行为分析 蝗虫军团 Backdoor.Win32.Agent.rnq
2008-10-01 02:16
253 查看
病毒名称:BitDefender:Trojan.PWS.OnlineGames.ZMC
Kaspersky:Backdoor.Win32.Agent.rnq
NOD32v2:a variant of Win32/PSW.OnLineGames.NRF
Rising:Trojan.Win32.VB.fza
VT扫描时间:09.29.2008 19:37:31 (CET)
EQS Lab编号:080930106
EQS Lab地址:http://hi.baidu.com/eqsyssecurity
病毒大小:14.4 KB (14,813 字节)
MD5码:E8D3C4BB6ED3069731EA43EDC611ED0D
病毒类型: 特洛伊木马
主要传播方式: 网络
测试平台: WinXP SP3系统 (默认Shell为BBlean) EQSecurity(HIPS) 实机
危害程度:★★★☆☆
病毒行为:
运行后创建启动项
2008-09-30 20:18:35 创建注册表值
进程路径:F:\Once\12\12.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager
注册表名称:PendingFileRenameOperations
触发规则:所有程序规则->自动运行->*\SYSTEM\ControlSet*\Control\Session Manager
2008-09-30 20:18:35 创建注册表值
进程路径:F:\Once\12\12.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
注册表名称:AppInit_DLLs
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
2008-09-30 20:18:53 删除注册表
进程路径:F:\Once\12\12.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:HBService
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*释放SYS
2008-09-30 20:18:53 创建文件
进程路径:F:\Once\12\12.exe
文件路径:C:\windows\system32\drivers\HBKernel32.sys
触发规则:所有程序规则->文件阻止及保护->?:\*.sysSCM 安装驱动
2008-09-30 20:20:09 访问服务管理器
进程路径:F:\Once\12\12.exe
触发规则:所有程序规则->*
2008-09-30 20:20:13 安装服务或者驱动
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\windows\system32\drivers\HBKernel32.sys
触发规则:所有程序规则->阻止运行->%windir%\*释放DLL
2008-09-30 20:18:53 创建文件
进程路径:F:\Once\12\12.exe
文件路径:C:\windows\system32\HBCONQUER.dll
触发规则:所有程序规则->文件阻止及保护->?:\*.dll
2008-09-30 20:18:53 创建文件
进程路径:F:\Once\12\12.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\HBCONQUER.dll
触发规则:所有程序规则->Documents and Settings->?:\Documents and Settings\*.dll
2008-09-30 20:18:54 创建文件
进程路径:F:\Once\12\12.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\HBSelfDel.dll
触发规则:所有程序规则->Documents and Settings->?:\Documents and Settings\*.dll释放exe
2008-09-30 20:18:53 创建文件
进程路径:F:\Once\12\12.exe
文件路径:C:\windows\system32\System.exe
触发规则:所有程序规则->文件阻止及保护->?:\*.exe调用rundll32
2008-09-30 20:19:41 运行应用程序
进程路径:F:\Once\12\12.exe
文件路径:C:\WINDOWS\system32\rundll32.exe
命令行:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\HBSelfDel.dll,MagicDelete F:\Once\12\12.exe
触发规则:所有程序规则->阻止运行->%windir%\*rundll32加载病毒dll
2008-09-30 20:21:37 加载库文件
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\HBSelfDel.dll
触发规则:所有程序规则->阻止运行->?:\Documents and Settings\*\Local Settings\Temp\*调用exe
2008-09-30 20:21:08 运行应用程序
进程路径:F:\Once\12\12.exe
文件路径:C:\WINDOWS\system32\System.exe
触发规则:所有程序规则->阻止运行->%windir%\*安装钩子
2008-09-30 20:21:49 安装全局钩子
进程路径:C:\WINDOWS\system32\System.exe
文件路径:HBmhly.dll,HB1000Y.dll,HBWOOOL.dll,HBXY2.dll,HBJXSJ.dll,HBSO2.dll,HBFS2.dll,HBXY3.dll,HBSHQ.dll,HBFY.dll,HBWULIN2.dll,HBW2I.dll,HBKDXY.dll,HBWORLD2.dll,HBASKTAO.dll,HBZHUXIAN.dll,HBWOW.dll,HBZERO.dll,HBBO.dll,HBCONQUER.dll,HBSOUL.dll,HBCHIBI.dll,HBDNF.dll,HBWARLORDS.dll,HBTL.dll,HBPICKCHINA.dll,HBCT.dll,HBGC.dll,HBHM.dll,HBHX2.dll,HBQQHX.dll,HBTW2.dll,HBQQSG.dll,HBQQFFO.dll,HBZT.dll,HBMIR2.dll,HBRXJH.dll,HBYY.dll,HBMXD.dll,HBSQ.dll,HBTJ.dll,HBFHZL.dll,HBWLQX.dll,HBLYFX.dll,HBR2.dll,HBCHD.dll,HBTZ.dll,HBQQXX.dll,HBWD.dll,HBZG.dll,HBPPBL.dll,HBXMJ.dll,HBJTLQ.dll,HBQJSJ.dll
钩子类型:WH_JOURNALRECORD
触发规则:所有程序规则->*
2008-09-30 20:21:57 安装全局钩子
进程路径:C:\WINDOWS\system32\System.exe
文件路径:C:\windows\system32\HBCONQUER.dll
钩子类型:WH_MOUSE
触发规则:所有程序规则->阻止运行->%windir%\*
联网行为:
关键行为:
向系统目录创建exe dll sys
SCM 安装驱动
安装钩子
HIPS防范对策:
阻止陌生程序向系统目录创建exe dll sys
阻止陌生程序SCM 安装驱动
阻止陌生程序安装钩子
阻止陌生程序创建启动项
样本下载:http://bbs.janmeng.com/thread-803707-1-1.html本文出自 “沁妍病毒行为分析室” 博客,请务必保留此出处http://qinyan.blog.51cto.com/494057/103006
Kaspersky:Backdoor.Win32.Agent.rnq
NOD32v2:a variant of Win32/PSW.OnLineGames.NRF
Rising:Trojan.Win32.VB.fza
VT扫描时间:09.29.2008 19:37:31 (CET)
EQS Lab编号:080930106
EQS Lab地址:http://hi.baidu.com/eqsyssecurity
病毒大小:14.4 KB (14,813 字节)
MD5码:E8D3C4BB6ED3069731EA43EDC611ED0D
病毒类型: 特洛伊木马
主要传播方式: 网络
测试平台: WinXP SP3系统 (默认Shell为BBlean) EQSecurity(HIPS) 实机
危害程度:★★★☆☆
病毒行为:
运行后创建启动项
2008-09-30 20:18:35 创建注册表值
进程路径:F:\Once\12\12.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager
注册表名称:PendingFileRenameOperations
触发规则:所有程序规则->自动运行->*\SYSTEM\ControlSet*\Control\Session Manager
2008-09-30 20:18:35 创建注册表值
进程路径:F:\Once\12\12.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
注册表名称:AppInit_DLLs
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
2008-09-30 20:18:53 删除注册表
进程路径:F:\Once\12\12.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:HBService
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*释放SYS
2008-09-30 20:18:53 创建文件
进程路径:F:\Once\12\12.exe
文件路径:C:\windows\system32\drivers\HBKernel32.sys
触发规则:所有程序规则->文件阻止及保护->?:\*.sysSCM 安装驱动
2008-09-30 20:20:09 访问服务管理器
进程路径:F:\Once\12\12.exe
触发规则:所有程序规则->*
2008-09-30 20:20:13 安装服务或者驱动
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\windows\system32\drivers\HBKernel32.sys
触发规则:所有程序规则->阻止运行->%windir%\*释放DLL
2008-09-30 20:18:53 创建文件
进程路径:F:\Once\12\12.exe
文件路径:C:\windows\system32\HBCONQUER.dll
触发规则:所有程序规则->文件阻止及保护->?:\*.dll
2008-09-30 20:18:53 创建文件
进程路径:F:\Once\12\12.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\HBCONQUER.dll
触发规则:所有程序规则->Documents and Settings->?:\Documents and Settings\*.dll
2008-09-30 20:18:54 创建文件
进程路径:F:\Once\12\12.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\HBSelfDel.dll
触发规则:所有程序规则->Documents and Settings->?:\Documents and Settings\*.dll释放exe
2008-09-30 20:18:53 创建文件
进程路径:F:\Once\12\12.exe
文件路径:C:\windows\system32\System.exe
触发规则:所有程序规则->文件阻止及保护->?:\*.exe调用rundll32
2008-09-30 20:19:41 运行应用程序
进程路径:F:\Once\12\12.exe
文件路径:C:\WINDOWS\system32\rundll32.exe
命令行:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\HBSelfDel.dll,MagicDelete F:\Once\12\12.exe
触发规则:所有程序规则->阻止运行->%windir%\*rundll32加载病毒dll
2008-09-30 20:21:37 加载库文件
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\HBSelfDel.dll
触发规则:所有程序规则->阻止运行->?:\Documents and Settings\*\Local Settings\Temp\*调用exe
2008-09-30 20:21:08 运行应用程序
进程路径:F:\Once\12\12.exe
文件路径:C:\WINDOWS\system32\System.exe
触发规则:所有程序规则->阻止运行->%windir%\*安装钩子
2008-09-30 20:21:49 安装全局钩子
进程路径:C:\WINDOWS\system32\System.exe
文件路径:HBmhly.dll,HB1000Y.dll,HBWOOOL.dll,HBXY2.dll,HBJXSJ.dll,HBSO2.dll,HBFS2.dll,HBXY3.dll,HBSHQ.dll,HBFY.dll,HBWULIN2.dll,HBW2I.dll,HBKDXY.dll,HBWORLD2.dll,HBASKTAO.dll,HBZHUXIAN.dll,HBWOW.dll,HBZERO.dll,HBBO.dll,HBCONQUER.dll,HBSOUL.dll,HBCHIBI.dll,HBDNF.dll,HBWARLORDS.dll,HBTL.dll,HBPICKCHINA.dll,HBCT.dll,HBGC.dll,HBHM.dll,HBHX2.dll,HBQQHX.dll,HBTW2.dll,HBQQSG.dll,HBQQFFO.dll,HBZT.dll,HBMIR2.dll,HBRXJH.dll,HBYY.dll,HBMXD.dll,HBSQ.dll,HBTJ.dll,HBFHZL.dll,HBWLQX.dll,HBLYFX.dll,HBR2.dll,HBCHD.dll,HBTZ.dll,HBQQXX.dll,HBWD.dll,HBZG.dll,HBPPBL.dll,HBXMJ.dll,HBJTLQ.dll,HBQJSJ.dll
钩子类型:WH_JOURNALRECORD
触发规则:所有程序规则->*
2008-09-30 20:21:57 安装全局钩子
进程路径:C:\WINDOWS\system32\System.exe
文件路径:C:\windows\system32\HBCONQUER.dll
钩子类型:WH_MOUSE
触发规则:所有程序规则->阻止运行->%windir%\*
联网行为:
关键行为:
向系统目录创建exe dll sys
SCM 安装驱动
安装钩子
HIPS防范对策:
阻止陌生程序向系统目录创建exe dll sys
阻止陌生程序SCM 安装驱动
阻止陌生程序安装钩子
阻止陌生程序创建启动项
样本下载:http://bbs.janmeng.com/thread-803707-1-1.html本文出自 “沁妍病毒行为分析室” 博客,请务必保留此出处http://qinyan.blog.51cto.com/494057/103006
相关文章推荐
- 实战智能推荐系统(6)-- 用户行为分析
- 实战智能推荐系统(6)-- 用户行为分析
- 实战智能推荐系统(6)-- 用户行为分析
- 谁在使用我的网站——用户行为分析
- 【行为分析】(三)Google Analytics
- Java设计模式之从[鼠标接口][星际争霸中的兵种行为]分析适配器(Adapter)模式
- 网站用户行为数据统计与分析之六:elasticsearch的配置和使用
- 需要视频质量诊断,智能行为分析,人数统计的联系我
- 云计算项目实战——某大型互联网企业用户上网行为日志分析系统 PPT下载
- 腾讯开放平台用户数据及行为分析
- 中国人自己的DISC-易为DISC行为风格分析认证专家
- 消费心理及客户行为分析
- 2017云栖大会·杭州峰会:《在线用户行为分析:基于流式计算的数据处理及应用》实验环境准备
- Domain Object :基于业务行为的分析
- SQLServer · BUG分析 · Agent 链接泄露分析(转载)
- 基于FEA的暴力破解行为分析
- Spark项目之电商用户行为分析大数据平台之(一)项目介绍
- Spark项目之电商用户行为分析大数据平台之(八)需求分析
- Spark项目之电商用户行为分析大数据平台之(十二)Spark上下文构建及模拟数据生成
- 遭遇beep.sys/Backdoor.Win32.Agent,DOVA/Backdoor.Win32.Hupigon,myRAT.rmvb/Trojan.Win32.Delf等2