鬼影病毒行为分析室 Trojan.Win32.KillAV.fqi 鬼影病毒

2011-3-6未知佚名

【大中小】

行为分析 Trojan.Win32.KillAV.fqi 鬼影病毒

2010年03月17日星期三 16:12

病毒名称：Kaspersky：Trojan.Win32.KillAV.fqi
NOD32：-
Rising：-Trojan.Win32.KillAV.csw
VT扫描时间：2010.03.17 07:53:39 (UTC)
VAS Lab编号：100317006
VAS Lab地址：http://hi.baidu.com/eqsyssecurity
病毒大小：50.4 KB (51,631 字节)
MD5码：F377E0F7C8F1A37CD5C92CF7AEA3C8F7
伪造数字签名：-
测试平台： WinXP SP3系统 EQSecurity（HIPS）实机
测试说明：http://hi.baidu.com/eqsyssecurit ... 5b15c57831aa7c.html
联系Mail：vas@jj.tc
联系BBS：http://www.hipschina.com

病毒行为：
注：本分析可能为多次运行测试结果汇总因此时间可能会混乱

运行后直接操作系统内核

2010-03-17 15:37:15 直接操作系统内核
进程路径:E:\KIA\1.exe
触发规则:所有程序规则->*

读取其他进程内存

2010-03-17 15:37:21 读取其它进程内存
进程路径:E:\KIA\1.exe
目标进程:C:\WINDOWS\system32\csrss.exe
触发规则:所有程序规则->进程保护->%systemroot%\system32\csrss.exe

2010-03-17 15:37:39 读取其它进程内存
进程路径:E:\KIA\1.exe
目标进程:C:\WINDOWS\system32\services.exe
触发规则:所有程序规则->进程保护->%systemroot%\system32\services.exe

2010-03-17 15:37:39 读取其它进程内存
进程路径:E:\KIA\1.exe
目标进程:C:\WINDOWS\system32\svchost.exe
触发规则:所有程序规则->进程保护->%systemroot%\System32\svchost.exe

向Program files\MSDN\目录写入sys

2010-03-17 15:37:29 创建文件
进程路径:E:\KIA\1.exe
文件路径:C:\Program files\MSDN\atixx.sys
触发规则:所有程序规则->文件阻止及保护->?:\*.sys

向DRIVERS目录创建、删除 tmp

2010-03-17 15:37:32 创建文件
进程路径:E:\KIA\1.exe
文件路径:C:\WINDOWS\system32\DRIVERS\SET21.tmp
触发规则:所有程序规则->系统核心目录Ⅰ>%systemroot%\system32\drivers\*

2010-03-17 15:37:34 删除文件
进程路径:E:\KIA\1.exe
文件路径:C:\WINDOWS\system32\DRIVERS\SET21.tmp
触发规则:所有程序规则->系统核心目录Ⅱ>%systemroot%\system32\drivers\*

向 DRIVERS目录创建SYS

2010-03-17 15:37:38 创建文件
进程路径:E:\KIA\1.exe
文件路径:C:\WINDOWS\system32\DRIVERS\atixx.sys
触发规则:所有程序规则->系统核心目录Ⅰ>%systemroot%\system32\drivers\*

安装服务或驱动

2010-03-17 15:38:04 创建注册表值
进程路径:C:\WINDOWS \system32\services.exe
M注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\atixx
注册表名称:[Key]
触发规则:所有程序规则->服务相关>HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services \*

2010-03-17 15:38:06 安装服务或者驱动
进程路径:C:\WINDOWS \system32\services.exe
文件路径:C:\WINDOWS \system32\DRIVERS\atixx.sys
触发规则:应用程序规则->系统程序>%systemroot%\system32\services.exe

向 TEMP创建自删除BAT 并调用

2010-03-17 15:38:12 创建文件
进程路径:E:\KIA\1.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\t.bat
触发规则:所有程序规则->Documents and Settings->?:\Documents and Settings\*.bat

2010-03-17 15:38:25 运行应用程序
进程路径:E:\KIA\1.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c ""C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\t.bat" "
触发规则:高优先规则->In Side->%systemroot%\system32\cmd.exe

BAT 内容

:try

del "E:\KIA\1.exe"

if exist "E:\KIA\1.exe" goto try

del %0

联网行为：

关键行为：

操作系统内核

向系统目录创建SYS

安装服务或驱动

读取其他进程内存

防范对策：

使用HIPS阻止陌生程序操作系统内核

使用HIPS阻止陌生程序向系统目录创建SYS

使用HIPS阻止程序安装服务或驱动

使用HIPS阻止陌生程序读取其他进程内存

样本下载：http://www.hipschina.com/thread-209-1-1.html

本文来源：未知作者：佚名

上一篇文章：安装Windows7 SP1时遭遇0x800f0a12

下一篇文章：国家计算机病毒中心发现广告类恶意木马新变种

在win7环境删除arp病毒的教程   2017年6月20发现的针对腾讯游戏的盗号病毒，网吧注意！  win7电脑被病毒入侵的症状及解决方法
电脑中了ARP病毒导致不能上网的处理办法   在Win8电脑防止U盘传病毒的操作   浅谈网络病毒对网吧的危害
通过短信传播的Android病毒席卷丹麦   苹果mac系统中了iWorm病毒如何检测   研究表明：2015年是Mac病毒最多的一年
网吧服务器的防病毒措施

聚合推荐

2022年网吧恢复营业时间网吧卫生网吧电脑配置开网吧网吧键盘网吧配置网吧GHOST ROS 网吧软件故障解决网众无盘网吧游戏菜单网吧活动网吧优化网吧精品网吧新手

声明

声明：本站所发表的文章、评论及图片仅代表作者本人观点，与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益，请作者持权属证明与本网联系，我们将及时更正、删除，谢谢。 Email:support@txwb.com，系统开号，技术支持，服务联系微信：_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品，各位转载时请注明来源链接！

天下网吧·网吧天下

鬼影病毒行为分析室 Trojan.Win32.KillAV.fqi 鬼影病毒

样本下载：http://www.hipschina.com/thread-209-1-1.html

推荐文章

最新文章