TR/Dldr.Delphi.Gen（IEXPLORE.EXE）病毒分析

　　病毒名称：AntiVir ： TR/Dldr.Delphi.Gen　

　　　 　 　 　 　AVG ：-

　　　 　 　 　 　Kaspersky　：-　

　　　 　 　 　 　NOD32v2：　probably unknown NewHeur_PE virus

　　　 　 　 　 　Rising　：Backdoor.Win32.Gpigeon.bqq

　　VT查杀率：14/36 (38.89%)

　　EQS　Lab编号：080809020

　　病毒大小： 324 KB (332,288 字节)

　　MD5码： 3D7689A0A32165F8DD067A1C95B2A693

　　病毒类型： 木马程序

　　主要传播方式： 网络

　　测试平台： WinXP SP3系统 (默认Shell为BBlean) EQSecurity（HIPS） 实机

　　危害程度：高

　　病毒行为：

　　运行后调用IE

　　引用:2008-08-09 20:42:02　　运行应用程序　　 　操作:允许

　　进程路径:F:Oncessssss.exe

　　文件路径:C:Program FilesInternet ExplorerIEXPLORE.EXE

　　触发规则:所有程序规则->Process protect rule->C:Program FilesInternet ExplorerIEXPLORE.exe

　　控制SHELL进程（默认为EXPLORER）

　　引用:2008-08-09 20:42:02　　修改其它进程内存　　 操作:允许

　　进程路径:F:Oncessssss.exe

　　目标进程:C:Program FilesBlackBoxlackbox.exe

　　触发规则:应用程序规则->自动创建规则->F:Oncessssss.exe->C:Program FilesBlackBoxlackbox.exe

　　2008-08-09 20:42:02　　创建远程线程　　 操作:阻止

　　进程路径:F:Oncessssss.exe

　　目标进程:C:Program FilesBlackBoxlackbox.exe

　　触发规则:所有程序规则->Process protect rule->C:Program FilesBlackBoxlackbox.exe

　　随后BLACKBOX进程出错　病毒进程亦退出

　　关键行为：

　　控制SHELL进程

　　HIPS防范对策：

　　阻止陌生程序对SHELL进程进行　修改其它进程内存　创建远程线程　的操作