病毒名称：AntiVir ：TR/Spy.Goldun.axt

　　Kaspersky ：Trojan-Spy.Win32.Goldun.axt

　　NOD32v2：Win32/Spy.Goldun.NDJ

　　Rising ： -

　　扫描时间：2008.09.16 08:22:45 (CET)

　　EQS Lab编号：080916060

　　EQS Lab地址：http://hi.baidu.com/eqsyssecurity

　　病毒大小：34.1 KB (34,931 字节)

　　MD5码：6BA40E29DB8FB6F9145FDE7A45708875

　　病毒类型： 特洛伊木马

　　主要传播方式： 网络

　　测试平台： WinXP SP3系统 (默认Shell为BBlean) EQSecurity（HIPS） 实机

　　危害程度：★★☆☆☆

　　病毒行为：

　　运行后创建启动项

　　2008-09-16 13:45:59 创建注册表值

　　进程路径:F:Once11.exe

　　注册表路径:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifycabpck

　　注册表名称:[Key]

　　触发规则:所有程序规则->WinLogon->*SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon*

　　向system32创建DLL SYS

　　2008-09-16 13:45:59 创建文件

　　进程路径:F:Once11.exe

　　文件路径:C:WINDOWSsystem32cabpck.dll

　　触发规则:所有程序规则->文件阻止及保护->?:*.dll

　　2008-09-16 13:45:59 创建文件

　　进程路径:F:Once11.exe

　　文件路径:C:WINDOWSsystem32krnlcab.sys

　　触发规则:所有程序规则->文件阻止及保护->?:*.sys

　　加载创建的DLL

　　2008-09-16 13:46:25 加载库文件

　　进程路径:F:Once11.exe

　　文件路径:C:WINDOWSsystem32cabpck.dll

　　触发规则:所有程序规则->*

　　创建BIN

　　2008-09-16 13:46:25 创建文件

　　进程路径:F:Once11.exe

　　文件路径:C:windowssystem32hrpdcf.bin

　　触发规则:所有程序规则->文件夹保护->%windir%*

　　命令行调用rundll32.exe

　　2008-09-16 13:46:13 运行应用程序

　　进程路径:F:Once11.exe

　　文件路径:C:WINDOWSsystem32rundll32.exe

　　命令行:cabpck.dll,cabpck F:Once11.exe

　　触发规则:所有程序规则->阻止运行->%windir%*

　　创建BIN

　　2008-09-16 13:46:51 创建文件

　　进程路径:F:Once11.exe

　　文件路径:C:windowssystem32k86.bin

　　触发规则:所有程序规则->文件夹保护->%windir%*

　　rundll32.exe加载病毒DLL

　　2008-09-16 13:46:55 加载库文件

　　进程路径:C:WINDOWSsystem32rundll32.exe

　　文件路径:C:WINDOWSsystem32cabpck.dll

　　触发规则:所有程序规则->*

　　rundll32.exe创建BIN

　　2008-09-16 13:46:56 创建文件

　　进程路径:C:WINDOWSsystem32rundll32.exe

　　文件路径:C:windowssystem32hrpdcf.bin

　　触发规则:所有程序规则->文件夹保护->%windir%*

　　关键行为：

　　向system32创建DLL SYS BIN

　　命令行调用rundll32.exe

　　HIPS防范对策：

　　阻止陌生程序向system32创建DLL SYS BIN

　　阻止陌生程序调用rundll32.exe