Rootkit.Win32.Agent.eui是属于一种后门类的病毒程序,以下文章通过被感染者的检测实录,分析被Rootkit.Win32.Agent.eui病毒所感染后的计算机行为。
病毒名称:
Kaspersky:Rootkit.Win32.Agent.eui
VT扫描时间:2008.11.17 08:17:40 (CET)
EQS Lab编号:081117195
EQS Lab地址:http://hi.baidu.com/eqsyssecurity
病毒大小:177 KB (181,647 字节)
MD5码:CE1FE5C366A08D06CAAD137888188CF5
测试平台: WinXP SP3系统 (默认Shell为BBlean) EQSecurity(HIPS) 实机
病毒行为:
注:本分析为多次运行测试结果汇总 因此时间可能会混乱
运行后向temp目录释放dll
2008-11-17 16:20:43 创建文件
进程路径:E:\\Once\\9\\9.exe
文件路径:C:\\Documents and Settings\\Administrator\\Local Settings\\Temp\\nsd12.tmp\\BackOperHelper.dll
触发规则:所有程序规则->Documents and Settings->?:\\Documents and Settings\\*.dll
向windows目录释放随机名tmp dll
2008-11-17 16:20:43 创建文件
进程路径:E:\\Once\\9\\9.exe
文件路径:C:\\WINDOWS\\nsx13.tmp
触发规则:所有程序规则->保护目录->%windir%*
2008-11-17 16:20:45 创建文件
进程路径:E:\\Once\\9\\9.exe
文件路径:C:\\WINDOWS\\winsd82.dll
触发规则:所有程序规则->文件阻止及保护->?:\\*.dll
添加PendingFileRenameOperations启动项
2008-11-17 16:21:04 创建注册表值
进程路径:E:\\Once\\9\\9.exe
注册表路径:HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\Session Manager
注册表名称endingFileRenameOperations
触发规则:所有程序规则->自动运行->*\\SYSTEM\\ControlSet*\\Control\\Session Manager
以命令行调用rundll32.exe
2008-11-17 16:20:56 运行应用程序
进程路径:E:\\Once\\9\\9.exe
文件路径:C:\\WINDOWS\\system32\\rundll32.exe
命令行:/s \"C:\\WINDOWS\\winsd82.dll\",UpdateIFEOInfo
触发规则:所有程序规则->阻止运行->%windir%\\*
2008-11-17 16:22:08 运行应用程序
进程路径:E:\\Once\\9\\9.exe
文件路径:C:\\WINDOWS\\system32\\rundll32.exe
命令行:/s \"C:\\WINDOWS\\winsd82.dll\",SendStatisticDataOnInstall
触发规则:所有程序规则->阻止运行->%windir%\\*
2008-11-17 16:23:40 运行应用程序
进程路径:E:\\Once\\9\\9.exe
文件路径:C:\\WINDOWS\\system32\\rundll32.exe
命令行:\"C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\nsv81.tmp\\BackOperHelper.dll\",CloseExistedDllByRundll32 C:\\WINDOWS\\winsd82.dll
触发规则:所有程序规则->阻止运行->%windir%\\* 共2页: 1 [2] 下一页 【内容导航】 第 1 页:Rootkit.Win32.Agent.eui的行为分析(上) 第 2 页:Rootkit.Win32.Agent.eui的行为分析(下)
相关阅读