日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

Rootkit.Win32.Agent.eui是屬于一種后門類的病毒程序，以下文章通過被感染者的檢測實錄，分析被Rootkit.Win32.Agent.eui病毒所感染后的計算機行為。

創(chuàng)新互聯(lián)建站長期為成百上千家客戶提供的網(wǎng)站建設(shè)服務(wù)，團隊從業(yè)經(jīng)驗10年，關(guān)注不同地域、不同群體，并針對不同對象提供差異化的產(chǎn)品和服務(wù)；打造開放共贏平臺，與合作伙伴共同營造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為華龍企業(yè)提供專業(yè)的成都做網(wǎng)站、成都網(wǎng)站制作，華龍網(wǎng)站改版等技術(shù)服務(wù)。擁有10多年豐富建站經(jīng)驗和眾多成功案例,為您定制開發(fā)。

病毒名稱：

Kaspersky：Rootkit.Win32.Agent.eui

VT掃描時間：2008.11.17 08:17:40 (CET)

EQS Lab編號：081117195

EQS Lab地址：http://hi.baidu.com/eqsyssecurity

病毒大?。?77 KB (181,647 字節(jié))

MD5碼：CE1FE5C366A08D06CAAD137888188CF5

測試平臺： WinXP SP3系統(tǒng) (默認Shell為BBlean)   EQSecurity（HIPS） 實機

病毒行為：

注：本分析為多次運行測試結(jié)果匯總 因此時間可能會混亂

運行后向temp目錄釋放dll

2008-11-17 16:20:43  創(chuàng)建文件  

進程路徑:E:\\Once\\9\\9.exe

文件路徑:C:\\Documents and Settings\\Administrator\\Local Settings\\Temp\\nsd12.tmp\\BackOperHelper.dll

觸發(fā)規(guī)則:所有程序規(guī)則->Documents and Settings->?:\\Documents and Settings\\*.dll

向windows目錄釋放隨機名tmp dll

2008-11-17 16:20:43  創(chuàng)建文件  

進程路徑:E:\\Once\\9\\9.exe

文件路徑:C:\\WINDOWS\\nsx13.tmp

觸發(fā)規(guī)則:所有程序規(guī)則->保護目錄->%windir%*

2008-11-17 16:20:45  創(chuàng)建文件   

進程路徑:E:\\Once\\9\\9.exe

文件路徑:C:\\WINDOWS\\winsd82.dll

觸發(fā)規(guī)則:所有程序規(guī)則->文件阻止及保護->?:\\*.dll

添加PendingFileRenameOperations啟動項

2008-11-17 16:21:04  創(chuàng)建注冊表值  

進程路徑:E:\\Once\\9\\9.exe

注冊表路徑:HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\Session Manager

注冊表名稱endingFileRenameOperations

觸發(fā)規(guī)則:所有程序規(guī)則->自動運行->*\\SYSTEM\\ControlSet*\\Control\\Session Manager

以命令行調(diào)用rundll32.exe

2008-11-17 16:20:56  運行應(yīng)用程序  

進程路徑:E:\\Once\\9\\9.exe

文件路徑:C:\\WINDOWS\\system32\\rundll32.exe

命令行:/s \"C:\\WINDOWS\\winsd82.dll\",UpdateIFEOInfo

觸發(fā)規(guī)則:所有程序規(guī)則->阻止運行->%windir%\\*

2008-11-17 16:22:08  運行應(yīng)用程序  

進程路徑:E:\\Once\\9\\9.exe

文件路徑:C:\\WINDOWS\\system32\\rundll32.exe

命令行:/s \"C:\\WINDOWS\\winsd82.dll\",SendStatisticDataOnInstall

觸發(fā)規(guī)則:所有程序規(guī)則->阻止運行->%windir%\\*

2008-11-17 16:23:40  運行應(yīng)用程序  

進程路徑:E:\\Once\\9\\9.exe

文件路徑:C:\\WINDOWS\\system32\\rundll32.exe

命令行:\"C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\nsv81.tmp\\BackOperHelper.dll\",CloseExistedDllByRundll32 C:\\WINDOWS\\winsd82.dll

觸發(fā)規(guī)則:所有程序規(guī)則->阻止運行->%windir%\\*#p#

向windows目錄創(chuàng)建wininit.ini

2008-11-17 16:21:04  創(chuàng)建文件  

進程路徑:E:\\Once\\9\\9.exe

文件路徑:C:\\WINDOWS\\wininit.ini

觸發(fā)規(guī)則:所有程序規(guī)則->保護目錄->%windir%*

wininit.ini內(nèi)容：

[Rename]

NUL=C:\\WINDOWS\\nss7E.tmp

NUL=C:\\WINDOWS\\nsd82.tmp

rundll32.exe加載病毒DLL

2008-11-17 16:24:02  加載庫文件 

進程路徑:C:\\WINDOWS\\system32\\rundll32.exe

文件路徑:C:\\Documents and Settings\\Administrator\\Local Settings\\Temp\\nsv81.tmp\\BackOperHelper.dll

觸發(fā)規(guī)則:所有程序規(guī)則->阻止運行->?:\\Documents and Settings\\*\\Local Settings\\Temp\\*

rundll32.exe安裝鉤子

2008-11-17 16:25:33  安裝全局鉤子  

進程路徑:C:\\WINDOWS\\system32\\rundll32.exe

文件路徑:C:\\WINDOWS\\winsd82.dll

鉤子類型:WH_CALLWNDPROCRET

觸發(fā)規(guī)則:所有程序規(guī)則->阻止運行->%windir%\\*

訪問服務(wù)管理器

2008-11-17 16:24:05  訪問服務(wù)管理器  

進程路徑:E:\\Once\\9\\9.exe

觸發(fā)規(guī)則:所有程序規(guī)則->*

創(chuàng)建計劃任務(wù)

2008-11-17 16:24:13  創(chuàng)建文件  

進程路徑:E:\\Once\\9\\9.exe

文件路徑:C:\\WINDOWS\\Tasks\\MsUpdateTask.job

觸發(fā)規(guī)則:所有程序規(guī)則->保護目錄->%windir%*

svchost.exe隱藏并修改SA.DAT

2008-11-17 16:24:57  修改文件  

進程路徑:C:\\WINDOWS\\system32\\svchost.exe

文件路徑隱藏文件)C:\\WINDOWS\\Tasks\\SA.DAT

觸發(fā)規(guī)則:所有程序規(guī)則->保護目錄->%windir%*

svchost.exe修改pf文件

2008-11-17 16:25:18  修改文件  

進程路徑:C:\\WINDOWS\\system32\\svchost.exe

文件路徑:C:\\WINDOWS\\Prefetch\\CSRSS.EXE-12B63473.pf

觸發(fā)規(guī)則:所有程序規(guī)則->保護目錄->%windir%*

關(guān)鍵行為：

向系統(tǒng)目錄創(chuàng)建DLL

創(chuàng)建計劃任務(wù)文件

調(diào)用rundll32.exe

SCM 控制svchost.exe

本文名稱：有關(guān)Rootkit.Win32.Agent.eui的行為分析
文章路徑：http://m.5511xx.com/article/cdjehjs.html