电脑基础操作系统办公应用程序设计网站开发数据库图形图像网络技术信息安全媒体制作认证考试硬件维修电脑综合
  
当前位置:主页   - 电脑 - 信息安全 - 病毒防治
MAYAGirl变种 Trojan-Dropper.Win32.Agent.wyq
来源:网络   作者:   更新时间:2012-08-09
收藏此页】    【字号    】    【打印】    【关闭

  病毒名称:AntiVir :TR/ATRAPS.Gen

   Kaspersky :Trojan-Dropper.Win32.Agent.wyq

   NOD32v2:a variant of Win32/TrojanClicker.Agent.NDJ

   Rising : -

  扫描时间:2008.09.20 09:31:35 (CET)

  EQS Lab编号:080920066

  EQS Lab地址:http://hi.baidu.com/eqsyssecurity

  病毒大小:31.0 KB (31,744 字节)

  MD5码:A51EEE64F6FE4386B3BC1659F70F46D8

  病毒类型: 特洛伊木马

  主要传播方式: 网络

  测试平台: WinXP SP3系统 (默认Shell为BBlean)   EQSecurity(HIPS) 实机

  危害程度:★★☆☆☆

  病毒行为:

  运行后创建windowsMayaBaby目录

  2008-09-20 15:48:33  创建文件   

  进程路径:F:Oncexx.exe

  文件路径:C:windowsMayaBaby

  触发规则:所有程序规则->文件夹保护->%windir%*

  向MayaBaby目录创建DAT 并加载

  2008-09-20 15:48:33  创建文件   

  进程路径:F:Oncexx.exe

  文件路径:C:windowsMayaBabyMayaBabyDll.dat

  触发规则:所有程序规则->文件夹保护->%windir%*

  2008-09-20 15:49:23  加载库文件   

  进程路径:F:Oncexx.exe

  文件路径:C:WINDOWSMayaBabyMayaBabyDll.dat

  触发规则:所有程序规则->*

  创建TMP

  2008-09-20 15:49:32  创建文件   

  进程路径:F:Oncexx.exe

  文件路径:C:windowsMayaBabyMayaBabyMain.tmp

  触发规则:所有程序规则->文件夹保护->%windir%*

  2008-09-20 15:50:11  修改文件   

  进程路径:F:Oncexx.exe

  文件路径:C:windowsMayaBabyMayaBabyMain.tmp

  触发规则:所有程序规则->文件夹保护->%windir%*

  2008-09-20 15:50:11  删除文件   

  进程路径:F:Oncexx.exe

  文件路径:C:WINDOWSMayaBabyMayaBabyMain.tmp

  触发规则:所有程序规则->文件夹保护->%windir%*

  创建EXE

  008-09-20 15:52:09  创建文件   

  进程路径:F:Oncexx.exe

  文件路径:C:windowsMayaBabyMayaBabyMain.exe

  触发规则:所有程序规则->文件阻止及保护->?:*.exe

  SCM 安装服务/驱动

  2008-09-20 15:52:17  访问服务管理器   

  进程路径:F:Oncexx.exe

  触发规则:所有程序规则->*

  2008-09-20 15:52:20  安装服务或者驱动   

  进程路径:C:WINDOWSsystem32services.exe

  文件路径:C:windowsMayaBabyMayaBabyMain.exe

  触发规则:所有程序规则->阻止运行->%windir%*

  2008-09-20 15:52:20  创建注册表值   

  进程路径:C:WINDOWSsystem32services.exe

  注册表路径:HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesNetwork Services

  注册表名称:ImagePath

  触发规则:所有程序规则->服务相关->HKEY_LOCAL_MACHINESYSTEM*controlset*Services*

  创建BAT

  2008-09-20 15:52:29  创建文件   

  进程路径:F:Oncexx.exe

  文件路径:C:windowssystem32me.bat

  触发规则:所有程序规则->文件阻止及保护->?:*.bat

  BAT内容

  C:windowsMayaBabyMayaBabyDll.dat@ech0 off

  attrib -h -s -r -a %0

  sleep 2000

  del "F:Oncexx.exe"

  del %0

  调用BAT

  2008-09-20 15:52:52  运行应用程序   

  进程路径:F:Oncexx.exe

  文件路径:C:WINDOWSsystem32cmd.exe

  命令行:/c C:windowssystem32me.bat

  触发规则:高优先规则->In Side->%windir%system32cmd.exe

  关键行为:

  创建windowsMayaBaby目录并写入文件

  SCM 安装服务/驱动

  调用BAT

  HIPS防范对策:

  阻止陌生程序创建windowsMayaBaby目录并写入文件

  阻止陌生程序SCM 安装服务/驱动

  阻止陌生程序调用BAT

其它资源
本类热门
热门排行
来源声明

版权与免责声明
1、本站所发布的文章仅供技术交流参考,本站不主张将其做为决策的依据,浏览者可自愿选择采信与否,本站不对因采信这些信息所产生的任何问题负责。
2、本站部分文章来源于网络,其版权为原权利人所有。由于来源之故,有的文章未能获得作者姓名,署“未知”或“佚名”。对于这些文章,有知悉作者姓名的请告知本站,以便及时署名。如果作者要求删除,我们将予以删除。除此之外本站不再承担其它责任。
3、本站部分文章来源于本站原创,本站拥有所有权利。
4、如对本站发布的信息有异议,请联系我们,经本站确认后,将在三个工作日内做出修改或删除处理。
请参阅权责声明