病毒名称:BitDefender:Trojan.PWS.OnlineGames.ZWI
Kaspersky:Trojan-GameThief.Win32.OnLineGames.thxi
NOD32:a variant of Win32/PSW.OnLineGames.NRF
Rising:Trojan.Win32.Undef.raq
VT扫描时间:2008.10.12 17:20:57 (CET)
EQS Lab编号:081013131
EQS Lab地址:http://hi.baidu.com/eqsyssecurity
病毒大小:18.2 KB (18,689 字节)
MD5码:E43C5259C3C2611F9F68B65DA3BC4CA1
病毒类型: 特洛伊木马
主要传播方式: 网络
测试平台: WinXP SP3系统 (默认Shell为BBlean) EQSecurity(HIPS) 实机
危害程度:★★★☆☆
病毒行为:
注:本分析为多次运行测试结果汇总 因此时间可能会混乱
运行后创建PendingFileRenameOperations AppInit_DLLs启动项
引用:
2008-10-13 14:22:49 修改注册表内容
进程路径:E:Once33.exe
注册表路径:HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSession Manager
注册表名称:PendingFileRenameOperations
更改后:??C:DOCUME~1ADMINI~1LOCALS~1TempA~NSISu_.exe
触发规则:所有程序规则->自动运行->*SYSTEMControlSet*ControlSession Manager
2008-10-13 14:22:49 修改注册表内容
进程路径:E:Once33.exe
注册表路径:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows
注册表名称:AppInit_DLLs
触发规则:所有程序规则->自动运行->*SOFTWAREMicrosoftWindows NTCurrentVersionWindows
2008-10-13 14:23:55 创建注册表值
进程路径:E:Once33.exe
注册表路径:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
注册表名称:HBService32
触发规则:所有程序规则->自动运行->*SOFTWAREMicrosoftWindowsCurrentVersionRun*
释放SYS 并SCM安装驱动
引用:
2008-10-13 14:22:53 创建文件
进程路径:E:Once33.exe
文件路径:C:windowssystem32driversHBKernel32.sys
触发规则:所有程序规则->文件阻止及保护->?:*.sys
2008-10-13 14:23:52 访问服务管理器
进程路径:E:Once33.exe
触发规则:所有程序规则->*
2008-10-13 14:23:54 安装服务或者驱动
进程路径:C:WINDOWSsystem32services.exe
文件路径:C:windowssystem32driversHBKernel32.sys
触发规则:所有程序规则->阻止运行->%windir%*
向system32目录释放dll
引用:
2008-10-13 14:22:53 创建文件
进程路径:E:Once33.exe
文件路径:C:windowssystem32HBXY2.dll
触发规则:所有程序规则->文件阻止及保护->?:*.dll
向temp释放bat
引用:
2008-10-13 14:22:53 创建文件
进程路径:E:Once33.exe
文件路径:C:Documents and SettingsAdministratorLocal SettingsTemp11.tmp.bat
触发规则:所有程序规则->Documents and Settings->?:Documents and Settings*.bat
BAT内容
rename C:windowssystem32HBXY2.dll 12.tmp
向temp释放dll
引用:
2008-10-13 14:23:55 创建文件
进程路径:E:Once33.exe
文件路径:C:Documents and SettingsAdministratorLocal SettingsTempHBSelfDel.dll
触发规则:所有程序规则->Documents and Settings->?:Documents and Settings*.dll
调用rundll32 并加载病毒dll
引用:
2008-10-13 14:24:58 运行应用程序
进程路径:E:Once33.exe
文件路径:C:WINDOWSsystem32rundll32.exe
命令行:C:DOCUME~1ADMINI~1LOCALS~1TempHBSelfDel.dll,MagicDelete E:Once33.exe
触发规则:所有程序规则->阻止运行->%windir%*
2008-10-13 14:25:17 加载库文件
进程路径:C:WINDOWSsystem32rundll32.exe
文件路径:C:Documents and SettingsAdministratorLocal SettingsTempHBSelfDel.dll
触发规则:所有程序规则->阻止运行->?:Documents and Settings*Local SettingsTemp*
向system32目录释放exe并调用
引用:
2008-10-13 14:23:55 创建文件
进程路径:E:Once33.exe
文件路径:C:windowssystem32System.exe
触发规则:所有程序规则->文件阻止及保护->?:*.exe
2008-10-13 14:24:47 运行应用程序
进程路径:E:Once33.exe
文件路径:C:WINDOWSsystem32System.exe
触发规则:所有程序规则->阻止运行->%windir%*
SCM安装驱动
引用:
2008-10-13 14:25:04 访问服务管理器
进程路径:C:WINDOWSsystem32System.exe
触发规则:所有程序规则->*
2008-10-13 14:25:19 安装服务或者驱动
进程路径:C:WINDOWSsystem32services.exe
文件路径:C:windowssystem32driversHBKernel32.sys
触发规则:所有程序规则->阻止运行->%windir%*
安装钩子
引用:
2008-10-13 14:25:39 安装全局钩子
进程路径:C:WINDOWSsystem32System.exe
文件路径:C:windowssystem32HBXY2.dll
钩子类型:WH_MOUSE
触发规则:所有程序规则->阻止运行->%windir%*
2008-10-13 14:25:41 安装全局钩子
进程路径:C:WINDOWSsystem32System.exe
文件路径:D:PROGRA~1KASPER~1mzvkbd.dll,D:PROGRA~1KASPER~1mzvkbd3.dll,HBXY2.dll
钩子类型:WH_JOURNALRECORD
触发规则:所有程序规则->*
创建启动项
引用:
2008-10-13 14:25:41 创建注册表值
进程路径:C:WINDOWSsystem32System.exe
注册表路径:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
注册表名称:HBService32
触发规则:所有程序规则->自动运行->*SOFTWAREMicrosoftWindowsCurrentVersionRun*
联网行为:
关键行为:
向系统目录释放exe sys dll
SCM安装驱动
安装钩子
防范对策:
使用HIPS阻止陌生程序向系统目录释放exe sys dll
使用HIPS阻止陌生程序SCM安装驱动
使用HIPS阻止陌生程序安装钩子
使用HIPS阻止陌生程序创建启动项
使用HIPS阻止陌生程序调用rundll32.exe
样本测毒的时候没注意删除了