卡饭论坛's Archiver



九尾野狐 发表于 2008-7-2 17:21

Win32.PSWTroj.OnLineGames

病毒名称:          Win32.PSWTroj.OnLineGames(金山毒霸)
病毒大小:          657 KB (672,768 字节)
MD5码:             A5DEFD2AE804E5F9A1990D20FB5C8C72
病毒类型:          密码截取
主要传播方式:    N/A
测试平台:          WinXP SP3系统    EQSecurity(HIPS)    实机
危害程度:          中


[b]行为分析[/b]

运行后会往temp目录创建dll
[quote]
进程路径:F:\Once\j\2jqj.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\zzru.dll
[/quote]


往system32目录创建病毒副本并设置为隐藏
[quote]
进程路径:F:\Once\j\2jqj.exe
文件路径:C:\windows\system32\kavo.exe

进程路径:F:\Once\j\2jqj.exe
文件路径:(隐藏文件)C:\WINDOWS\system32\kavo.exe
[/quote]


往system32目录创建kavo0.dl-kavo9.dl

[quote]
进程路径:F:\Once\j\2jqj.exe
文件路径:C:\windows\system32\kavo0.dll
触发规则:所有程序规则->全局文件规则_普通模式->?:\*.dll


2008-07-02 16:58:42    创建文件      操作:阻止
进程路径:F:\Once\j\2jqj.exe
文件路径:C:\windows\system32\kavo1.dll
触发规则:所有程序规则->全局文件规则_普通模式->?:\*.dll


2008-07-02 16:58:42    创建文件      操作:阻止
进程路径:F:\Once\j\2jqj.exe
文件路径:C:\windows\system32\kavo2.dll
触发规则:所有程序规则->全局文件规则_普通模式->?:\*.dll


2008-07-02 16:58:42    创建文件      操作:阻止
进程路径:F:\Once\j\2jqj.exe
文件路径:C:\windows\system32\kavo3.dll
触发规则:所有程序规则->全局文件规则_普通模式->?:\*.dll


2008-07-02 16:58:42    创建文件      操作:阻止
进程路径:F:\Once\j\2jqj.exe
文件路径:C:\windows\system32\kavo4.dll
触发规则:所有程序规则->全局文件规则_普通模式->?:\*.dll


2008-07-02 16:58:42    创建文件      操作:阻止
进程路径:F:\Once\j\2jqj.exe
文件路径:C:\windows\system32\kavo5.dll
触发规则:所有程序规则->全局文件规则_普通模式->?:\*.dll


2008-07-02 16:58:42    创建文件      操作:阻止
进程路径:F:\Once\j\2jqj.exe
文件路径:C:\windows\system32\kavo6.dll
触发规则:所有程序规则->全局文件规则_普通模式->?:\*.dll


2008-07-02 16:58:42    创建文件      操作:阻止
进程路径:F:\Once\j\2jqj.exe
文件路径:C:\windows\system32\kavo7.dll
触发规则:所有程序规则->全局文件规则_普通模式->?:\*.dll


2008-07-02 16:58:42    创建文件      操作:阻止
进程路径:F:\Once\j\2jqj.exe
文件路径:C:\windows\system32\kavo8.dll
触发规则:所有程序规则->全局文件规则_普通模式->?:\*.dll


2008-07-02 16:58:42    创建文件      操作:阻止
进程路径:F:\Once\j\2jqj.exe
文件路径:C:\windows\system32\kavo9.dll
触发规则:所有程序规则->全局文件规则_普通模式->?:\*.dll
[/quote]



添加启动项
[quote]
进程路径:F:\Once\j\2jqj.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:kava
触发规则:所有程序规则->系统自动运行_普通模式->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*
[/quote]



[b]危害行为:[/b]
截取密码后会导致用户帐号及密码丢失


[b]病毒关键行为:[/b]

[color=#FF0000]向C:\WINDOWS\system32目录创建exe  dll文件[/color]


[b]防范对策和规则:[/b]

[color=RoyalBlue]控制向系统目录写入高危文件  exe dll   

控制系统目录程序运行[/color]

pils 发表于 2008-7-2 17:56

这个病毒有安装驱动行为:

vga.sys

九尾野狐 发表于 2008-7-2 18:01

呵  

还没弄到哪步

pils 发表于 2008-7-2 18:05

还有两个危险行为:

写入explorer.exe虚拟内存和植入远线程

九尾野狐 发表于 2008-7-2 18:11

我没explorer.exe  根本测不了这步

rcbblgy 发表于 2008-7-2 18:58

写入explorer.exe虚拟内存
在EQ上会是什么提示呢?

拍黄瓜 发表于 2008-7-2 19:01

回复 6楼 rcbblgy 的帖子

应该是 修改进程内存把

systthird 发表于 2008-7-2 21:43

创建文件倒没啥

加驱动和插入explorer拦住了就好

页: [1]

Powered by Discuz! Archiver 6.1.0  © 2001-2007 Comsenz Inc.