当前规则明细共41条规则,2009-1-25更新
**********************************************************************
[B类]保护性规则
可疑beep.sys操作
敏感:低
指令序列:
1 篡改%windir%\system32\drivers\beep.sys
可疑gho文件操作
敏感:中
指令序列:
1 查找后缀为gho文件
2 篡改后缀为.gho文件,文件名正则匹配“\w+\.gho”
可疑gho文件检索
敏感:中
指令序列:
1 查找文件名包含“.gho”
可疑创建hiv文件
敏感:中
病毒特征:激活释放的文件
指令序列:
1 创建文件后缀是“hiv”
可疑安全模式键修改
敏感:中
指令序列:
1 修改注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\
可疑文件关联修改
敏感:中
指令序列:
1 注册表修改,键正则匹配:“\bHKEY_CLASSES_ROOT\\\.w+\b”
**********************************************************************
[C类]可疑病毒、木马
可疑U盘病毒 01
敏感:中
病毒特征:释放Win32_exe文件
指令序列:
1 任意操作文件名(不含路径)是“autorun.inf”
可疑下载型病毒 01
敏感:低
指令序列:
1 在目录%temp%创建PE文件
2 创建目录为%temp%的PE文件进程
可疑下载型病毒 02
敏感:低
病毒特征:激活释放文件
指令序列:
1 在目录%temp%任意操作文件
2 篡改目录%windir%下文件
可疑后门 01
敏感:中
病毒特征:激活释放文件,释放并加载远程动态库
指令序列:
1 创建进程名包含iexplore
可疑后门 02
敏感:中
病毒特征:释放Win32_exe文件
指令序列:
1 创建进程名包含svchost
可疑感染型病毒 01
敏感:低
指令序列:
1 查找文件,目录名包含“?:\”,文件名正则匹配“*\.exe|*\.dll”
2 修改文件,目录名包含“?:\”,文件名正则匹配“*\.exe|*\.dll”
可疑感染型病毒 02
敏感:低
指令序列:
1 查找文件,目录名包含“?:\”
2 修改文件,目录名包含“?:\”,文件名为PE文件
可疑木马 01
敏感:中
病毒特征:释放并加载全局钩子,释放Win32_Dll文件
可疑木马 02
敏感:中
病毒特征:弱自复制
指令序列:
1 远程线程,文件名包含Explorer
可疑木马 03
敏感:中
病毒特征:释放Win32_Dll
指令序列:
1 修改键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
可疑木马 04
敏感:中
病毒特征:释放Win32_Dll
指令序列:
1 窗口钩子,主文件为PE文件,子文件为dll文件,挂键盘钩子(2)
可疑木马 05
敏感:中
指令序列:
1 创建PE文件
2 挂键盘钩子(2)
可疑木马 06
敏感:中
指令序列:
1 创建PE文件
2 挂键盘钩子(13)
可疑木马 07
敏感:中
指令序列:
1 创建PE文件
2 挂鼠标钩子(7)
可疑木马 08
敏感:中
指令序列:
1 创建PE文件
2 挂鼠标钩子(14)
可疑木马 09
敏感:中
指令序列:
1 创建PE文件
2 挂窗口消息钩子(4)
可疑木马 10
敏感:中
指令序列:
1 创建PE文件
2 挂消息过程钩子(3)
可疑木马 11
敏感:中
病毒特征:释放Win32_Dll文件
指令序列:
1 在目录%windir%\system32创建文件
2 任意操作%windir%\system32\drivers目录内文件
可疑病毒 01
敏感:低
病毒特征:激活释放的文件,释放Win32_Exe
1 创建文件至目录正则匹配“\b(%temp%|%windir%)\w*”
可疑病毒 02
敏感:中
病毒特征:强自复制,激活释放的文件
可疑病毒 03
敏感:中
病毒特征:弱自复制,激活释放的文件
可疑病毒 04
敏感:中
病毒特征:释放驱动程序,释放并加载远程动态库
可疑病毒 05
敏感:中
病毒特征:弱自复制,弱自启动
可疑病毒 06
敏感:中
病毒特征:强自复制,强自启动
可疑病毒 07
敏感:中
病毒特征:弱自复制,释放服务程序
可疑病毒 08
敏感:中
病毒特征:强自复制,释放服务程序
可疑病毒 09
敏感:中
指令序列:
1 创建文件至目录%temp%
2 修改文件至驱动目录和备份目录,目录正则匹配“\b(%windir%\\system32\\dllcache|%windir%\\system32\\drivers)\w*”
**********************************************************************
[D类]
可疑cmd创建
敏感:中
指令序列:
1 创建进程,文件路径是“%windir%\system32\cmd.exe”
可疑ntsd创建
敏感:中
指令序列:
1 创建进程,文件名包含“ntsd.exe”
可疑explorer注入
敏感:中
指令序列:
1 远程线程,文件路径是“%windir%\explorer.exe”
可疑svchost注入
敏感:中
指令序列:
1 远程线程,文件路径是“%windir%\system32\svchost.exe”
可疑行为01
敏感:中
病毒特征:释放并加载驱动
可疑行为02
敏感:中
病毒特征:释放并加载动态库
可疑行为03
敏感:中
指令序列:
1 挂Shell钩子(10)
可疑行为 04
敏感:中
病毒特征:激活释放的文件
指令序列:
1 修改目录正则匹配“\b%windir%\\system32\\drivers\w*”
可疑行为 05
敏感:中
病毒特征:激活释放的文件
指令序列:
1 篡改文件%windir%目录下PE文件
可疑行为 05
敏感:中
病毒特征:激活释放的文件
指令序列:
1 篡改系统目录下PE文件,目录包含%windir%
可疑行为 06
敏感:中
病毒特征:激活释放的文件
指令序列:
1 篡改临时目录文件,目录包含%temp%
2 创建进程,目录包含%temp%
