百度空间 | 百度首页 
 
查看文章
  
行为分析 MayaGirl病毒
2008年08月10日 星期日 14:18
病毒名称:AntiVir : TR/Dropper.Gen
AVG :Clicker.OWA
Kaspersky :-
NOD32v2: a variant of Win32/TrojanClicker.Agent.NDJ
Rising :-
VT查杀率:25/35 (71.43%)
VT扫描时间:2008.08.10 07:47:09 (CET)

EQS Lab编号:080810021
病毒大小:26.5 KB (27,224 字节)
MD5码: A29CEAE00FFD2B2C51BBA6C362C4F63F
病毒类型: 木马程序
主要传播方式: 网络
测试平台: WinXP SP3系统 (默认Shell为BBlean) EQSecurity(HIPS) 实机
危害程度:


病毒行为:

运行后会在windows目录生成MayaGirl目录

2008-08-10 13:49:04 创建文件
进程路径:F:\Once\lo\lo.exe
文件路径:C:\windows\MayaGirl
触发规则:所有程序规则->Block Rule->C:\WINDOWS\*



创建病毒文件

2008-08-10 13:49:04 创建文件
进程路径:F:\Once\lo\lo.exe
文件路径:C:\windows\MayaGirl\MayaGirlDll.dat
触发规则:所有程序规则->Block Rule->C:\WINDOWS\*

2008-08-10 13:49:04 创建文件
进程路径:F:\Once\lo\lo.exe
文件路径:C:\windows\MayaGirl\MayaGirlSYS.dat
触发规则:所有程序规则->Block Rule->C:\WINDOWS\*



停止beep服务

2008-08-10 13:49:18 运行应用程序
进程路径:F:\Once\lo\lo.exe
文件路径:C:\windows\system32\NET.exe
命令行:STOP Beep
触发规则:所有程序规则->System Tool->%windir%\system32\net.exe



修改beep.sys

2008-08-10 13:50:46 修改文件
进程路径:F:\Once\lo\lo.exe
文件路径:C:\windows\system32\Drivers\beep.sys
触发规则:应用程序规则->Important File->*->%windir%\system32\Drivers\Beep.sys



重新启用beep服务

2008-08-10 13:50:54 运行应用程序
进程路径:F:\Once\lo\lo.exe
文件路径:C:\windows\system32\NET.exe
命令行:START Beep
触发规则:所有程序规则->System Tool->%windir%\system32\net.exe



创建病毒文件

2008-08-10 13:51:03 创建文件
进程路径:F:\Once\lo\lo.exe
文件路径:C:\windows\MayaGirl\gaga.bat
触发规则:所有程序规则->File Rule->?:\*.bat



删除病毒文件

2008-08-10 13:53:40 删除文件
进程路径:F:\Once\lo\lo.exe
文件路径:C:\WINDOWS\MayaGirl\gaga.bat
触发规则:所有程序规则->File Rule->?:\*.bat



创建病毒文件 hash与gaga.bat一致

2008-08-10 13:51:54 创建文件
进程路径:F:\Once\lo\lo.exe
文件路径:C:\windows\MayaGirl\MayaGirlMain.exe
触发规则:所有程序规则->File Rule->?:\*.exe



SCM 安装服务

2008-08-10 13:53:47 访问服务管理器
进程路径:F:\Once\lo\lo.exe
触发规则:所有程序规则->*

2008-08-10 13:53:51 安装服务或者驱动
进程路径:C:\windows\system32\services.exe
文件路径:C:\windows\MayaGirl\MayaGirlMain.exe
触发规则:所有程序规则->Block APP Run->%windir%\*

2008-08-10 13:53:51 创建注册表值
进程路径:C:\windows\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Services
注册表名称:ImagePath
触发规则:所有程序规则->Service->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\*



创建bat

2008-08-10 13:54:01 创建文件
进程路径:F:\Once\lo\lo.exe
文件路径:C:\windows\system32\me.bat
触发规则:所有程序规则->File Rule->?:\*.bat


bat 内容

@ech0 off
attrib -h -s -r -a %0
sleep 2000
del "F:\Once\lo\lo.exe"
del %0




关键行为:

向windows目录创建文件

修改beep.sys

安装服务


HIPS防范对策:

阻止陌生程序向windows目录创建文件

阻止陌生程序修改beep.sys

阻止陌生程序通过访问服务管理器安装服务

阻止陌生程序向system32目录创建bat

类别:反病毒 | 添加到搜藏 | 浏览() | 评论 (4)
 
最近读者:
 
网友评论:
1
2008年08月10日 星期日 22:08 | 回复
【beep.sys...】
 
2
2008年08月11日 星期一 23:32 | 回复
【EQ 4.0 beta4 的驱动怎样?】
 
3
2008年08月12日 星期二 19:26 | 回复
毫无变化
 
4
2008年08月15日 星期五 01:39 | 回复
B4的界面图是看到了,漂亮不少,希望稳定性也有所提高!软件什么时候才能下载测试阿?试用MD中~~~~LIKE它的分组功能,有点SSM的味道
 
发表评论:
姓 名:
网址或邮箱: (选填)
内 容:
验证码: 请点击后输入四位验证码,字母不区分大小写
      

     

©2009 Baidu