病毒行为:
注:本分析为多次运行测试结果汇总 因此时间可能会混乱
运行后向修改xcopy.exe
2008-11-12 23:05:44 修改文件
进程路径:E:Once飘雪下载者生成器Down.exe
文件路径:C:WINDOWSsystem32xcopy.exe
触发规则:所有程序规则->文件及保护->?:*.exe
释放SYS
2008-11-12 23:05:44 创建文件
进程路径:E:Once飘雪下载者生成器Down.exe
文件路径:C:WINDOWSsystem32driversEASYDOWNS.sys
触发规则:所有程序规则->文件及保护->?:*.sys
向各盘根目录释放exe autorun.inf
2008-11-12 23:05:46 创建文件
进程路径:E:Once飘雪下载者生成器Down.exe
文件路径:D:Shell.exe
触发规则:所有程序规则->文件及保护->?:*.exe
2008-11-12 23:05:46 创建文件
进程路径:E:Once飘雪下载者生成器Down.exe
文件路径:D:autorun.inf
触发规则:所有程序规则->文件及保护->?:autorun.inf
修改隐藏文件显示设置
2008-11-12 23:07:35 修改注册表内容
进程路径:E:OnceDown.exe
注册表路径:HKEY_LOCAL_MACHINESOFTW.AREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL
注册表名称:CheckedValue
触发规则:所有程序规则->资源管理器相关->HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHidden*
修改winlogon进程内存
2008-11-12 23:07:41 修改其它进程内存
进程路径:E:OnceDown.exe
目标进程:C:WINDOWSsystem32winlogon.exe
触发规则:所有程序规则->进程保护->%windir%system32winlogon.exe
调用IE
2008-11-12 23:08:22 运行应用程序
进程路径:E:OnceDown.exe
文件路径:C:Program FilesInternet ExplorerIEXPLORE.EXE
触发规则:所有程序规则->进程保护->C:Program FilesInternet ExplorerIEXPLORE.exe
病毒出错退出
Photo1.gif (44.01 KB)
2008-11-12 23:23
联网行为:
关键行为:
修改xcopy.exe
创建exe sys autorun.inf
修改winlogon进程内存
防范对策:
使用HIPS阻止陌生程序修改xcopy.exe
使用HIPS阻止陌生程序创建exe sys autorun.inf
使用HIPS阻止陌生程序修改winlogon进程内存
使用HIPS阻止陌生程序修改隐藏文件显示设置
使用HIPS阻止陌生程序调用IE
样本下载:http://bbs.kafan.cn/viewthread.php?tid=366836&extra=page%3D1&frombbs=1
病毒名称:Kaspersky:-
NOD32:probably a variant of Win32/Genetik
Rising:RootKit.Win32.Undef.to
VT扫描时间:2008.11.12 16:14:24 (CET)
EQS Lab编号:081112188
EQS Lab地址:http://hi.baidu.com/eqsyssecurity
病毒大小:36.0 KB (36,864 字节)
MD5码:FCD946059574F373CE6DBF05EFF30126
测试平台: WinXP SP3系统 (默认Shell为BBlean) EQSecurity(HIPS) 实机
版权与免责声明
1、本站所发布的文章仅供技术交流参考,本站不主张将其做为决策的依据,浏览者可自愿选择采信与否,本站不对因采信这些信息所产生的任何问题负责。
2、本站部分文章来源于网络,其版权为原权利人所有。由于来源之故,有的文章未能获得作者姓名,署“未知”或“佚名”。对于这些文章,有知悉作者姓名的请告知本站,以便及时署名。如果作者要求删除,我们将予以删除。除此之外本站不再承担其它责任。
3、本站部分文章来源于本站原创,本站拥有所有权利。
4、如对本站发布的信息有异议,请联系我们,经本站确认后,将在三个工作日内做出修改或删除处理。
请参阅权责声明!