有关Rootkit.Win32.Agent.eui的行为分析

安全 黑客攻防
Rootkit.Win32.Agent.eui病毒将计算机感染后,关键行为主要为向系统目录创建DLL、创建计划任务文件、调用rundll32.exe、SCM 控制svchost.exe等,达到实现后门开放的目的。

Rootkit.Win32.Agent.eui是属于一种后门类的病毒程序,以下文章通过被感染者的检测实录,分析被Rootkit.Win32.Agent.eui病毒所感染后的计算机行为。

病毒名称:

Kaspersky:Rootkit.Win32.Agent.eui

VT扫描时间:2008.11.17 08:17:40 (CET)

EQS Lab编号:081117195

EQS Lab地址:http://hi.baidu.com/eqsyssecurity

病毒大小:177 KB (181,647 字节)

MD5码:CE1FE5C366A08D06CAAD137888188CF5

测试平台: WinXP SP3系统 (默认Shell为BBlean)   EQSecurity(HIPS) 实机

病毒行为:

注:本分析为多次运行测试结果汇总 因此时间可能会混乱

运行后向temp目录释放dll

2008-11-17 16:20:43  创建文件  

进程路径:E:\\Once\\9\\9.exe

文件路径:C:\\Documents and Settings\\Administrator\\Local Settings\\Temp\\nsd12.tmp\\BackOperHelper.dll

触发规则:所有程序规则->Documents and Settings->?:\\Documents and Settings\\*.dll

向windows目录释放随机名tmp dll

2008-11-17 16:20:43  创建文件  

进程路径:E:\\Once\\9\\9.exe

文件路径:C:\\WINDOWS\\nsx13.tmp

触发规则:所有程序规则->保护目录->%windir%*

2008-11-17 16:20:45  创建文件   

进程路径:E:\\Once\\9\\9.exe

文件路径:C:\\WINDOWS\\winsd82.dll

触发规则:所有程序规则->文件阻止及保护->?:\\*.dll

添加PendingFileRenameOperations启动项

2008-11-17 16:21:04  创建注册表值  

进程路径:E:\\Once\\9\\9.exe

注册表路径:HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\Session Manager

注册表名称endingFileRenameOperations

触发规则:所有程序规则->自动运行->*\\SYSTEM\\ControlSet*\\Control\\Session Manager

以命令行调用rundll32.exe

2008-11-17 16:20:56  运行应用程序  

进程路径:E:\\Once\\9\\9.exe

文件路径:C:\\WINDOWS\\system32\\rundll32.exe

命令行:/s \"C:\\WINDOWS\\winsd82.dll\",UpdateIFEOInfo

触发规则:所有程序规则->阻止运行->%windir%\\*

2008-11-17 16:22:08  运行应用程序  

进程路径:E:\\Once\\9\\9.exe

文件路径:C:\\WINDOWS\\system32\\rundll32.exe

命令行:/s \"C:\\WINDOWS\\winsd82.dll\",SendStatisticDataOnInstall

触发规则:所有程序规则->阻止运行->%windir%\\*

2008-11-17 16:23:40  运行应用程序  

进程路径:E:\\Once\\9\\9.exe

文件路径:C:\\WINDOWS\\system32\\rundll32.exe

命令行:\"C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\nsv81.tmp\\BackOperHelper.dll\",CloseExistedDllByRundll32 C:\\WINDOWS\\winsd82.dll

触发规则:所有程序规则->阻止运行->%windir%\\*#p#

向windows目录创建wininit.ini

2008-11-17 16:21:04  创建文件  

进程路径:E:\\Once\\9\\9.exe

文件路径:C:\\WINDOWS\\wininit.ini

触发规则:所有程序规则->保护目录->%windir%*

wininit.ini内容:

[Rename]

NUL=C:\\WINDOWS\\nss7E.tmp

NUL=C:\\WINDOWS\\nsd82.tmp

rundll32.exe加载病毒DLL

2008-11-17 16:24:02  加载库文件 

进程路径:C:\\WINDOWS\\system32\\rundll32.exe

文件路径:C:\\Documents and Settings\\Administrator\\Local Settings\\Temp\\nsv81.tmp\\BackOperHelper.dll

触发规则:所有程序规则->阻止运行->?:\\Documents and Settings\\*\\Local Settings\\Temp\\*

rundll32.exe安装钩子

2008-11-17 16:25:33  安装全局钩子  

进程路径:C:\\WINDOWS\\system32\\rundll32.exe

文件路径:C:\\WINDOWS\\winsd82.dll

钩子类型:WH_CALLWNDPROCRET

触发规则:所有程序规则->阻止运行->%windir%\\*

访问服务管理器

2008-11-17 16:24:05  访问服务管理器  

进程路径:E:\\Once\\9\\9.exe

触发规则:所有程序规则->*

创建计划任务

2008-11-17 16:24:13  创建文件  

进程路径:E:\\Once\\9\\9.exe

文件路径:C:\\WINDOWS\\Tasks\\MsUpdateTask.job

触发规则:所有程序规则->保护目录->%windir%*

svchost.exe隐藏并修改SA.DAT

2008-11-17 16:24:57  修改文件  

进程路径:C:\\WINDOWS\\system32\\svchost.exe

文件路径隐藏文件)C:\\WINDOWS\\Tasks\\SA.DAT

触发规则:所有程序规则->保护目录->%windir%*

svchost.exe修改pf文件

2008-11-17 16:25:18  修改文件  

进程路径:C:\\WINDOWS\\system32\\svchost.exe

文件路径:C:\\WINDOWS\\Prefetch\\CSRSS.EXE-12B63473.pf

触发规则:所有程序规则->保护目录->%windir%*

关键行为:

向系统目录创建DLL

创建计划任务文件

调用rundll32.exe

SCM 控制svchost.exe

【编辑推荐】

  1. Adobe Acrobat Reader漏洞引发rootkit病毒攻击
  2. Linux下用gdb检测内核rootkit的方法
  3. 微软研究员演示轻量级的Rootkit保护系统
  4. eEye工程介绍:漏洞大曝光 编写引导层RootKit
  5. 基于处理器调试机制的Rootkit隐形技术

 

责任编辑:张启峰 来源: IT168
相关推荐

2018-12-20 10:55:29

2015-10-22 15:38:22

2010-10-11 12:21:18

2010-07-09 14:26:10

SNMP Agent

2010-09-14 09:16:44

2009-12-18 16:43:32

Ruby模块Win32

2009-12-02 13:56:40

Visual Stud

2022-09-28 11:34:27

用户行为数据业务

2017-02-23 10:30:49

2010-06-30 08:27:45

SQL Server数

2018-05-11 15:53:59

2017-07-24 09:18:55

大数据数据分析行为事件分析

2017-01-12 16:02:18

2019-03-28 09:42:15

恶意软件Rootkit攻击

2011-06-14 15:04:23

封装信息隐藏

2009-07-15 18:16:47

性能测试结果

2017-02-20 10:06:12

Win32k系统调用漏洞

2023-06-28 07:54:44

数据治理数据分析

2015-12-31 17:47:54

2019-10-24 12:13:59

Android APP后台动画
点赞
收藏

51CTO技术栈公众号