病毒名称：BitDefender：-

　　Kaspersky：-

　　NOD32：-

　　Rising：-

　　VT扫描时间：2008.10.11 02:50:01 (CET)

　　EQS Lab编号：081012129

　　EQS Lab地址：http://hi.baidu.com/eqsyssecurity

　　病毒大小：42.5 KB (43,520 字节)

　　MD5码：6412C769D7D5DB534A6F9B3910A846A8

　　病毒类型： 特洛伊木马

　　主要传播方式： 网络

　　测试平台： WinXP SP3系统 (默认Shell为BBlean) EQSecurity（HIPS） 实机

　　危害程度：★★★★☆

　　病毒行为：

　　注：本分析为多次运行测试结果汇总 因此时间可能会混乱

　　运行后向system32释放exe 2008-10-12 13:02:08 创建文件

　　进程路径:E:Once11.exe

　　文件路径:C:windowssystem32brastk.exe

　　触发规则:所有程序规则->文件阻止及保护->?:*.exe

　　创建启动项 2008-10-12 13:02:08 创建注册表值

　　进程路径:E:Once11.exe

　　注册表路径:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

　　注册表名称:brastk

　　触发规则:所有程序规则->自动运行->*SOFTWAREMicrosoftWindowsCurrentVersionRun*

　　向dllcache释放sys md5均为:F8A6751CBC71A3EB44C5838F5735DA13 2008-10-12 13:02:08 创建文件

　　进程路径:E:Once11.exe

　　文件路径:C:windowssystem32dllcachefigaro.sys

　　触发规则:所有程序规则->文件阻止及保护->?:*.sys

　　2008-10-12 13:02:40 创建文件

　　进程路径:E:Once11.exe

　　文件路径:C:windowssystem32dllcachebeep.sys

　　触发规则:所有程序规则->文件阻止及保护->?:*.sys

　　修改beep.sys 修改后md5:F8A6751CBC71A3EB44C5838F5735DA13 2008-10-12 13:02:40 修改文件

　　进程路径:E:Once11.exe

　　文件路径:C:windowssystem32driversbeep.sys

　　触发规则:应用程序规则->受保护文件->*->%windir%system32DriversBeep.sys

　　创建PendingFileRenameOperations启动项 2008-10-12 13:02:40 创建注册表值

　　进程路径:E:Once11.exe

　　注册表路径:HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSession Manager

　　注册表名称:PendingFileRenameOperations

　　触发规则:所有程序规则->自动运行->*SYSTEMControlSet*ControlSession Manager

　　重启系统 2008-10-12 13:05:50 关闭/重启系统

　　进程路径:E:Once11.exe

　　触发规则:所有程序规则->*

　　联网行为：

　　关键行为：

　　向系统目录创建exe sys

　　修改beep.sys

　　防范对策：

　　使用HIPS阻止陌生程序向系统目录创建exe sys

　　使用HIPS阻止陌生程序修改beep.sys

　　使用HIPS阻止陌生程序创建PendingFileRenameOperations启动项

　　使用HIPS阻止陌生程序重启系统