利用声卡程序来隐藏病毒,够阴险,也够创意。
病毒名称:AntiVir :-
AVG :-
Kaspersky :not-a-virus:AdWare.Win32.Agent.eih
NOD32v2:archive damaged
Rising :-
VT查杀率: 4/36 (11.12%)
VT扫描时间:2008.08.23 10:19:38 (CET)
EQS Lab编号:080823036
病毒大小:264 KB (270,457 字节)
MD5码:66F6DA5DC11BD99D15BFEA50AC710A2E
病毒类型: 恶意程序
主要传播方式: 网络
测试平台: WinXP SP3系统 (默认Shell为BBlean) EQSecurity(HIPS) 实机
危害程度:中
病毒行为:
运行后修改Start Page注册表
2008-08-23 19:27:15 修改注册表内容
进程路径:F:\Once\soundman\soundman.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
注册表名称:Start Page
更改后:http://www.go2000.cn/
更改前:http://www.shendu.com/
触发规则:所有程序规则->IE浏览器相关->*\Software\Microsoft\Internet explorer\Main
修改搜索相关注册表
2008-08-23 19:27:15 创建注册表值
进程路径:F:\Once\soundman\soundman.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{5B8225C7-757A-44B2-96BB-1E3AC529B03B}
注册表名称:[Key]
触发规则:所有程序规则->IE浏览器相关->*\Software\Microsoft\Internet explorer\Search*
2008-08-23 19:27:15 修改注册表内容
进程路径:F:\Once\soundman\soundman.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}
注册表名称:URL
更改后:http://www.baidu.com/s?wd={searchTerms}&tn=go2000_pg&cl=3&ie=utf-8
触发规则:所有程序规则->IE浏览器相关->*\Software\Microsoft\Internet explorer\Search*
创建启动项
2008-08-23 19:27:15 创建注册表值
进程路径:F:\Once\soundman\soundman.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:SoundMan
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*
关键行为:修改IE相关注册表
HIPS防范对策:阻止陌生程序修改IE相关注册表
不管怎么说,都得佩服一下,这创意够狠!玩驱动的花招了。
