行为分析:后门病毒-灰鸽子
病毒名称: Win32.Hack.huigezi.652800(金山毒霸)病毒大小: 657 KB (672,768 字节)
MD5码: 340F5160635ADD966E0273380C6BD063
病毒类型: 后门控制
主要传播方式: 各种方式
测试平台: WinXP SP3系统 EQSecurity(HIPS) 实机
危害程度: 高
病毒来源: [url]http://soft.deepin.org/read.php?tid=690546[/url]
病毒详细行为:
[attach]300879[/attach]
1.创建、修改文件
[color=Blue]向C:\WINDOWS目录创建Hacker.com.cn.exe 并修改其属性为隐藏[/color]
2.创建、修改注册表
[color=Blue]创建注册表HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\深度样本区_2008年6月14日14:15
注册表名称:ImagePath[/color]
3.创建、修改服务(驱动)
[color=Blue]通过访问服务管理器(SCM) 调用services进程 安装C:\WINDOWS\Hacker.com.cn.exe为系统服务[/color]
4.危害行为
受控制后 远端控制可任意修改本地数据及上传病毒木马
5.联网行为
插入IEXPLORE.EXE进行穿墙联网 向sunqqq.meibu.com:8000发出连接请求
6.其它
[b]病毒关键行为:[/b]
[color=Purple]向C:\WINDOWS目录创建exe 并通过SCM调用services进程安装服务[/color]
[b]防范对策和规则:[/b]
控制向系统目录写入高危后缀文件 控制系统安装服务或驱动 使用防火墙拦截非需求程序联网
[[i] 本帖最后由 没注册 于 2008-7-2 10:43 编辑 [/i]] 本来是发在深度的范文
结果深度没几个人响应发行为分析贴
希望这里能热闹点吧
希望大家在这边发了之后 转一份到深度去发 如果没有号的话 可以向我要
深度HIPS区 [url]http://soft.deepin.org/thread.php?fid=174[/url]
[[i] 本帖最后由 没注册 于 2008-7-2 10:44 编辑 [/i]] 大小姐的速度真快 鸽子变种太多了吧
另外既然md5已经危险,建议改sha1,或者增加sha1 没注意,什么时候多了个这么一个区?? 样本请直接上传。
链接..........
[:06:] 今天新开的区,来凑个热闹~~ 不错,学习了,要是再详细点就好了
回复 4楼 iszeds 的帖子
同意…………用SHA1 谁说的听说卡饭开了
就赶来了
如果深度在不开
那就混卡饭了 有前辈们把病毒的行为分析出来,我们新手学习起来就方便了!
谢谢各位前辈设立这么一个板块! [:xi13:] 发了。。。。。。。。。真好啊 这个玩的多.....做免杀的人太多了,,,变种也就多了..不过大体都是弄服务.. 支持下,,分析得不错,学习了 支持,用HIPS,这个还是必须,知其然知其所以为然。 学习了
ps:大小姐是美女么?。。。。。。。。。。。。。 灰鸽子变种可真是多啊! 大小姐能给深度的号我吗? 4個動作就感染了? 不错,从向WINDOW创建EXE文件这步就可以直接砍掉了~
页:
[1]