盜號木馬
病毒名称:Trojan-PSW.Win32.OnLineGames.ajzy (Kaspersky)病毒大小:38.0 KB
病毒类型: 盜號
传播方式:未知
MD5:2B24D8ED1268C68600C06E46AC7516E4
测试平台:XP SP3
测试工具(hips):EQSandbox
危害程度:中
病毒分析:
1.創建 .dll
[quote]2006-07-04 19:52:11 文件保护(创建文件) 操作:使用隔离区操作
进程路径:D:\桌面\virus\flow\千里鼠的.exe
文件路径:C:\Program Files\Common Files\Microsoft Shared\MSINFO\atmQQ2.dll
[/quote]
2.命令行 運行 cmd.exe,複製自身到 啟動
[quote]2006-07-04 19:52:12 应用程序保护(运行应用程序) 操作:使用隔离区操作
进程路径:D:\桌面\virus\flow\千里鼠的.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c copy ""D:\桌面\virus\flow\千里鼠的.exe"" "C:\Documents and Settings\All Users\「开始」菜单\程序\启动\系统补丁NTHU-A2A0002039jh.exe"
2006-07-04 20:05:57 文件保护(创建文件) 操作:使用隔离区操作
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\EQSandBox\C\Documents and Settings\All Users\「开始」菜单\程序\启动\系统补丁NTHU-A2A0002039jh.exe
[/quote]
NTHU-A2A0002039 是電腦名稱
3.創建註冊表
[quote]2006-07-04 19:52:14 注册表保护(创建注册表值) 操作:使用隔离区操作
进程路径:D:\桌面\virus\flow\千里鼠的.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
注册表名称:{D544C22D-1F70-4B1E-873D-D8DABEB26695}
[/quote]
4.註冊組件
[quote]2006-07-04 19:52:14 注册表保护(创建注册表值) 操作:使用隔离区操作
进程路径:D:\桌面\virus\flow\千里鼠的.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{D544C22D-1F70-4B1E-873D-D8DABEB26695}
注册表名称:[Key]
[/quote]
5.命令行 運行 cmd.exe,刪除自身
[quote]2006-07-04 19:52:14 应用程序保护(运行应用程序) 操作:使用隔离区操作
进程路径:D:\桌面\virus\flow\千里鼠的.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c del "D:\桌面\virus\flow\千里鼠的.exe"
[/quote]
防范对策和规则:
1.阻止 在 shellexecutehooks 下創建值
2.病毒會安裝 勾子,也要阻止,下面是 病毒常安裝的勾子位置
[quote]
%CommonProgramFiles%\Microsoft Shared\MSINFO\
%CommonProgramFiles%\System\
%CommonProgramFiles%\Services\
%CommonProgramFiles%\Java\
%windir%\Cursors\
%windir%\Debug\
%windir%\Fonts\
%windir%\Help\
%windir%\java\
%windir%\system32\Com\
[/quote]
3. ?:\Documents and Settings\*\「开始」菜单\程序\启动\ 下面只能創建 *.lnk,
其他後綴,要禁止創建!
[[i] 本帖最后由 a256886572008 于 2008-7-4 20:19 编辑 [/i]]
页:
[1]