病毒名称: Kaspersky: Trojan-Downloader.Win32.Cntr.ca
AntiVir: WORM/Zhelatin.Gen
Rising: -
NOD32v2: Win32/Nuwar.DC
病毒大小: 115 KB (117,760 字节)
MD5码: 9BF4737E46D2EA6B7EB4EF6605FB269D
病毒类型: 下载者、蠕虫
主要传播方式: 网络挂马
测试平台: WinXP SP3系统 (默认Shell为BBlean) EQSecurity(HIPS) 实机
危害程度: 高
行为分析:
运行后向windows目录创建exe文件
2008-07-08 12:09:38 创建文件
进程路径:F:\Once\fireworks\fireworks.exe
文件路径:C:\windows\msserv.exe
触发规则:所有程序规则->全局文件规则_普通模式->?:\*.exe
添加注册表启动项
2008-07-08 12:41:38 创建注册表值
进程路径:F:\Once\fireworks\fireworks.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:msserv
触发规则:所有程序规则->系统自动运行_普通模式->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*
调用生产物
2008-07-08 12:41:57 运行应用程序 操作:允许
进程路径:F:\Once\fireworks\fireworks.exe
文件路径:C:\windows\msserv.exe
触发规则:所有程序规则->Block APP Run->%windir%\*
以命令行调用msserv.exe
2008-07-08 12:42:03 运行应用程序
进程路径:C:\windows\msserv.exe
文件路径:C:\windows\system32\netsh.exe
命令行:firewall set allowedprogram "C:\windows\msserv.exe" enable
触发规则:所有程序规则->System Tool->%windir%\system32\netsh.exe
以命令行调用w32tm.exe
2008-07-08 12:42:11 运行应用程序
进程路径:C:\windows\msserv.exe
文件路径:C:\windows\system32\w32tm.exe
命令行:/config /syncfromflags:manual /manualpeerlist:time.windows.com,time.nist.gov
触发规则:所有程序规则->Block APP Run->%windir%\*
2008-07-08 12:42:29 运行应用程序
进程路径:C:\windows\msserv.exe
文件路径:C:\windows\system32\w32tm.exe
命令行:/config /update
触发规则:所有程序规则->Block APP Run->%windir%\*
进程间消息操作
2008-07-08 12:42:26 进程间消息操作
进程路径:C:\windows\system32\conime.exe
目标进程:C:\windows\system32\netsh.exe
消息类型:WM_COPYDATA
触发规则:所有程序规则->System Tool->%windir%\system32\netsh.exe
访问SCM
2008-07-08 12:42:34 访问服务管理器
进程路径:C:\windows\system32\w32tm.exe
触发规则:所有程序规则->*
创建文件
2008-07-08 12:43:19 创建文件
进程路径:C:\windows\msserv.exe
文件路径:C:\windows\msserv.config
触发规则:所有程序规则->全局写入设置_普通模式->C:\WINDOWS\*
修改html文件
2008-07-08 12:27:08 修改文件
进程路径:F:\Once\fireworks\fireworks.exe
文件路径:C:\Program Files\BlackBox\plugins\bbpager\BBPager.html
触发规则:所有程序规则->全局写入设置_普通模式->?:\Program Files\*
修改注册表
2008-07-08 12:47:20 修改注册表内容
进程路径:C:\windows\msserv.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG
注册表名称:Seed
触发规则:所有程序规则->*
2008-07-08 12:50:26 修改注册表内容
进程路径:C:\windows\msserv.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\EQSandBox\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
注册表名称:ProxyServer
更改后:SandBoxDelete
更改前:SandBoxDelete
触发规则:所有程序规则->*
2008-07-08 12:50:26 修改注册表内容
进程路径:C:\windows\msserv.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\EQSandBox\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
注册表名称:ProxyOverride
更改后:SandBoxDelete
更改前:SandBoxDelete
触发规则:所有程序规则->*
2008-07-08 12:50:26 修改注册表内容
进程路径:C:\windows\msserv.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\EQSandBox\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
注册表名称:AutoConfigURL
更改后:SandBoxDelete
更改前:SandBoxDelete
触发规则:所有程序规则->*
2008-07-08 12:50:26 修改注册表内容
进程路径:C:\windows\msserv.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
注册表名称:SavedLegacySettings
触发规则:所有程序规则->*
2008-07-08 12:50:26 修改注册表内容
进程路径:C:\windows\msserv.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\EQSandBox\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
注册表名称:SavedLegacySettings
触发规则:所有程序规则->*
联网行为:
不停的无规律的以UDP协议链接世界各地IP地址
病毒关键行为:
向windows目录创建exe文件
以命令行调用w32tm.exe msserv.exe
修改IE及系统防火墙相关注册表
防范对策和规则:
阻止向windows目录创建exe文件
防范调用w32tm.exe msserv.exe
防范修改IE及系统防火墙相关注册表
防范修改本地重要文件
