運行kavo.exe,發現下列行為,被EQ-Secure V3.4攔截!
引用:
2007-08-08 12:17:56 修改其它進程內存 操作:阻止
進程路徑:D:\desktop\virus\kavo\kavo.exe
目標進程:C:\Program Files\Internet Explorer\iexplore.exe
觸發規則:所有程序規則->*
2007-08-08 12:17:58 創建文件 操作:允許
進程路徑:D:\desktop\virus\kavo\kavo.exe
文件路徑:C:\Documents and Settings\HungAndy\Local Settings\Temp\4lcwb.dll
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.dll
2007-08-08 12:18:00 創建文件 操作:允許
進程路徑:D:\desktop\virus\kavo\kavo.exe
文件路徑:C:\Documents and Settings\HungAndy\Local Settings\Temp\g2jy.sys
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.sys
2007-08-08 12:18:00 加載驅動程序 操作:阻止
進程路徑:D:\desktop\virus\kavo\kavo.exe
驅動名稱:g2jy.sys
觸發規則:所有程序規則->*
2007-08-08 12:18:02 修改文件 操作:允許
進程路徑:D:\desktop\virus\kavo\kavo.exe
文件路徑:C:\Documents and Settings\HungAndy\Local Settings\Temp\4lcwb.dll
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.dll
2007-08-08 12:18:03 修改其它進程內存 操作:阻止
進程路徑:D:\desktop\virus\kavo\kavo.exe
目標進程:C:\Program Files\Internet Explorer\iexplore.exe
觸發規則:所有程序規則->*
2007-08-08 12:18:05 創建文件 操作:允許
進程路徑:D:\desktop\virus\kavo\kavo.exe
文件路徑:C:\windows\system32\kavo.exe
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.exe
2007-08-08 12:18:07 創建文件 操作:允許
進程路徑:D:\desktop\virus\kavo\kavo.exe
文件路徑:C:\windows\system32\kavo0.dll
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.dll
2007-08-08 12:18:08 修改其它進程內存 操作:阻止
進程路徑:D:\desktop\virus\kavo\kavo.exe
目標進程:C:\windows\Explorer.EXE
觸發規則:所有程序規則->*
|
1.它會修改iexplore.exe的進程內存
2.它會生成
C:\Documents and Settings\HungAndy\Local Settings\Temp\4lcwb.dll
C:\Documents and Settings\HungAndy\Local Settings\Temp\g2jy.sys
3.它會加載驅動程序
g2jy.sys
4.它會修改C:\Documents and Settings\HungAndy\Local Settings\Temp\4lcwb.dll
5.它會修改iexplore.exe的進程內存
6.它會生成
C:\windows\system32\kavo.exe
C:\windows\system32\kavo0.dll
7.它會修改Explorer.EXE的進程內存