Rootkit.Win32.Agent.eui是屬于一種后門類的病毒程序，以下文章通過被感染者的檢測實錄，分析被Rootkit.Win32.Agent.eui病毒所感染后的計算機行為。

病毒名稱：

Kaspersky：Rootkit.Win32.Agent.eui

VT掃描時間：2008.11.17 08:17:40 (CET)

EQS Lab編號：081117195

EQS Lab地址：http://hi.baidu.com/eqsyssecurity

病毒大小：177 KB (181,647 字節(jié))

MD5碼：CE1FE5C366A08D06CAAD137888188CF5

測試平臺： WinXP SP3系統(tǒng) (默認Shell為BBlean)   EQSecurity（HIPS） 實機

病毒行為：

注：本分析為多次運行測試結果匯總 因此時間可能會混亂

運行后向temp目錄釋放dll

2008-11-17 16:20:43  創(chuàng)建文件  

進程路徑:E:\\Once\\9\\9.exe

文件路徑:C:\\Documents and Settings\\Administrator\\Local Settings\\Temp\\nsd12.tmp\\BackOperHelper.dll

觸發(fā)規(guī)則:所有程序規(guī)則->Documents and Settings->?:\\Documents and Settings\\*.dll

向windows目錄釋放隨機名tmp dll

2008-11-17 16:20:43  創(chuàng)建文件  

進程路徑:E:\\Once\\9\\9.exe

文件路徑:C:\\WINDOWS\\nsx13.tmp

觸發(fā)規(guī)則:所有程序規(guī)則->保護目錄->%windir%*

2008-11-17 16:20:45  創(chuàng)建文件   

進程路徑:E:\\Once\\9\\9.exe

文件路徑:C:\\WINDOWS\\winsd82.dll

觸發(fā)規(guī)則:所有程序規(guī)則->文件阻止及保護->?:\\*.dll

添加PendingFileRenameOperations啟動項

2008-11-17 16:21:04  創(chuàng)建注冊表值  

進程路徑:E:\\Once\\9\\9.exe

注冊表路徑:HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\Session Manager

注冊表名稱endingFileRenameOperations

觸發(fā)規(guī)則:所有程序規(guī)則->自動運行->*\\SYSTEM\\ControlSet*\\Control\\Session Manager

以命令行調(diào)用rundll32.exe

2008-11-17 16:20:56  運行應用程序  

進程路徑:E:\\Once\\9\\9.exe

文件路徑:C:\\WINDOWS\\system32\\rundll32.exe

命令行:/s \"C:\\WINDOWS\\winsd82.dll\",UpdateIFEOInfo

觸發(fā)規(guī)則:所有程序規(guī)則->阻止運行->%windir%\\*

2008-11-17 16:22:08  運行應用程序  

進程路徑:E:\\Once\\9\\9.exe

文件路徑:C:\\WINDOWS\\system32\\rundll32.exe

命令行:/s \"C:\\WINDOWS\\winsd82.dll\",SendStatisticDataOnInstall

觸發(fā)規(guī)則:所有程序規(guī)則->阻止運行->%windir%\\*

2008-11-17 16:23:40  運行應用程序  

進程路徑:E:\\Once\\9\\9.exe

文件路徑:C:\\WINDOWS\\system32\\rundll32.exe

命令行:\"C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\nsv81.tmp\\BackOperHelper.dll\",CloseExistedDllByRundll32 C:\\WINDOWS\\winsd82.dll

觸發(fā)規(guī)則:所有程序規(guī)則->阻止運行->%windir%\\*#p#

向windows目錄創(chuàng)建wininit.ini

2008-11-17 16:21:04  創(chuàng)建文件  

進程路徑:E:\\Once\\9\\9.exe

文件路徑:C:\\WINDOWS\\wininit.ini

觸發(fā)規(guī)則:所有程序規(guī)則->保護目錄->%windir%*

wininit.ini內(nèi)容：

[Rename]

NUL=C:\\WINDOWS\\nss7E.tmp

NUL=C:\\WINDOWS\\nsd82.tmp

rundll32.exe加載病毒DLL

2008-11-17 16:24:02  加載庫文件 

進程路徑:C:\\WINDOWS\\system32\\rundll32.exe

文件路徑:C:\\Documents and Settings\\Administrator\\Local Settings\\Temp\\nsv81.tmp\\BackOperHelper.dll

觸發(fā)規(guī)則:所有程序規(guī)則->阻止運行->?:\\Documents and Settings\\*\\Local Settings\\Temp\\*

rundll32.exe安裝鉤子

2008-11-17 16:25:33  安裝全局鉤子  

進程路徑:C:\\WINDOWS\\system32\\rundll32.exe

文件路徑:C:\\WINDOWS\\winsd82.dll

鉤子類型:WH_CALLWNDPROCRET

觸發(fā)規(guī)則:所有程序規(guī)則->阻止運行->%windir%\\*

訪問服務管理器

2008-11-17 16:24:05  訪問服務管理器  

進程路徑:E:\\Once\\9\\9.exe

觸發(fā)規(guī)則:所有程序規(guī)則->*

創(chuàng)建計劃任務

2008-11-17 16:24:13  創(chuàng)建文件  

進程路徑:E:\\Once\\9\\9.exe

文件路徑:C:\\WINDOWS\\Tasks\\MsUpdateTask.job

觸發(fā)規(guī)則:所有程序規(guī)則->保護目錄->%windir%*

svchost.exe隱藏并修改SA.DAT

2008-11-17 16:24:57  修改文件  

進程路徑:C:\\WINDOWS\\system32\\svchost.exe

文件路徑隱藏文件)C:\\WINDOWS\\Tasks\\SA.DAT

觸發(fā)規(guī)則:所有程序規(guī)則->保護目錄->%windir%*

svchost.exe修改pf文件

2008-11-17 16:25:18  修改文件  

進程路徑:C:\\WINDOWS\\system32\\svchost.exe

文件路徑:C:\\WINDOWS\\Prefetch\\CSRSS.EXE-12B63473.pf

觸發(fā)規(guī)則:所有程序規(guī)則->保護目錄->%windir%*

關鍵行為：

向系統(tǒng)目錄創(chuàng)建DLL

創(chuàng)建計劃任務文件

調(diào)用rundll32.exe

SCM 控制svchost.exe

【編輯推薦】

1. Adobe Acrobat Reader漏洞引發(fā)rootkit病毒攻擊
2. Linux下用gdb檢測內(nèi)核rootkit的方法
3. 微軟研究員演示輕量級的Rootkit保護系統(tǒng)
4. eEye工程介紹:漏洞大曝光 編寫引導層RootKit
5. 基于處理器調(diào)試機制的Rootkit隱形技術