- 最后登录
- 2009-9-12
- 注册时间
- 2007-10-29
- 精华
- 0
- 积分
- 10
- 阅读权限
- 80
- 帖子
- 101
 
- 金钱
- 10395 元
- 经验
- 10828 点
- 威望
- 1 点
- 贡献
- 0 点
- 精华
- 0
|
凡本论坛原创内容,其作者享有著作权,未经许可谢绝转载。
病毒名称:Kaspersky:Trojan-Spy.Win32.Zbot.gen
NOD32:-
Rising:-
VT扫描时间:2009.05.27 07:16:30 (UTC)
EQS Lab编号:090527251
EQS Lab地址:http://hi.baidu.com/eqsyssecurity
病毒大小:64.5 KB (66,048 字节)
MD5码:622CC84AC2FA04618A559F0428FB064E
测试平台: WinXP SP3系统 EQSecurity(HIPS) 实机
测试说明:http://hi.baidu.com/eqsyssecurit ... 5b15c57831aa7c.html
病毒行为:
注:本分析为多次运行测试结果汇总 因此时间可能会混乱
运行后修改userinit注册表
2009-05-27 15:41:57 修改注册表内容
进程路径:E:\KIA\2\2.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
注册表名称:userinit
更改后:C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
更改前:C:\WINDOWS\system32\userinit.exe,
触发规则:所有程序规则->自动运行->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
添加启动项
2009-05-27 15:41:57 创建注册表值
进程路径:E:\KIA\2\2.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:userinit
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*
向system32目录创建exe 设置隐藏属性
2009-05-27 15:41:57 创建文件
进程路径:E:\KIA\2\2.exe
文件路径:C:\WINDOWS\system32\sdra64.exe
触发规则:所有程序规则->文件阻止及保护->?:\*.exe
2009-05-27 15:42:24 修改文件
进程路径:E:\KIA\2\2.exe
文件路径:(隐藏文件)C:\WINDOWS\system32\sdra64.exe
触发规则:所有程序规则->文件阻止及保护->?:\*.exe
修改winlogon进程内存
2009-05-27 15:43:24 修改其它进程内存
进程路径:E:\KIA\2\2.exe
目标进程:C:\WINDOWS\system32\winlogon.exe
触发规则:所有程序规则->进程保护->%windir%\system32\winlogon.exe
2009-05-27 15:49:28 创建远程线程
进程路径:E:\KIA\2\2.exe
目标进程:C:\WINDOWS\system32\winlogon.exe
触发规则:所有程序规则->进程保护->%windir%\system32\winlogon.exe
winlogon创建文件
2009-05-27 15:49:28 创建文件
进程路径:C:\WINDOWS\system32\winlogon.exe
文件路径:C:\WINDOWS\system32\lowsec\local.ds
触发规则:所有程序规则->保护目录->%windir%*
修改svchost进程内存
2009-05-27 15:49:57 修改其它进程内存
进程路径:C:\WINDOWS\system32\winlogon.exe
目标进程:C:\WINDOWS\system32\svchost.exe
触发规则:所有程序规则->进程保护->%windir%\System32\svchost.exe
2009-05-27 15:50:08 创建远程线程
进程路径:C:\WINDOWS\system32\winlogon.exe
目标进程:C:\WINDOWS\system32\svchost.exe
触发规则:所有程序规则->进程保护->%windir%\System32\svchost.exe
创建desktop.ini
2009-05-27 15:50:09 创建文件
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\desktop.ini
触发规则:所有程序规则->保护目录->%windir%*
2009-05-27 15:50:09 创建文件
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\system32\config\systemprofile\Local Settings\History\desktop.ini
触发规则:所有程序规则->保护目录->%windir%*
修改其他系统进程 软件进程内存
2009-05-27 15:50:39 修改其它进程内存
进程路径:C:\WINDOWS\system32\svchost.exe
目标进程:C:\WINDOWS\system32\smss.exe
触发规则:所有程序规则->进程保护->%windir%\System32\smss.exe
2009-05-27 15:51:00 创建远程线程
进程路径:C:\WINDOWS\system32\svchost.exe
目标进程:C:\WINDOWS\system32\smss.exe
触发规则:所有程序规则->进程保护->%windir%\System32\smss.exe
2009-05-27 15:51:05 修改其它进程内存
进程路径:C:\WINDOWS\system32\svchost.exe
目标进程:C:\WINDOWS\system32\services.exe
触发规则:所有程序规则->进程保护->%windir%\system32\services.exe
2009-05-27 15:51:10 创建远程线程
进程路径:C:\WINDOWS\system32\svchost.exe
目标进程:C:\WINDOWS\system32\services.exe
触发规则:所有程序规则->进程保护->%windir%\system32\services.exe
2009-05-27 15:52:35 创建文件
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\Documents and Settings\NetworkService\Cookies
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe
2009-05-27 15:51:13 修改其它进程内存
进程路径:C:\WINDOWS\system32\svchost.exe
目标进程:C:\WINDOWS\system32\lsass.exe
触发规则:所有程序规则->进程保护->%windir%\System32\lsass.exe
2009-05-27 15:51:55 创建远程线程
进程路径:C:\WINDOWS\system32\svchost.exe
目标进程:C:\WINDOWS\system32\lsass.exe
触发规则:所有程序规则->进程保护->%windir%\System32\lsass.exe
2009-05-27 15:52:41 修改其它进程内存
进程路径:C:\WINDOWS\system32\svchost.exe
目标进程:C:\WINDOWS\system32\svchost.exe
触发规则:所有程序规则->进程保护->%windir%\System32\svchost.exe
2009-05-27 15:52:56 创建远程线程
进程路径:C:\WINDOWS\system32\svchost.exe
目标进程:C:\WINDOWS\system32\svchost.exe
触发规则:所有程序规则->进程保护->%windir%\System32\svchost.exe
2009-05-27 15:53:13 修改其它进程内存
进程路径:C:\WINDOWS\system32\svchost.exe
目标进程:C:\Program Files\BlackBox\blackbox.exe
触发规则:所有程序规则->进程保护->C:\Program Files\BlackBox\blackbox.exe
2009-05-27 15:53:19 创建远程线程
进程路径:C:\WINDOWS\system32\svchost.exe
目标进程:C:\Program Files\BlackBox\blackbox.exe
触发规则:所有程序规则->进程保护->C:\Program Files\BlackBox\blackbox.exe
2009-05-27 15:53:37 修改其它进程内存
进程路径:C:\WINDOWS\system32\svchost.exe
目标进程:C:\Program Files\FengYun\FYFireWall.exe
触发规则:所有程序规则->进程保护->C:\Program Files\FengYun\FYFireWall.exe
2009-05-27 15:53:41 创建远程线程
进程路径:C:\WINDOWS\system32\svchost.exe
目标进程:C:\Program Files\FengYun\FYFireWall.exe
触发规则:所有程序规则->进程保护->C:\Program Files\FengYun\FYFireWall.exe
2009-05-27 15:53:41 修改其它进程内存
进程路径:C:\WINDOWS\system32\svchost.exe
目标进程:C:\Program Files\Explorer++\Explorer++.exe
触发规则:所有程序规则->进程保护->C:\Program Files\Explorer++\Explorer++.exe
2009-05-27 15:53:44 创建远程线程
进程路径:C:\WINDOWS\system32\svchost.exe
目标进程:C:\Program Files\Explorer++\Explorer++.exe
触发规则:所有程序规则->进程保护->C:\Program Files\Explorer++\Explorer++.exe
修改Winlogon注册表
2009-05-27 15:53:06 修改注册表内容
进程路径:C:\WINDOWS\system32\svchost.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
注册表名称:ParseAutoexec
更改后:1
触发规则:所有程序规则->WinLogon->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
修改浏览器主页
2009-05-27 15:53:06 创建注册表值
进程路径:C:\WINDOWS\system32\svchost.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
注册表名称:Start Page
触发规则:所有程序规则->IE浏览器相关->*\Software\Microsoft\Internet explorer\Main
联网行为:
关键行为:
向系统目录创建exe
修改系统及软件进程内存
防范对策:
使用HIPS阻止陌生程序向系统目录创建exe
使用HIPS阻止陌生程序修改系统及软件进程内存
使用HIPS阻止陌生程序修改userinit winlogon注册表
使用HIPS阻止陌生程序添加启动项
使用HIPS阻止陌生程序修改浏览器主页
|
附件: 您需要登录才可以下载或查看附件。没有帐号?注册
|
发表于 2009-5-27 16:30
| 
发表于 2009-6-9 17:45
| 