有关Rootkit.Win32.Agent.eui的行为分析

Rootkit.Win32.Agent.eui是属于一种后门类的病毒程序，以下文章通过被感染者的检测实录，分析被Rootkit.Win32.Agent.eui病毒所感染后的计算机行为。

创新互联建站长期为成百上千家客户提供的网站建设服务，团队从业经验10年，关注不同地域、不同群体，并针对不同对象提供差异化的产品和服务；打造开放共赢平台，与合作伙伴共同营造健康的互联网生态环境。为华龙企业提供专业的成都做网站、成都网站制作，华龙网站改版等技术服务。拥有10多年丰富建站经验和众多成功案例,为您定制开发。

病毒名称：

Kaspersky：Rootkit.Win32.Agent.eui

VT扫描时间：2008.11.17 08:17:40 (CET)

EQS Lab编号：081117195

EQS Lab地址：http://hi.baidu.com/eqsyssecurity

病毒大小：177 KB (181,647 字节)

MD5码：CE1FE5C366A08D06CAAD137888188CF5

测试平台： WinXP SP3系统 (默认Shell为BBlean)   EQSecurity（HIPS） 实机

病毒行为：

注：本分析为多次运行测试结果汇总 因此时间可能会混乱

运行后向temp目录释放dll

2008-11-17 16:20:43  创建文件  

进程路径:E:\\Once\\9\\9.exe

文件路径:C:\\Documents and Settings\\Administrator\\Local Settings\\Temp\\nsd12.tmp\\BackOperHelper.dll

触发规则:所有程序规则->Documents and Settings->?:\\Documents and Settings\\*.dll

向windows目录释放随机名tmp dll

2008-11-17 16:20:43  创建文件  

进程路径:E:\\Once\\9\\9.exe

文件路径:C:\\WINDOWS\\nsx13.tmp

触发规则:所有程序规则->保护目录->%windir%*

2008-11-17 16:20:45  创建文件   

进程路径:E:\\Once\\9\\9.exe

文件路径:C:\\WINDOWS\\winsd82.dll

触发规则:所有程序规则->文件阻止及保护->?:\\*.dll

添加PendingFileRenameOperations启动项

2008-11-17 16:21:04  创建注册表值  

进程路径:E:\\Once\\9\\9.exe

注册表路径:HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\Session Manager

注册表名称endingFileRenameOperations

触发规则:所有程序规则->自动运行->*\\SYSTEM\\ControlSet*\\Control\\Session Manager

以命令行调用rundll32.exe

2008-11-17 16:20:56  运行应用程序  

进程路径:E:\\Once\\9\\9.exe

文件路径:C:\\WINDOWS\\system32\\rundll32.exe

命令行:/s \"C:\\WINDOWS\\winsd82.dll\",UpdateIFEOInfo

触发规则:所有程序规则->阻止运行->%windir%\\*

2008-11-17 16:22:08  运行应用程序  

进程路径:E:\\Once\\9\\9.exe

文件路径:C:\\WINDOWS\\system32\\rundll32.exe

命令行:/s \"C:\\WINDOWS\\winsd82.dll\",SendStatisticDataOnInstall

触发规则:所有程序规则->阻止运行->%windir%\\*

2008-11-17 16:23:40  运行应用程序  

进程路径:E:\\Once\\9\\9.exe

文件路径:C:\\WINDOWS\\system32\\rundll32.exe

命令行:\"C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\nsv81.tmp\\BackOperHelper.dll\",CloseExistedDllByRundll32 C:\\WINDOWS\\winsd82.dll

触发规则:所有程序规则->阻止运行->%windir%\\*#p#

向windows目录创建wininit.ini

2008-11-17 16:21:04  创建文件  

进程路径:E:\\Once\\9\\9.exe

文件路径:C:\\WINDOWS\\wininit.ini

触发规则:所有程序规则->保护目录->%windir%*

wininit.ini内容：

[Rename]

NUL=C:\\WINDOWS\\nss7E.tmp

NUL=C:\\WINDOWS\\nsd82.tmp

rundll32.exe加载病毒DLL

2008-11-17 16:24:02  加载库文件 

进程路径:C:\\WINDOWS\\system32\\rundll32.exe

文件路径:C:\\Documents and Settings\\Administrator\\Local Settings\\Temp\\nsv81.tmp\\BackOperHelper.dll

触发规则:所有程序规则->阻止运行->?:\\Documents and Settings\\*\\Local Settings\\Temp\\*

rundll32.exe安装钩子

2008-11-17 16:25:33  安装全局钩子  

进程路径:C:\\WINDOWS\\system32\\rundll32.exe

文件路径:C:\\WINDOWS\\winsd82.dll

钩子类型:WH_CALLWNDPROCRET

触发规则:所有程序规则->阻止运行->%windir%\\*

访问服务管理器

2008-11-17 16:24:05  访问服务管理器  

进程路径:E:\\Once\\9\\9.exe

触发规则:所有程序规则->*

创建计划任务

2008-11-17 16:24:13  创建文件  

进程路径:E:\\Once\\9\\9.exe

文件路径:C:\\WINDOWS\\Tasks\\MsUpdateTask.job

触发规则:所有程序规则->保护目录->%windir%*

svchost.exe隐藏并修改SA.DAT

2008-11-17 16:24:57  修改文件  

进程路径:C:\\WINDOWS\\system32\\svchost.exe

文件路径隐藏文件)C:\\WINDOWS\\Tasks\\SA.DAT

触发规则:所有程序规则->保护目录->%windir%*

svchost.exe修改pf文件

2008-11-17 16:25:18  修改文件  

进程路径:C:\\WINDOWS\\system32\\svchost.exe

文件路径:C:\\WINDOWS\\Prefetch\\CSRSS.EXE-12B63473.pf

触发规则:所有程序规则->保护目录->%windir%*

关键行为：

向系统目录创建DLL

创建计划任务文件

调用rundll32.exe

SCM 控制svchost.exe

网站名称：有关Rootkit.Win32.Agent.eui的行为分析
网页网址：http://www.shufengxianlan.com/qtweb/news28/110728.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联