Rootkit.Win32.Agent.eui是属于一种后门类的病毒程序,以下文章通过被感染者的检测实录,分析被Rootkit.Win32.Agent.eui病毒所感染后的计算机行为。
病毒名称:
Kaspersky:Rootkit.Win32.Agent.eui
VT扫描时间:2008.11.17 08:17:40 (CET)
EQS Lab编号:081117195
EQS Lab地址:http://hi.baidu.com/eqsyssecurity
病毒大小:177 KB (181,647 字节)
MD5码:CE1FE5C366A08D06CAAD137888188CF5
测试平台: WinXP SP3系统 (默认Shell为BBlean) EQSecurity(HIPS) 实机
病毒行为:
注:本分析为多次运行测试结果汇总 因此时间可能会混乱
运行后向temp目录释放dll
2008-11-17 16:20:43 创建文件
进程路径:E:\\Once\\9\\9.exe
文件路径:C:\\Documents and Settings\\Administrator\\Local Settings\\Temp\\nsd12.tmp\\BackOperHelper.dll
触发规则:所有程序规则->Documents and Settings->?:\\Documents and Settings\\*.dll
向windows目录释放随机名tmp dll
2008-11-17 16:20:43 创建文件
进程路径:E:\\Once\\9\\9.exe
文件路径:C:\\WINDOWS\\nsx13.tmp
触发规则:所有程序规则->保护目录->%windir%*
2008-11-17 16:20:45 创建文件
进程路径:E:\\Once\\9\\9.exe
文件路径:C:\\WINDOWS\\winsd82.dll
触发规则:所有程序规则->文件阻止及保护->?:\\*.dll
添加PendingFileRenameOperations启动项
2008-11-17 16:21:04 创建注册表值
进程路径:E:\\Once\\9\\9.exe
注册表路径:HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\Session Manager
注册表名称endingFileRenameOperations
触发规则:所有程序规则->自动运行->*\\SYSTEM\\ControlSet*\\Control\\Session Manager
以命令行调用rundll32.exe
2008-11-17 16:20:56 运行应用程序
进程路径:E:\\Once\\9\\9.exe
文件路径:C:\\WINDOWS\\system32\\rundll32.exe
命令行:/s \"C:\\WINDOWS\\winsd82.dll\",UpdateIFEOInfo
触发规则:所有程序规则->阻止运行->%windir%\\*
2008-11-17 16:22:08 运行应用程序
进程路径:E:\\Once\\9\\9.exe
文件路径:C:\\WINDOWS\\system32\\rundll32.exe
命令行:/s \"C:\\WINDOWS\\winsd82.dll\",SendStatisticDataOnInstall
触发规则:所有程序规则->阻止运行->%windir%\\*
2008-11-17 16:23:40 运行应用程序
进程路径:E:\\Once\\9\\9.exe
文件路径:C:\\WINDOWS\\system32\\rundll32.exe
命令行:\"C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\nsv81.tmp\\BackOperHelper.dll\",CloseExistedDllByRundll32 C:\\WINDOWS\\winsd82.dll
触发规则:所有程序规则->阻止运行->%windir%\\*#p#
向windows目录创建wininit.ini
2008-11-17 16:21:04 创建文件
进程路径:E:\\Once\\9\\9.exe
文件路径:C:\\WINDOWS\\wininit.ini
触发规则:所有程序规则->保护目录->%windir%*
wininit.ini内容:
[Rename]
NUL=C:\\WINDOWS\\nss7E.tmp
NUL=C:\\WINDOWS\\nsd82.tmp
rundll32.exe加载病毒DLL
2008-11-17 16:24:02 加载库文件
进程路径:C:\\WINDOWS\\system32\\rundll32.exe
文件路径:C:\\Documents and Settings\\Administrator\\Local Settings\\Temp\\nsv81.tmp\\BackOperHelper.dll
触发规则:所有程序规则->阻止运行->?:\\Documents and Settings\\*\\Local Settings\\Temp\\*
rundll32.exe安装钩子
2008-11-17 16:25:33 安装全局钩子
进程路径:C:\\WINDOWS\\system32\\rundll32.exe
文件路径:C:\\WINDOWS\\winsd82.dll
钩子类型:WH_CALLWNDPROCRET
触发规则:所有程序规则->阻止运行->%windir%\\*
访问服务管理器
2008-11-17 16:24:05 访问服务管理器
进程路径:E:\\Once\\9\\9.exe
触发规则:所有程序规则->*
创建计划任务
2008-11-17 16:24:13 创建文件
进程路径:E:\\Once\\9\\9.exe
文件路径:C:\\WINDOWS\\Tasks\\MsUpdateTask.job
触发规则:所有程序规则->保护目录->%windir%*
svchost.exe隐藏并修改SA.DAT
2008-11-17 16:24:57 修改文件
进程路径:C:\\WINDOWS\\system32\\svchost.exe
文件路径隐藏文件)C:\\WINDOWS\\Tasks\\SA.DAT
触发规则:所有程序规则->保护目录->%windir%*
svchost.exe修改pf文件
2008-11-17 16:25:18 修改文件
进程路径:C:\\WINDOWS\\system32\\svchost.exe
文件路径:C:\\WINDOWS\\Prefetch\\CSRSS.EXE-12B63473.pf
触发规则:所有程序规则->保护目录->%windir%*
关键行为:
向系统目录创建DLL
创建计划任务文件
调用rundll32.exe
SCM 控制svchost.exe
【编辑推荐】
- Adobe Acrobat Reader漏洞引发rootkit病毒攻击
- Linux下用gdb检测内核rootkit的方法
- 微软研究员演示轻量级的Rootkit保护系统
- eEye工程介绍:漏洞大曝光 编写引导层RootKit
- 基于处理器调试机制的Rootkit隐形技术
