首页 | 最新病毒 | 反病毒学院 | qq病毒专杀 | arp病毒 | MSN病毒 | auto病毒专杀 | U盘病毒 | downloader病毒 | 木马查杀 | 计算机病毒 | 最新漏洞   
您的位置: 首页 >> 木马查杀 >> 阅读资讯:盗号木马 Trojan-GameThief.Win32.OnLineGames.slre(kncer32.exe)

盗号木马 Trojan-GameThief.Win32.OnLineGames.slre(kncer32.exe)

[ 作者:沁妍万岁 | 更新日期:2008-8-11 21:47:53 | 阅读次数: ]
病毒名称: AntiVir:  TR/Dropper.Gen
                    Kaspersky: Trojan-GameThief.Win32.OnLineGames.slre
                NOD32v2:probably unknown NewHeur_PE virus
                Rising:Trojan.PSW.Win32.GameOL.ozj
VT查杀率:31/36 (86.12%)
EQS  Lab编号:080803011
病毒大小: 21.0 KB (21,553 字节)
MD5码: 9A8A9280B535F1C7ECFA6C81AE8391FC
病毒类型: 盗号木马
主要传播方式: 网络
测试平台: WinXP SP3系统 (默认Shell为BBlean) EQSecurity(HIPS) 实机
危害程度:

病毒行为:

运行后向system32目录创建exe
引用:
2008-08-03 16:55:48    创建文件      
进程路径:F:\Once\4\28.exe
文件路径:C:\windows\system32\kncer32.exe
触发规则:所有程序规则->File Rule->?:\*.exe
向system32目录创建ini
引用:
2008-08-03 16:55:48    创建文件      
进程路径:F:\Once\4\28.exe
文件路径:C:\windows\system32\kncer32.ini
触发规则:所有程序规则->Block Rule->C:\WINDOWS\*
内容
引用:
F:\Once\4\28.exe
修改exe为隐藏文件
引用:
2008-08-03 16:56:05    修改文件      
进程路径:F:\Once\4\28.exe
文件路径:(隐藏文件)C:\WINDOWS\system32\kncer32.exe
触发规则:所有程序规则->File Rule->?:\*.exe
调用生成物
引用:
2008-08-03 16:56:11    运行应用程序      
进程路径:F:\Once\4\28.exe
文件路径:C:\windows\system32\kncer32.exe
触发规则:所有程序规则->Block APP Run->%windir%\*
创建dll
引用:
2008-08-03 16:56:11    创建文件      
进程路径:C:\windows\system32\kncer32.exe
文件路径:C:\windows\system32\kncer32.dll
触发规则:所有程序规则->File Rule->?:\*.dll
删除ini
引用:
2008-08-03 16:56:11    删除文件      
进程路径:C:\windows\system32\kncer32.exe
文件路径:C:\WINDOWS\system32\kncer32.ini
触发规则:所有程序规则->Block Rule->C:\WINDOWS\*
SCM   控制services.exe加载驱动
引用:
2008-08-03 16:57:13    访问服务管理器      
进程路径:C:\WINDOWS\system32\kncer32.exe
触发规则:所有程序规则->*
2008-08-03 16:57:19    加载驱动程序      
进程路径:C:\windows\system32\services.exe
驱动路径:C:\windows\system32\drivers\Cdaudio.sys
触发规则:所有程序规则->Block APP Run->%windir%\*
添加启动项
引用:
2008-08-03 16:57:20    创建注册表值      
进程路径:C:\WINDOWS\system32\kncer32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
注册表名称:[Key]
触发规则:所有程序规则->System Option->*\Software\Microsoft\Windows\Currentversion\Policies*
修改其它进程内存  控制svchost.exe进程
引用:
2008-08-03 16:57:20    修改其它进程内存      
进程路径:C:\WINDOWS\system32\kncer32.exe
目标进程:C:\windows\system32\svchost.exe
触发规则:所有程序规则->Process protect rule->%windir%\System32\svchost.exe
关键行为:
向system32目录创建文件
SCM   控制services.exe加载驱动
修改其它进程内存  控制svchost.exe进程

HIPS防范对策:

阻止陌生程序向system32目录创建文件
阻止陌生程序SCM   控制services.exe加载驱动
阻止陌生程序修改其它进程内存  控制svchost.exe进程
阻止陌生程序添加启动项

Tags:盗号木马 Trojan-GameThief.Win32.OnLineGames.slre kncer32.
来源:动物家园
上一篇:TR/Crypt.CFI.Gen(service.exe)病毒分析  下一篇:TR/Dropper.Gen (MayaGirl)病毒
您的评论
用户名:新注册) 密码: 匿名评论 [所有评论]

·用户发表意见仅代表其个人意见,并且承担一切因发表内容引起的纠纷和责任
·本站管理人员有权在不通知用户的情况下删除不符合规定的评论信息或留做证据
·请客观的评价您所看到的资讯,提倡就事论事,杜绝漫骂和人身攻击等不文明行为
热点资讯

精彩推荐

最新资讯

随机推荐