首页 | 最新病毒 | 反病毒学院 | qq病毒专杀 | arp病毒 | MSN病毒 | auto病毒专杀 | U盘病毒 | downloader病毒 | 木马查杀 | 计算机病毒 | 最新漏洞   
您的位置: 首页 >> 最新病毒 >> 阅读资讯:TR/Dropper.Gen (MayaGirl)病毒

TR/Dropper.Gen (MayaGirl)病毒

[ 作者:沁妍万岁 | 更新日期:2008-8-11 21:50:46 | 阅读次数: ]
病毒名称:AntiVir : TR/Dropper.Gen
                    AVG :Clicker.OWA
                    Kaspersky  :-
                    NOD32v2:  a variant of Win32/TrojanClicker.Agent.NDJ
                    Rising  :-
VT查杀率:25/35 (71.43%)
VT扫描时间:2008.08.10 07:47:09 (CET)

EQS  Lab编号:080810021
病毒大小:26.5 KB (27,224 字节)
MD5码: A29CEAE00FFD2B2C51BBA6C362C4F63F
病毒类型: 木马程序
主要传播方式: 网络
测试平台: WinXP SP3系统 (默认Shell为BBlean)      EQSecurity(HIPS) 实机
危害程度:


病毒行为:

运行后会在windows目录生成MayaGirl目录
引用:
2008-08-10 13:49:04    创建文件      
进程路径:F:\Once\lo\lo.exe
文件路径:C:\windows\MayaGirl
触发规则:所有程序规则->Block Rule->C:\WINDOWS\*
创建病毒文件
引用:
2008-08-10 13:49:04    创建文件      
进程路径:F:\Once\lo\lo.exe
文件路径:C:\windows\MayaGirl\MayaGirlDll.dat
触发规则:所有程序规则->Block Rule->C:\WINDOWS\*

2008-08-10 13:49:04    创建文件      
进程路径:F:\Once\lo\lo.exe
文件路径:C:\windows\MayaGirl\MayaGirlSYS.dat
触发规则:所有程序规则->Block Rule->C:\WINDOWS\*
停止beep服务
引用:
2008-08-10 13:49:18    运行应用程序      
进程路径:F:\Once\lo\lo.exe
文件路径:C:\windows\system32\NET.exe
命令行:STOP Beep
触发规则:所有程序规则->System Tool->%windir%\system32\net.exe
修改beep.sys
引用:
2008-08-10 13:50:46    修改文件      
进程路径:F:\Once\lo\lo.exe
文件路径:C:\windows\system32\Drivers\beep.sys
触发规则:应用程序规则->Important File->*->%windir%\system32\Drivers\Beep.sys
重新启用beep服务
引用:
2008-08-10 13:50:54    运行应用程序      
进程路径:F:\Once\lo\lo.exe
文件路径:C:\windows\system32\NET.exe
命令行:START Beep
触发规则:所有程序规则->System Tool->%windir%\system32\net.exe
创建病毒文件
引用:
2008-08-10 13:51:03    创建文件      
进程路径:F:\Once\lo\lo.exe
文件路径:C:\windows\MayaGirl\gaga.bat
触发规则:所有程序规则->File Rule->?:\*.bat
删除病毒文件
引用:
2008-08-10 13:53:40    删除文件      
进程路径:F:\Once\lo\lo.exe
文件路径:C:\WINDOWS\MayaGirl\gaga.bat
触发规则:所有程序规则->File Rule->?:\*.bat
创建病毒文件         hash与gaga.bat一致
引用:
2008-08-10 13:51:54    创建文件      
进程路径:F:\Once\lo\lo.exe
文件路径:C:\windows\MayaGirl\MayaGirlMain.exe
触发规则:所有程序规则->File Rule->?:\*.exe
SCM   安装服务
引用:
2008-08-10 13:53:47    访问服务管理器      
进程路径:F:\Once\lo\lo.exe
触发规则:所有程序规则->*

2008-08-10 13:53:51    安装服务或者驱动      
进程路径:C:\windows\system32\services.exe
文件路径:C:\windows\MayaGirl\MayaGirlMain.exe
触发规则:所有程序规则->Block APP Run->%windir%\*

2008-08-10 13:53:51    创建注册表值      
进程路径:C:\windows\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Services
注册表名称:ImagePath
触发规则:所有程序规则->Service->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\*
创建bat
引用:
2008-08-10 13:54:01    创建文件      
进程路径:F:\Once\lo\lo.exe
文件路径:C:\windows\system32\me.bat
触发规则:所有程序规则->File Rule->?:\*.bat
bat 内容
引用:
@ech0 off
attrib -h -s -r -a %0
sleep 2000
del "F:\Once\lo\lo.exe"
del %0
关键行为:

向windows目录创建文件

修改beep.sys

安装服务


HIPS防范对策:

阻止陌生程序向windows目录创建文件

阻止陌生程序修改beep.sys

阻止陌生程序通过访问服务管理器安装服务

阻止陌生程序向system32目录创建bat

附件

lo.rar (26.15 KB)

 


Tags:TR/Dropper.Gen MayaGirl
来源:动物家园
上一篇:盗号木马 Trojan-GameThief.Win32.OnLineGames.slre(kncer32.exe)  下一篇:Trojan-GameThief.Win32.OnLineGames.soiv(wrqszl.dll)分析
您的评论
用户名:新注册) 密码: 匿名评论 [所有评论]

·用户发表意见仅代表其个人意见,并且承担一切因发表内容引起的纠纷和责任
·本站管理人员有权在不通知用户的情况下删除不符合规定的评论信息或留做证据
·请客观的评价您所看到的资讯,提倡就事论事,杜绝漫骂和人身攻击等不文明行为
热点资讯

精彩推荐

最新资讯

随机推荐