病毒名称：AntiVir ： TR/Crypt.CFI.Gen

　　　 　 　 　 　AVG ：Generic11.FSP

　　　 　 　 　 　Kaspersky　：－

　　　 　 　 　 　NOD32v2： probably a variant of Win32/Genetik

　　　 　 　 　 　Rising　：-

　　VT查杀率：16/36 (44.45%)

　　EQS　Lab编号：080805016

　　病毒大小： 34.5 KB (35,328 字节)

　　MD5码： 7BC446686F9AE7FC6F8A208EB8CE8E7B

　　病毒类型：t特洛伊木马

　　主要传播方式： 网络

　　测试平台： WinXP SP3系统 (默认Shell为BBlean) EQSecurity（HIPS） 实机

　　危害程度：中

　　病毒行为：

　　向system32创建exe

　　引用:2008-08-07 00:35:03　　创建文件　　

　　进程路径:F:Once.exe

　　文件路径:C:windowssystem32service.exe

　　触发规则:所有程序规则->File Rule->?:*.exe

　　访问服务管理器　安装病毒服务

　　引用:2008-08-07 00:35:43　　访问服务管理器　　

　　进程路径:F:Once.exe

　　触发规则:所有程序规则->*

　　2008-08-07 00:35:53　　安装服务或者驱动　　 操作:允许

　　进程路径:C:windowssystem32services.exe

　　文件路径:C:windowssystem32service.exe

　　触发规则:所有程序规则->Block APP Run->%windir%*

　　2008-08-07 00:35:53　　创建注册表值　　

　　进程路径:C:windowssystem32services.exe

　　注册表路径:HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesTrackingSS

　　注册表名称:ImagePath

　　触发规则:所有程序规则->Service->HKEY_LOCAL_MACHINESYSTEM*controlset*Services*

　　调用CMD删除自身

　　引用:2008-08-07 00:36:37　　运行应用程序　　

　　进程路径:F:Once.exe

　　文件路径:C:windowssystem32cmd.exe

　　命令行:/c del F:Once.exe > nul

　　触发规则:高优先规则->In Side->%windir%system32cmd.exe

　　病毒内部的和谐字符串　　应该是针对某网游的木马

　　关键行为：

　　向system32目录创建exe

　　SCM　安装服务

　　HIPS防范对策：

　　阻止陌生程序向system32目录创建exe

　　阻止陌生程序SCM　安装服务