日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

Rootkit.Win32.Agent.eui是屬于一種后門類的病毒程序，以下文章通過(guò)被感染者的檢測(cè)實(shí)錄，分析被Rootkit.Win32.Agent.eui病毒所感染后的計(jì)算機(jī)行為。

創(chuàng)新互聯(lián)建站長(zhǎng)期為成百上千家客戶提供的網(wǎng)站建設(shè)服務(wù)，團(tuán)隊(duì)從業(yè)經(jīng)驗(yàn)10年，關(guān)注不同地域、不同群體，并針對(duì)不同對(duì)象提供差異化的產(chǎn)品和服務(wù)；打造開放共贏平臺(tái)，與合作伙伴共同營(yíng)造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為華龍企業(yè)提供專業(yè)的成都做網(wǎng)站、成都網(wǎng)站制作，華龍網(wǎng)站改版等技術(shù)服務(wù)。擁有10多年豐富建站經(jīng)驗(yàn)和眾多成功案例,為您定制開發(fā)。

病毒名稱：

Kaspersky：Rootkit.Win32.Agent.eui

VT掃描時(shí)間：2008.11.17 08:17:40 (CET)

EQS Lab編號(hào)：081117195

EQS Lab地址：http://hi.baidu.com/eqsyssecurity

病毒大?。?77 KB (181,647 字節(jié))

MD5碼：CE1FE5C366A08D06CAAD137888188CF5

測(cè)試平臺(tái)： WinXP SP3系統(tǒng) (默認(rèn)Shell為BBlean)   EQSecurity（HIPS） 實(shí)機(jī)

病毒行為：

注：本分析為多次運(yùn)行測(cè)試結(jié)果匯總 因此時(shí)間可能會(huì)混亂

運(yùn)行后向temp目錄釋放dll

2008-11-17 16:20:43  創(chuàng)建文件  

進(jìn)程路徑:E:\\Once\\9\\9.exe

文件路徑:C:\\Documents and Settings\\Administrator\\Local Settings\\Temp\\nsd12.tmp\\BackOperHelper.dll

觸發(fā)規(guī)則:所有程序規(guī)則->Documents and Settings->?:\\Documents and Settings\\*.dll

向windows目錄釋放隨機(jī)名tmp dll

2008-11-17 16:20:43  創(chuàng)建文件  

進(jìn)程路徑:E:\\Once\\9\\9.exe

文件路徑:C:\\WINDOWS\\nsx13.tmp

觸發(fā)規(guī)則:所有程序規(guī)則->保護(hù)目錄->%windir%*

2008-11-17 16:20:45  創(chuàng)建文件   

進(jìn)程路徑:E:\\Once\\9\\9.exe

文件路徑:C:\\WINDOWS\\winsd82.dll

觸發(fā)規(guī)則:所有程序規(guī)則->文件阻止及保護(hù)->?:\\*.dll

添加PendingFileRenameOperations啟動(dòng)項(xiàng)

2008-11-17 16:21:04  創(chuàng)建注冊(cè)表值  

進(jìn)程路徑:E:\\Once\\9\\9.exe

注冊(cè)表路徑:HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\Session Manager

注冊(cè)表名稱endingFileRenameOperations

觸發(fā)規(guī)則:所有程序規(guī)則->自動(dòng)運(yùn)行->*\\SYSTEM\\ControlSet*\\Control\\Session Manager

以命令行調(diào)用rundll32.exe

2008-11-17 16:20:56  運(yùn)行應(yīng)用程序  

進(jìn)程路徑:E:\\Once\\9\\9.exe

文件路徑:C:\\WINDOWS\\system32\\rundll32.exe

命令行:/s \"C:\\WINDOWS\\winsd82.dll\",UpdateIFEOInfo

觸發(fā)規(guī)則:所有程序規(guī)則->阻止運(yùn)行->%windir%\\*

2008-11-17 16:22:08  運(yùn)行應(yīng)用程序  

進(jìn)程路徑:E:\\Once\\9\\9.exe

文件路徑:C:\\WINDOWS\\system32\\rundll32.exe

命令行:/s \"C:\\WINDOWS\\winsd82.dll\",SendStatisticDataOnInstall

觸發(fā)規(guī)則:所有程序規(guī)則->阻止運(yùn)行->%windir%\\*

2008-11-17 16:23:40  運(yùn)行應(yīng)用程序  

進(jìn)程路徑:E:\\Once\\9\\9.exe

文件路徑:C:\\WINDOWS\\system32\\rundll32.exe

命令行:\"C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\nsv81.tmp\\BackOperHelper.dll\",CloseExistedDllByRundll32 C:\\WINDOWS\\winsd82.dll

觸發(fā)規(guī)則:所有程序規(guī)則->阻止運(yùn)行->%windir%\\*#p#

向windows目錄創(chuàng)建wininit.ini

2008-11-17 16:21:04  創(chuàng)建文件  

進(jìn)程路徑:E:\\Once\\9\\9.exe

文件路徑:C:\\WINDOWS\\wininit.ini

觸發(fā)規(guī)則:所有程序規(guī)則->保護(hù)目錄->%windir%*

wininit.ini內(nèi)容：

[Rename]

NUL=C:\\WINDOWS\\nss7E.tmp

NUL=C:\\WINDOWS\\nsd82.tmp

rundll32.exe加載病毒DLL

2008-11-17 16:24:02  加載庫(kù)文件 

進(jìn)程路徑:C:\\WINDOWS\\system32\\rundll32.exe

文件路徑:C:\\Documents and Settings\\Administrator\\Local Settings\\Temp\\nsv81.tmp\\BackOperHelper.dll

觸發(fā)規(guī)則:所有程序規(guī)則->阻止運(yùn)行->?:\\Documents and Settings\\*\\Local Settings\\Temp\\*

rundll32.exe安裝鉤子

2008-11-17 16:25:33  安裝全局鉤子  

進(jìn)程路徑:C:\\WINDOWS\\system32\\rundll32.exe

文件路徑:C:\\WINDOWS\\winsd82.dll

鉤子類型:WH_CALLWNDPROCRET

觸發(fā)規(guī)則:所有程序規(guī)則->阻止運(yùn)行->%windir%\\*

訪問(wèn)服務(wù)管理器

2008-11-17 16:24:05  訪問(wèn)服務(wù)管理器  

進(jìn)程路徑:E:\\Once\\9\\9.exe

觸發(fā)規(guī)則:所有程序規(guī)則->*

創(chuàng)建計(jì)劃任務(wù)

2008-11-17 16:24:13  創(chuàng)建文件  

進(jìn)程路徑:E:\\Once\\9\\9.exe

文件路徑:C:\\WINDOWS\\Tasks\\MsUpdateTask.job

觸發(fā)規(guī)則:所有程序規(guī)則->保護(hù)目錄->%windir%*

svchost.exe隱藏并修改SA.DAT

2008-11-17 16:24:57  修改文件  

進(jìn)程路徑:C:\\WINDOWS\\system32\\svchost.exe

文件路徑隱藏文件)C:\\WINDOWS\\Tasks\\SA.DAT

觸發(fā)規(guī)則:所有程序規(guī)則->保護(hù)目錄->%windir%*

svchost.exe修改pf文件

2008-11-17 16:25:18  修改文件  

進(jìn)程路徑:C:\\WINDOWS\\system32\\svchost.exe

文件路徑:C:\\WINDOWS\\Prefetch\\CSRSS.EXE-12B63473.pf

觸發(fā)規(guī)則:所有程序規(guī)則->保護(hù)目錄->%windir%*

關(guān)鍵行為：

向系統(tǒng)目錄創(chuàng)建DLL

創(chuàng)建計(jì)劃任務(wù)文件

調(diào)用rundll32.exe

SCM 控制svchost.exe

本文名稱：有關(guān)Rootkit.Win32.Agent.eui的行為分析
分享地址：http://www.dlmjj.cn/article/cdjehjs.html