病毒名称：AntiVir ： TR/Dldr.Delphi.Gen
AVG ：-
Kaspersky ：-
NOD32v2： probably unknown NewHeur_PE virus
Rising ：Backdoor.Win32.Gpigeon.bqq
VT查杀率：14/36 (38.89%)

EQS Lab编号：080809020
病毒大小： 324 KB (332,288 字节)
MD5码： 3D7689A0A32165F8DD067A1C95B2A693
病毒类型： 木马程序
主要传播方式： 网络
测试平台： WinXP SP3系统 (默认Shell为BBlean) EQSecurity（HIPS） 实机
危害程度：高


病毒行为：

运行后调用IE

2008-08-09 20:42:02 运行应用程序 操作:允许
进程路径:F:\Once\sss\sss.exe
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
触发规则:所有程序规则->Process protect rule->C:\Program Files\Internet Explorer\IEXPLORE.exe

控制SHELL进程（默认为EXPLORER）

2008-08-09 20:42:02 修改其它进程内存 操作:允许
进程路径:F:\Once\sss\sss.exe
目标进程:C:\Program Files\BlackBox\blackbox.exe
触发规则:应用程序规则->自动创建规则->F:\Once\sss\sss.exe->C:\Program Files\BlackBox\blackbox.exe

2008-08-09 20:42:02 创建远程线程 操作:阻止
进程路径:F:\Once\sss\sss.exe
目标进程:C:\Program Files\BlackBox\blackbox.exe
触发规则:所有程序规则->Process protect rule->C:\Program Files\BlackBox\blackbox.exe

随后BLACKBOX进程出错 病毒进程亦退出




关键行为：

控制SHELL进程


HIPS防范对策：

阻止陌生程序对SHELL进程进行 修改其它进程内存 创建远程线程 的操作