NOTE
魔法盾EQS官方资讯站
本BLOG为魔法盾EQS官方资讯站,将提供最新的魔法盾资讯
关于病毒行为分析
对本BLOG使用HIPS进行行为分析测试的声明
点击下载最新EQ
The
我的网盘
我的网盘,提供一些资料、安全小工具及EQ相关下载
问答
+ 添加到我的博客
音乐播放器
+ 添加到我的博客
图片幻灯
+ 添加到我的博客
我的链接
EQSecure官方论坛
国产优秀HIPS软件
剑盟中国
中国剑客联盟
卡饭论坛
综合性安全论坛
深度技术论坛
深度-值得深入
精睿
精睿网络安全
在线病毒扫描
在线多引擎扫描站点
coderui'sBlog
电脑安全精英
Greysign'sBlog
电脑安全精英
hzqedison'sBlog
电脑安全精英
teyqiu'sBlog
电脑安全精英
FlowerCode'sBlog
电脑安全精英
分类
访客
读取中...
好友
读取中...
评论
读取中...
留言
+ 添加到我的博客
博文
最近在昆明一直挺忙的
再得空的时候想了下
虽然百度的BLOG被百度的搜索引擎屏蔽
起码那些转载佬不会通过百度搜索到我BLOG了
另外还有个原因就是
所以将换回原来的百度BLOG:http://hi.baidu.com/eqsyssecurity/
访问被入侵的music.cctv.com会出现黑客留下的字样
嗯
接下来玩
嗯 打这个BOSS的最好成绩
最后一个画面
过场动画
病毒名称:Kaspersky:Trojan-Dropper.Win32.Agent.aabx
NOD32:probably a variant of Win32/Genetik
Rising:Trojan.DL.Win32.Mnless.bqe
VT扫描时间:2008.11.28 06:55:38 (CET)
EQS Lab编号:081128204
EQS Lab地址:http://blog.sina.com.cn/flowerfox1431
病毒大小:36.0 KB (36,864 字节)
MD5码:CBA7E0FA73D92921B6993C06E751A92D
测试平台: WinXP SP3系统 (默认Shell为BBlean)
EQSecurity(HIPS) 实机
病毒行为:
注:本分析为多次运行测试结果汇总 因此时间可能会混乱
运行后向drivers目录释放sys
VT扫描时间:2008.11.28 06:55:38 (CET)
EQS Lab编号:081128204
EQS Lab地址:http://blog.sina.com.cn/flowerfox1431
病毒大小:36.0 KB (36,864 字节)
MD5码:CBA7E0FA73D92921B6993C06
测试平台: WinXP SP3系统 (默认Shell为BBlean)
病毒行为:
注:本分析为多次运行测试结果汇总
运行后向drivers目录释放sys
2008-11-28 14:38:36创建文件
进程路径:E:\Once\3\3.exe
病毒名称:Kaspersky:Trojan.Win32.Delux.cc
NOD32:probably a variant of Win32/Agent.LYB
Rising:-
VT扫描时间: 2008.11.28 06:58:12 (CET)
EQS Lab编号:081128205
EQS Lab地址:http://blog.sina.com.cn/flowerfox1431
病毒大小:57.5 KB (58,928 字节)
MD5码:06A2963F72D950E4765716CBA82A3F4D
测试平台: WinXP SP3系统 (默认Shell为BBlean)
EQSecurity(HIPS) 实机
病毒行为:
注:本分析为多次运行测试结果汇总 因此时间可能会混乱
运行后向system32目录释放dlx dll
VT扫描时间: 2008.11.28 06:58:12 (CET)
EQS Lab编号:081128205
EQS Lab地址:http://blog.sina.com.cn/flowerfox1431
病毒大小:57.5 KB (58,928 字节)
MD5码:06A2963F72D950E4765716CB
测试平台: WinXP SP3系统 (默认Shell为BBlean)
病毒行为:
注:本分析为多次运行测试结果汇总
运行后向system32目录释放dlx
2008-11-28 14:49:29创建文件
进程路径:E:\Once\4\4.exe
文件路径:C:\WINDO
病毒名称:Kaspersky:Trojan.Win32.Agent.arke
NOD32:probably a variant of Win32/Agent.OCX
Rising:-
VT扫描时间:2008.11.28 06:59:55 (CET)
EQS Lab编号:081128206
EQS Lab地址:http://blog.sina.com.cn/flowerfox1431
病毒大小:36.5 KB (37,376 字节)
MD5码:46051FAEEE62AC93F9C58519350E8024
测试平台: WinXP SP3系统 (默认Shell为BBlean)
EQSecurity(HIPS) 实机
病毒行为:
注:本分析为多次运行测试结果汇总 因此时间可能会混乱
运行后加载系统dll
VT扫描时间:2008.11.28 06:59:55 (CET)
EQS Lab编号:081128206
EQS Lab地址:http://blog.sina.com.cn/flowerfox1431
病毒大小:36.5 KB (37,376 字节)
MD5码:46051FAEEE62AC93F9C58519
测试平台: WinXP SP3系统 (默认Shell为BBlean)
病毒行为:
注:本分析为多次运行测试结果汇总
运行后加载系统dll
2008-11-28 14:59:47加载库文件
进程路径:E:\Once\5\5.exe
文件路径:C:\WINDOWS\system32\dbghelp.dl
病毒名称:Kaspersky:Worm.Win32.AutoRun.syu
NOD32:a variant of Win32/Spy.Pophot.NAO
Rising:Trojan.Win32.KillAV.aud
VT扫描时间:2008.11.28 07:06:11 (CET)
EQS Lab编号:081128207
EQS Lab地址:http://blog.sina.com.cn/flowerfox1431
病毒大小:71.4 KB (73,144 字节)
MD5码:E3D2741377F9100E94D6308AEC821001
测试平台: WinXP SP3系统 (默认Shell为BBlean)
EQSecurity(HIPS) 实机
病毒行为:
注:本分析为多次运行测试结果汇总 因此时间可能会混乱
运行后向system32目录释放exe dll 并添加系统、隐藏属性
VT扫描时间:2008.11.28 07:06:11 (CET)
EQS Lab编号:081128207
EQS Lab地址:http://blog.sina.com.cn/flowerfox1431
病毒大小:71.4 KB (73,144 字节)
MD5码:E3D2741377F9100E94D6308A
测试平台: WinXP SP3系统 (默认Shell为BBlean)
病毒行为:
注:本分析为多次运行测试结果汇总
运行后向system32目录释放exe
2008-11-28 15:04:24创建文件
进程路径:
病毒名称:Kaspersky:-
NOD32:probably a variant of Win32/Injector.DW
Rising:-
VT扫描时间:2008.11.28 07:08:22 (CET)
EQS Lab编号:081128208
EQS Lab地址:http://blog.sina.com.cn/flowerfox1431
病毒大小:35.0 KB (35,840 字节)
MD5码:364E62CEA46B8598E68A5BA3F53848B3
测试平台: WinXP SP3系统 (默认Shell为BBlean)
EQSecurity(HIPS) 实机
病毒行为:
注:本分析为多次运行测试结果汇总 因此时间可能会混乱
运行后向system32目录释放exe 并调用 修改时间
VT扫描时间:2008.11.28 07:08:22 (CET)
EQS Lab编号:081128208
EQS Lab地址:http://blog.sina.com.cn/flowerfox1431
病毒大小:35.0 KB (35,840 字节)
MD5码:364E62CEA46B8598E68A5BA3
测试平台: WinXP SP3系统 (默认Shell为BBlean)
病毒行为:
注:本分析为多次运行测试结果汇总
运行后向system32目录释放exe
2008-11-28 15:12:01创建文件
进程路径:E:\Once\7.exe
文件路径:C:\WIN
病毒名称:Kaspersky:Worm.Win32.AutoRun.tdb
NOD32:a variant of Win32/AutoRun.WC
Rising:-
VT扫描时间: 2008.11.28 07:10:50 (CET)
EQS Lab编号:081128209
EQS Lab地址:http://blog.sina.com.cn/flowerfox1431
病毒大小:18.5 KB (18,944 字节)
MD5码:0F0D816AA633EF2800FDCB66AE9E746C
测试平台: WinXP SP3系统 (默认Shell为BBlean)
EQSecurity(HIPS) 实机
病毒行为:
注:本分析为多次运行测试结果汇总 因此时间可能会混乱
运行后SCM 修改beep.sys 并加载
VT扫描时间: 2008.11.28 07:10:50 (CET)
EQS Lab编号:081128209
EQS Lab地址:http://blog.sina.com.cn/flowerfox1431
病毒大小:18.5 KB (18,944 字节)
MD5码:0F0D816AA633EF2800FDCB66
测试平台: WinXP SP3系统 (默认Shell为BBlean)
病毒行为:
注:本分析为多次运行测试结果汇总
运行后SCM
2008-11-28 15:22:09访问服务管理器
进程路径:E:\Once\8\8.exe
触发规则:所有程序规
病毒名称:Kaspersky:Trojan-Dropper.Win32.Agent.aabx
NOD32:probably a variant of Win32/Genetik
Rising:Trojan.DL.Win32.Mnless.bqe
VT扫描时间:2008.11.28 06:55:38 (CET)
EQS Lab编号:081128204
EQS Lab地址:http://blog.sina.com.cn/flowerfox1431
病毒大小:36.0 KB (36,864 字节)
MD5码:CBA7E0FA73D92921B6993C06E751A92D
测试平台: WinXP SP3系统 (默认Shell为BBlean)
EQSecurity(HIPS) 实机
病毒行为:
注:本分析为多次运行测试结果汇总 因此时间可能会混乱
运行后向drivers目录释放sys
VT扫描时间:2008.11.28 06:55:38 (CET)
EQS Lab编号:081128204
EQS Lab地址:http://blog.sina.com.cn/flowerfox1431
病毒大小:36.0 KB (36,864 字节)
MD5码:CBA7E0FA73D92921B6993C06
测试平台: WinXP SP3系统 (默认Shell为BBlean)
病毒行为:
注:本分析为多次运行测试结果汇总
运行后向drivers目录释放sys
2008-11-28 14:38:36创建文件
进程路径:E:\Once\3\3.exe
