Rootkit.Win32.Agent.eui是屬于一種后門類的病毒程序，以下文章通過被感染者的檢測實錄，分析被Rootkit.Win32.Agent.eui病毒所感染后的計算機行為。

病毒名稱：

Kaspersky：Rootkit.Win32.Agent.eui

VT掃描時間：2008.11.17 08:17:40 (CET)

EQS Lab編號：081117195

EQS Lab地址：http://hi.baidu.com/eqsyssecurity

病毒大�。�177 KB (181,647 字節(jié))

MD5碼：CE1FE5C366A08D06CAAD137888188CF5

測試平臺： WinXP SP3系統(tǒng) (默認Shell為BBlean) EQSecurity（HIPS） 實機

病毒行為：

注：本分析為多次運行測試結果匯總 因此時間可能會混亂

運行后向temp目錄釋放dll

2008-11-17 16:20:43 創(chuàng)建文件

進程路徑:E:\\Once\\9\\9.exe

文件路徑:C:\\Documents and Settings\\Administrator\\Local Settings\\Temp\\nsd12.tmp\\BackOperHelper.dll

觸發(fā)規(guī)則:所有程序規(guī)則->Documents and Settings->?:\\Documents and Settings\\*.dll

向windows目錄釋放隨機名tmp dll

2008-11-17 16:20:43 創(chuàng)建文件

進程路徑:E:\\Once\\9\\9.exe

文件路徑:C:\\WINDOWS\\nsx13.tmp

觸發(fā)規(guī)則:所有程序規(guī)則->保護目錄->%windir%*

2008-11-17 16:20:45 創(chuàng)建文件

進程路徑:E:\\Once\\9\\9.exe

文件路徑:C:\\WINDOWS\\winsd82.dll

觸發(fā)規(guī)則:所有程序規(guī)則->文件阻止及保護->?:\\*.dll

添加PendingFileRenameOperations啟動項

2008-11-17 16:21:04 創(chuàng)建注冊表值

進程路徑:E:\\Once\\9\\9.exe

注冊表路徑:HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\Session Manager

注冊表名稱endingFileRenameOperations

觸發(fā)規(guī)則:所有程序規(guī)則->自動運行->*\\SYSTEM\\ControlSet*\\Control\\Session Manager

以命令行調(diào)用rundll32.exe

2008-11-17 16:20:56 運行應用程序

進程路徑:E:\\Once\\9\\9.exe

文件路徑:C:\\WINDOWS\\system32\\rundll32.exe

命令行:/s \"C:\\WINDOWS\\winsd82.dll\",UpdateIFEOInfo

觸發(fā)規(guī)則:所有程序規(guī)則->阻止運行->%windir%\\*

2008-11-17 16:22:08 運行應用程序

進程路徑:E:\\Once\\9\\9.exe

文件路徑:C:\\WINDOWS\\system32\\rundll32.exe

命令行:/s \"C:\\WINDOWS\\winsd82.dll\",SendStatisticDataOnInstall

觸發(fā)規(guī)則:所有程序規(guī)則->阻止運行->%windir%\\*

2008-11-17 16:23:40 運行應用程序

進程路徑:E:\\Once\\9\\9.exe

文件路徑:C:\\WINDOWS\\system32\\rundll32.exe

命令行:\"C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\nsv81.tmp\\BackOperHelper.dll\",CloseExistedDllByRundll32 C:\\WINDOWS\\winsd82.dll

觸發(fā)規(guī)則:所有程序規(guī)則->阻止運行->%windir%\\* 共2頁: 1 [2] 下一頁 【內(nèi)容導航】 第 1 頁：Rootkit.Win32.Agent.eui的行為分析（上） 第 2 頁：Rootkit.Win32.Agent.eui的行為分析（下）