Trojan.Win32.KillAV.fqi 鬼影病毒
病毒名称:Kaspersky:Trojan.Win32.KillAV.fqiNOD32:-
Rising:-Trojan.Win32.KillAV.csw
VT扫描时间:2010.03.17 07:53:39 (UTC)
VAS Lab编号:100317006
VAS Lab地址:http://hi.baidu.com/eqsyssecurity
病毒大小:50.4 KB (51,631 字节)
MD5码:F377E0F7C8F1A37CD5C92CF7AEA3C8F7
伪造数字签名:-
测试平台: WinXP SP3系统 EQSecurity(HIPS) 实机
测试说明:http://hi.baidu.com/eqsyssecurity/blog/item/f0eda3f08e5b15c57831aa7c.html
联系Mail:vas@jj.tc
联系BBS:http://www.hipschina.com
病毒行为:
注:本分析可能为多次运行测试结果汇总因此时间可能会混乱
运行后直接操作系统内核
2010-03-17 15:37:15 直接操作系统内核
进程路径:E:\KIA\1.exe
触发规则:所有程序规则->*
读取其他进程内存
2010-03-17 15:37:21 读取其它进程内存
进程路径:E:\KIA\1.exe
目标进程:C:\WINDOWS\system32\csrss.exe
触发规则:所有程序规则->进程保护->%systemroot%\system32\csrss.exe
2010-03-17 15:37:39 读取其它进程内存
进程路径:E:\KIA\1.exe
目标进程:C:\WINDOWS\system32\services.exe
触发规则:所有程序规则->进程保护->%systemroot%\system32\services.exe
2010-03-17 15:37:39 读取其它进程内存
进程路径:E:\KIA\1.exe
目标进程:C:\WINDOWS\system32\svchost.exe
触发规则:所有程序规则->进程保护->%systemroot%\System32\svchost.exe
向Program files\MSDN\目录写入sys
2010-03-17 15:37:29 创建文件
进程路径:E:\KIA\1.exe
文件路径:C:\Program files\MSDN\atixx.sys
触发规则:所有程序规则->文件阻止及保护->?:\*.sys
向DRIVERS目录创建、删除tmp
2010-03-17 15:37:32 创建文件
进程路径:E:\KIA\1.exe
文件路径:C:\WINDOWS\system32\DRIVERS\SET21.tmp
触发规则:所有程序规则->系统核心目录Ⅰ>%systemroot%\system32\drivers\*
2010-03-17 15:37:34 删除文件
进程路径:E:\KIA\1.exe
文件路径:C:\WINDOWS\system32\DRIVERS\SET21.tmp
触发规则:所有程序规则->系统核心目录Ⅱ>%systemroot%\system32\drivers\*
向DRIVERS目录创建SYS
2010-03-17 15:37:38 创建文件
进程路径:E:\KIA\1.exe
文件路径:C:\WINDOWS\system32\DRIVERS\atixx.sys
触发规则:所有程序规则->系统核心目录Ⅰ>%systemroot%\system32\drivers\*
安装服务或驱动
2010-03-17 15:38:04 创建注册表值
进程路径:C:\WINDOWS \system32\services.exe
M注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\atixx
注册表名称:
触发规则:所有程序规则->服务相关>HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\*
2010-03-17 15:38:06 安装服务或者驱动
进程路径:C:\WINDOWS \system32\services.exe
文件路径:C:\WINDOWS \system32\DRIVERS\atixx.sys
触发规则:应用程序规则->系统程序>%systemroot%\system32\services.exe
向TEMP创建自删除BAT并调用
2010-03-17 15:38:12 创建文件
进程路径:E:\KIA\1.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\t.bat
触发规则:所有程序规则->Documents and Settings->?:\Documents and Settings\*.bat
2010-03-17 15:38:25 运行应用程序
进程路径:E:\KIA\1.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c ""C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\t.bat" "
触发规则:高优先规则->In Side->%systemroot%\system32\cmd.exe
BAT内容
:try
del "E:\KIA\1.exe"
if exist "E:\KIA\1.exe" goto try
del %0
联网行为:
关键行为:
操作系统内核
向系统目录创建SYS
安装服务或驱动
读取其他进程内存
防范对策:
使用HIPS阻止陌生程序操作系统内核
使用HIPS阻止陌生程序向系统目录创建SYS
使用HIPS阻止程序安装服务或驱动
使用HIPS阻止陌生程序读取其他进程内存
解压密码:virus 感谢发布行为分析. 谢谢,但附件样本密码是?.... 很详细额
支持一下! 顶顶顶顶顶 感谢发布行为分析 哦!@~!~!~!~!谢谢@~~!~ 在论坛上看过一篇金山公司反病毒工程师关于鬼影病毒分析,挺厉害的一种引导区病毒。 感谢发布对策分析 想看到写MBR的动作:keai