病毒名称：BitDefender：Trojan.PWS.OnlineGames.ZMC

　　Kaspersky：Backdoor.Win32.Agent.rnq

　　NOD32v2：a variant of Win32/PSW.OnLineGames.NRF

　　Rising：Trojan.Win32.VB.fza

　　VT扫描时间：09.29.2008 19:37:31 (CET)

　　EQS Lab编号：080930106

　　EQS Lab地址：http://hi.baidu.com/eqsyssecurity

　　病毒大小：14.4 KB (14,813 字节)

　　MD5码：E8D3C4BB6ED3069731EA43EDC611ED0D

　　病毒类型： 特洛伊木马

　　主要传播方式： 网络

　　测试平台： WinXP SP3系统 (默认Shell为BBlean) EQSecurity（HIPS） 实机

　　危害程度：★★★☆☆

　　病毒行为：

　　运行后创建启动项 2008-09-30 20:18:35 创建注册表值

　　进程路径:F:Once1212.exe

　　注册表路径:HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSession Manager

　　注册表名称:PendingFileRenameOperations

　　触发规则:所有程序规则->自动运行->*SYSTEMControlSet*ControlSession Manager

　　2008-09-30 20:18:35 创建注册表值

　　进程路径:F:Once1212.exe

　　注册表路径:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows

　　注册表名称:AppInit_DLLs

　　触发规则:所有程序规则->自动运行->*SOFTWAREMicrosoftWindows NTCurrentVersionWindows

　　2008-09-30 20:18:53 删除注册表

　　进程路径:F:Once1212.exe

　　注册表路径:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

　　注册表名称:HBService

　　触发规则:所有程序规则->自动运行->*SOFTWAREMicrosoftWindowsCurrentVersionRun*

　　释放SYS 2008-09-30 20:18:53 创建文件

　　进程路径:F:Once1212.exe

　　文件路径:C:windowssystem32driversHBKernel32.sys

　　触发规则:所有程序规则->文件阻止及保护->?:*.sys

　　SCM 安装驱动 2008-09-30 20:20:09 访问服务管理器

　　进程路径:F:Once1212.exe

　　触发规则:所有程序规则->*

　　2008-09-30 20:20:13 安装服务或者驱动

　　进程路径:C:WINDOWSsystem32services.exe

　　文件路径:C:windowssystem32driversHBKernel32.sys

　　触发规则:所有程序规则->阻止运行->%windir%*

　　释放DLL 2008-09-30 20:18:53 创建文件

　　进程路径:F:Once1212.exe

　　文件路径:C:windowssystem32HBCONQUER.dll

　　触发规则:所有程序规则->文件阻止及保护->?:*.dll

　　2008-09-30 20:18:53 创建文件

　　进程路径:F:Once1212.exe

　　文件路径:C:Documents and SettingsAdministratorLocal SettingsTempHBCONQUER.dll

　　触发规则:所有程序规则->Documents and Settings->?:Documents and Settings*.dll

　　2008-09-30 20:18:54 创建文件

　　进程路径:F:Once1212.exe

　　文件路径:C:Documents and SettingsAdministratorLocal SettingsTempHBSelfDel.dll

　　触发规则:所有程序规则->Documents and Settings->?:Documents and Settings*.dll

　　释放exe 2008-09-30 20:18:53 创建文件

　　进程路径:F:Once1212.exe

　　文件路径:C:windowssystem32System.exe

　　触发规则:所有程序规则->文件阻止及保护->?:*.exe

　　调用rundll32 2008-09-30 20:19:41 运行应用程序

　　进程路径:F:Once1212.exe

　　文件路径:C:WINDOWSsystem32rundll32.exe

　　命令行:C:DOCUME~1ADMINI~1LOCALS~1TempHBSelfDel.dll,MagicDelete F:Once1212.exe

　　触发规则:所有程序规则->阻止运行->%windir%*

　　rundll32加载病毒dll 2008-09-30 20:21:37 加载库文件

　　进程路径:C:WINDOWSsystem32rundll32.exe

　　文件路径:C:Documents and SettingsAdministratorLocal SettingsTempHBSelfDel.dll

　　触发规则:所有程序规则->阻止运行->?:Documents and Settings*Local SettingsTemp*

　　调用exe 2008-09-30 20:21:08 运行应用程序

　　进程路径:F:Once1212.exe

　　文件路径:C:WINDOWSsystem32System.exe

　　触发规则:所有程序规则->阻止运行->%windir%*

　　安装钩子 2008-09-30 20:21:49 安装全局钩子

　　进程路径:C:WINDOWSsystem32System.exe

　　文件路径:HBmhly.dll,HB1000Y.dll,HBWOOOL.dll,HBXY2.dll,HBJXSJ.dll,HBSO2.dll,HBFS2.dll,HBXY3.dll,HBSHQ.dll,HBFY.dll,HBWULIN2.dll,HBW2I.dll,HBKDXY.dll,HBWORLD2.dll,HBASKTAO.dll,HBZHUXIAN.dll,HBWOW.dll,HBZERO.dll,HBBO.dll,HBCONQUER.dll,HBSOUL.dll,HBCHIBI.dll,HBDNF.dll,HBWARLORDS.dll,HBTL.dll,HBPICKCHINA.dll,HBCT.dll,HBGC.dll,HBHM.dll,HBHX2.dll,HBQQHX.dll,HBTW2.dll,HBQQSG.dll,HBQQFFO.dll,HBZT.dll,HBMIR2.dll,HBRXJH.dll,HBYY.dll,HBMXD.dll,HBSQ.dll,HBTJ.dll,HBFHZL.dll,HBWLQX.dll,HBLYFX.dll,HBR2.dll,HBCHD.dll,HBTZ.dll,HBQQXX.dll,HBWD.dll,HBZG.dll,HBPPBL.dll,HBXMJ.dll,HBJTLQ.dll,HBQJSJ.dll

　　钩子类型:WH_JOURNALRECORD

　　触发规则:所有程序规则->*

　　2008-09-30 20:21:57 安装全局钩子

　　进程路径:C:WINDOWSsystem32System.exe

　　文件路径:C:windowssystem32HBCONQUER.dll

　　钩子类型:WH_MOUSE

　　触发规则:所有程序规则->阻止运行->%windir%*

　　联网行为：

　　关键行为：

　　向系统目录创建exe dll sys

　　SCM 安装驱动

　　安装钩子

　　HIPS防范对策：

　　阻止陌生程序向系统目录创建exe dll sys

　　阻止陌生程序SCM 安装驱动

　　阻止陌生程序安装钩子

　　阻止陌生程序创建启动项