科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道TR/Dropper.Gen (MayaGirl)病毒

TR/Dropper.Gen (MayaGirl)病毒

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

TR/Dropper.Gen (MayaGirl)病毒

来源:论坛整理 2008年10月29日

关键字: 安全防范 病毒资料 病毒查杀

  • 评论
  • 分享微博
  • 分享邮件
病毒名称:AntiVir : TR/Dropper.Gen
                    AVG :Clicker.OWA
                    Kaspersky  :-
                    NOD32v2:  a variant of Win32/TrojanClicker.Agent.NDJ
                    Rising  :-
VT查杀率:25/35 (71.43%)
VT扫描时间:2008.08.10 07:47:09 (CET)

EQS  Lab编号:080810021
病毒大小:26.5 KB (27,224 字节)
MD5码: A29CEAE00FFD2B2C51BBA6C362C4F63F
病毒类型: 木马程序
主要传播方式: 网络
测试平台: WinXP SP3系统 (默认Shell为BBlean)      EQSecurity(HIPS) 实机
危害程度:


病毒行为:

运行后会在windows目录生成MayaGirl目录
引用:
2008-08-10 13:49:04    创建文件      
进程路径:F:\Once\lo\lo.exe
文件路径:C:\windows\MayaGirl
触发规则:所有程序规则->Block Rule->C:\WINDOWS\*
创建病毒文件
引用:
2008-08-10 13:49:04    创建文件      
进程路径:F:\Once\lo\lo.exe
文件路径:C:\windows\MayaGirl\MayaGirlDll.dat
触发规则:所有程序规则->Block Rule->C:\WINDOWS\*

2008-08-10 13:49:04    创建文件      
进程路径:F:\Once\lo\lo.exe
文件路径:C:\windows\MayaGirl\MayaGirlSYS.dat
触发规则:所有程序规则->Block Rule->C:\WINDOWS\*
停止beep服务
引用:
2008-08-10 13:49:18    运行应用程序      
进程路径:F:\Once\lo\lo.exe
文件路径:C:\windows\system32\NET.exe
命令行:STOP Beep
触发规则:所有程序规则->System Tool->%windir%\system32\net.exe
修改beep.sys
引用:
2008-08-10 13:50:46    修改文件      
进程路径:F:\Once\lo\lo.exe
文件路径:C:\windows\system32\Drivers\beep.sys
触发规则:应用程序规则->Important File->*->%windir%\system32\Drivers\Beep.sys
重新启用beep服务
引用:
2008-08-10 13:50:54    运行应用程序      
进程路径:F:\Once\lo\lo.exe
文件路径:C:\windows\system32\NET.exe
命令行:START Beep
触发规则:所有程序规则->System Tool->%windir%\system32\net.exe
创建病毒文件
引用:
2008-08-10 13:51:03    创建文件      
进程路径:F:\Once\lo\lo.exe
文件路径:C:\windows\MayaGirl\gaga.bat
触发规则:所有程序规则->File Rule->?:\*.bat
删除病毒文件
引用:
2008-08-10 13:53:40    删除文件      
进程路径:F:\Once\lo\lo.exe
文件路径:C:\WINDOWS\MayaGirl\gaga.bat
触发规则:所有程序规则->File Rule->?:\*.bat
创建病毒文件         hash与gaga.bat一致
引用:
2008-08-10 13:51:54    创建文件      
进程路径:F:\Once\lo\lo.exe
文件路径:C:\windows\MayaGirl\MayaGirlMain.exe
触发规则:所有程序规则->File Rule->?:\*.exe
SCM   安装服务
引用:
2008-08-10 13:53:47    访问服务管理器      
进程路径:F:\Once\lo\lo.exe
触发规则:所有程序规则->*

2008-08-10 13:53:51    安装服务或者驱动      
进程路径:C:\windows\system32\services.exe
文件路径:C:\windows\MayaGirl\MayaGirlMain.exe
触发规则:所有程序规则->Block APP Run->%windir%\*

2008-08-10 13:53:51    创建注册表值      
进程路径:C:\windows\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Services
注册表名称:ImagePath
触发规则:所有程序规则->Service->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\*
创建bat
引用:
2008-08-10 13:54:01    创建文件      
进程路径:F:\Once\lo\lo.exe
文件路径:C:\windows\system32\me.bat
触发规则:所有程序规则->File Rule->?:\*.bat
bat 内容
引用:
@ech0 off
attrib -h -s -r -a %0
sleep 2000
del "F:\Once\lo\lo.exe"
del %0
关键行为:

向windows目录创建文件

修改beep.sys

安装服务



HIPS防范对策:

阻止陌生程序向windows目录创建文件

阻止陌生程序修改beep.sys

阻止陌生程序通过访问服务管理器安装服务

阻止陌生程序向system32目录创建bat
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章