行为分析 Trojan.Win32.KillAV.agz

病毒名称：BitDefender：Trojan.Peed.JRX
            Kaspersky：Trojan.Win32.KillAV.agz
            NOD32v2：Win32/Agent.NJK
            Rising：-
VT扫描时间：09.29.2008 19:50:05 (CET)
EQS Lab编号：080930120
EQS Lab地址： [url]http://hi.baidu.com/eqsyssecurity[/url]
病毒大小：23.0 KB (23,552 字节)
MD5码：8B30EF29E6CD6D7A9F1F47AD55FC9929
病毒类型： 特洛伊木马
主要传播方式： 网络
测试平台： WinXP SP3系统 (默认Shell为BBlean)    EQSecurity（HIPS） 实机
危害程度：★★★☆☆

病毒行为：

运行后向系统目录释放exe（hash一致）   sys

2008-09-30 20:40:59 创建文件       
进程路径:F:\Once\16\16.exe
文件路径:C:\windows\system32\sysrest32.exe
触发规则:所有程序规则->文件阻止及保护->?:\*.exe

2008-09-30 20:40:59 创建文件   
进程路径:F:\Once\16\16.exe
文件路径:C:\windows\system32\sysrest.sys
触发规则:所有程序规则->文件阻止及保护->?:\*.sys

SCM   安装驱动

2008-09-30 20:42:40 访问服务管理器   
进程路径:F:\Once\16\16.exe
触发规则:所有程序规则->*

2008-09-30 20:42:43 安装服务或者驱动   
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\windows\system32\sysrest.sys
触发规则:所有程序规则->阻止运行->%windir%\*

添加启动项

2008-09-30 20:42:43 创建注册表值   
进程路径:F:\Once\16\16.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager
注册表名称:PendingFileRenameOperations
触发规则:所有程序规则->自动运行->*\SYSTEM\ControlSet*\Control\Session Manager

联网行为：

关键行为：

向系统目录创建exe   sys

SCM安装驱动



HIPS防范对策：


阻止陌生程序向系统目录创建exe   sys

阻止陌生程序SCM安装驱动

阻止陌生程序创建启动项

样本下载： [url]http://bbs.janmeng.com/thread-803715-1-1.html[/url]