护->?:*.sys

　　向各盘根目录释放exe　 autorun.inf

　　2008-11-12 23:05:46 创建文件 　

　　进程路径:E:Once飘雪下载者生成器Down.exe

　　文件路径:D:Shell.exe

　　触发规则:所有程序规则->文件及保护->?:*.exe

　　2008-11-12 23:05:46 创建文件 　

　　进程路径:E:Once飘雪下载者生成器Down.exe

　　文件路径:D:autorun.inf

　　触发规则:所有程序规则->文件及保护->?:autorun.inf

　　修改隐藏文件显示设置

　　2008-11-12 23:07:35 修改注册表内容 　

　　进程路径:E:OnceDown.exe

　　注册表路径:HKEY_LOCAL_MACHINESOFTW.AREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL

　　注册表名称:CheckedValue

　　触发规则:所有程序规则->资源管理器相关->HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHidden*

　　修改winlogon进程内存

　　2008-11-12 23:07:41 修改其它进程内存 　

　　进程路径:E:OnceDown.exe

　　目标进程:C:WINDOWSsystem32winlogon.exe

　　触发规则:所有程序规则->进程保护->%windir%system32winlogon.exe

　　调用IE

　　2008-11-12 23:08:22 运行应用程序 　

　　进程路径:E:OnceDown.exe

　　文件路径:C:Program FilesInternet ExplorerIEXPLORE.EXE

　　触发规则:所有程序规则->进程保护->C:Program FilesInternet ExplorerIEXPLORE.exe

　　病毒出错退出

　　Photo1.gif (44.01 KB)

　　2008-11-12 23:23

　　联网行为：

　　关键行为：

　　修改xcopy.exe

　　创建exe　 sys　 autorun.inf

　　修改winlogon进程内存

　　防范对策：

　　使用HIPS阻止陌生程序修改xcopy.exe

　　使用HIPS阻止陌生程序创建exe　 sys　 autorun.inf

　　使用HIPS阻止陌生程序修改winlogon进程内存

　　使用HIPS阻止陌生程序修改隐藏文件显示设置

　　使用HIPS阻止陌生程序调用IE

　　样本下载：http://bbs.kafan.cn/viewthread.php?tid=366836&extra=page%3D1&frombbs=1

　　病毒名称：Kaspersky：-

　　　 　 　 NOD32：probably a variant of Win32/Genetik

　　　 　 　 Rising：RootKit.Win32.Undef.to

　　VT扫描时间：2008.11.12 16:14:24 (CET)

　　EQS Lab编号：081112188

　　EQS Lab地址：http://hi.baidu.com/eqsyssecurity

　　病毒大小：36.0 KB (36,864 字节)

　　MD5码：FCD946059574F373CE6DBF05EFF30126

　　测试平台： WinXP SP3系统 (默认Shell为BBlean) 　 EQSecurity（HIPS） 实机