病毒名称：AntiVir ： TR/Dropper.Gen

　　　 　 　 　 　AVG ：Clicker.OWA

　　　 　 　 　 　Kaspersky　：－

　　　 　 　 　 　NOD32v2：　a variant of Win32/TrojanClicker.Agent.NDJ

　　　 　 　 　 　Rising　：-

　　VT查杀率：25/35 (71.43%)

　　VT扫描时间：2008.08.10 07:47:09 (CET)

　　EQS　Lab编号：080810021

　　病毒大小：26.5 KB (27,224 字节)

　　MD5码： A29CEAE00FFD2B2C51BBA6C362C4F63F

　　病毒类型： 木马程序

　　主要传播方式： 网络

　　测试平台： WinXP SP3系统 (默认Shell为BBlean)　　 EQSecurity（HIPS） 实机

　　危害程度：高

　　病毒行为：

　　运行后会在windows目录生成MayaGirl目录

　　引用:2008-08-10 13:49:04　　创建文件　　

　　进程路径:F:Oncelolo.exe

　　文件路径:C:windowsMayaGirl

　　触发规则:所有程序规则->Block Rule->C:WINDOWS*

　　创建病毒文件

　　引用:2008-08-10 13:49:04　　创建文件　　

　　进程路径:F:Oncelolo.exe

　　文件路径:C:windowsMayaGirlMayaGirlDll.dat

　　触发规则:所有程序规则->Block Rule->C:WINDOWS*

　　2008-08-10 13:49:04　　创建文件　　

　　进程路径:F:Oncelolo.exe

　　文件路径:C:windowsMayaGirlMayaGirlSYS.dat

　　触发规则:所有程序规则->Block Rule->C:WINDOWS*

　　停止beep服务

　　引用:2008-08-10 13:49:18　　运行应用程序　　

　　进程路径:F:Oncelolo.exe

　　文件路径:C:windowssystem32NET.exe

　　命令行:STOP Beep

　　触发规则:所有程序规则->System Tool->%windir%system32et.exe

　　修改beep.sys

　　引用:2008-08-10 13:50:46　　修改文件　　

　　进程路径:F:Oncelolo.exe

　　文件路径:C:windowssystem32Driverseep.sys

　　触发规则:应用程序规则->Important File->*->%windir%system32DriversBeep.sys

　　重新启用beep服务

　　引用:2008-08-10 13:50:54　　运行应用程序　　

　　进程路径:F:Oncelolo.exe

　　文件路径:C:windowssystem32NET.exe

　　命令行:START Beep

　　触发规则:所有程序规则->System Tool->%windir%system32et.exe

　　创建病毒文件

　　引用:2008-08-10 13:51:03　　创建文件　　

　　进程路径:F:Oncelolo.exe

　　文件路径:C:windowsMayaGirlgaga.bat

　　触发规则:所有程序规则->File Rule->?:*.bat

　　删除病毒文件

　　引用:2008-08-10 13:53:40　　删除文件　　

　　进程路径:F:Oncelolo.exe

　　文件路径:C:WINDOWSMayaGirlgaga.bat

　　触发规则:所有程序规则->File Rule->?:*.bat

　　创建病毒文件　　 　 hash与gaga.bat一致

　　引用:2008-08-10 13:51:54　　创建文件　　

　　进程路径:F:Oncelolo.exe

　　文件路径:C:windowsMayaGirlMayaGirlMain.exe

　　触发规则:所有程序规则->File Rule->?:*.exe

　　SCM　安装服务

　　引用:2008-08-10 13:53:47　　访问服务管理器　　

　　进程路径:F:Oncelolo.exe

　　触发规则:所有程序规则->*

　　2008-08-10 13:53:51　　安装服务或者驱动　　

　　进程路径:C:windowssystem32services.exe

　　文件路径:C:windowsMayaGirlMayaGirlMain.exe

　　触发规则:所有程序规则->Block APP Run->%windir%*

　　2008-08-10 13:53:51　　创建注册表值　　

　　进程路径:C:windowssystem32services.exe

　　注册表路径:HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesNetwork Services

　　注册表名称:ImagePath

　　触发规则:所有程序规则->Service->HKEY_LOCAL_MACHINESYSTEM*controlset*Services*

　　创建bat

　　引用:2008-08-10 13:54:01　　创建文件　　

　　进程路径:F:Oncelolo.exe

　　文件路径:C:windowssystem32me.bat

　　触发规则:所有程序规则->File Rule->?:*.bat

　　bat 内容

　　引用:@ech0 off

　　attrib -h -s -r -a %0

　　sleep 2000

　　del "F:Oncelolo.exe"

　　del %0

　　关键行为：

　　向windows目录创建文件

　　修改beep.sys

　　安装服务

　　HIPS防范对策：

　　阻止陌生程序向windows目录创建文件

　　阻止陌生程序修改beep.sys

　　阻止陌生程序通过访问服务管理器安装服务

　　阻止陌生程序向system32目录创建bat