您的位置首页百科问答

Trojan/win32.Agent.dbr[Rootkit]的行为分析-本地行为

Simone 发布于 2023-08-29 11:19:25 557 阅读

1、动态加载系统DLL文件msvcrt.dll,该DLL是标准的微软C运行库文件,创建线程、遍历进程查找avp.exe找到之后退出线程,如没发现avp.exe进程则提升进程操作权限。

2、文件运行后会释放以下文件

%System32%\drivers\etc\hosts 删除本地hosts文件,并重新释放劫持大量域名

%System32%\drivers\kvsys.sys 该驱动文件恢复SSDT躲避部分安全软件主动防御

%System32%\drivers\tesafe.sys 该驱动文件删除部分安全软件服务结束卖散部分安全软件前庆进程

%Windir%\Fonts\System32.exe

%Documents and Settings%\当前所在用户\Local Settings\Temp\fsrtdfyyvuu.exe

3、添加注册表

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\tesafe\DisplayName

值: 字符串: 腾讯驱动

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\tesafe\ImagePath

值: 字符串: \??\%System32%\drivers\tesafe.sys.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\tesafe\Start

值: DWORD: 3 (0x3)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\tesafe\Type

值: DWORD: 1 (0x1)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kvsys\DisplayName

值: 字符串: windows启动必须的系统文件

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kvsys\ImagePath

值: 字符串: \??\%System32%\drivers\kvsys.sys.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kvsys\Start

值: DWORD: 3 (0x3)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kvsys\Type

值: DWORD: 1 (0x1)

描述:添加病毒注册表服务

4、删除部分安全软件服务、终止中悔氏部分安全软件进程、恢复SSDT躲避杀软主动查杀,创建病毒驱动设备名为:\\.\kvsys、\\.\tesafe,删除本地hosts文件、并重新创建一个hosts文件,劫持大量域名地址,获取磁盘启动器类型,遍历目录查找所有后缀是EXE的目录并却是非系统盘的可执行文件中释放大量usp10.dll文件,被劫持的域名有:

127.0.0.** c0mo**.com

127.0.0.** gxgxy**.net

127.0.0.** 444.gmwo07**.com

127.0.0.** 333.gmwo07**.com

127.0.0.** 222.gmwo07**.com

127.0.0.** 111.gmwo07**.com

127.0.0.** haha.yaoyao09**.com

127.0.0.** www.noseqing**.cn

127.0.0.** fg.pvs360**.com

127.0.0.** cw.pvs360**.com

127.0.0.** ta.pvs360**.com

127.0.0.** dl.pvs360**.com

127.0.0.** ok .sl8cjs**.cn

127.0.0.** nc.mskess**.com

127.0.0.** idc.windowsupdeta**.cn

127.0.0.** pvs360**.com

127.0.0.** sl8cjs**.cn

127.0.0.** windowsupdeta**.cn

127.0.0.** up.22x44**.com

127.0.0.** my.531jx**.cn

127.0.0.** nx.51ylb**.cn

127.0.0.** llboss**.com

127.0.0.** down.malasc**.cn

127.0.0.** d2.llsging**.com

127.0.0.** 171817.171817**.com

127.0.0.** wg.47255**.com

127.0.0.** www.tomwg**.com

127.0.0.** tp.shpzhan**.cn

127.0.0.** 1.joppnqq**.com

127.0.0.** xx.exiao01**.com

127.0.0.** www.22aaa**.com

127.0.0.** ilove**.com

127.0.0.** xxx.mmma**.biz

127.0.0.** www.868wg**.com

127.0.0.** 2.joppnqq**.com

127.0.0.** 1.jopanqc**.com

127.0.0.** yu.8s7**.net

127.0.0.** 1.jopmmqq**.com

127.0.0.** cao.kv8**.info

127.0.0.** xtx.kv8**.info

127.0.0.** new.749571**.com

127.0.0.** xxx.vh7**.biz

127.0.0.** 1.jopenkk**.com

127.0.0.** d.93se**.com

127.0.0.** 3.joppnqq**.com

127.0.0.** xxx.j41m**.com

127.0.0.** 1.jopenqc**.com

127.0.0.** xxx.m111**.biz

127.0.0.** down.18dd**.net

127.0.0.** www.333292**.com

127.0.0.** qqq.hao1658**.com

127.0.0.** qqq.dzydhx**.com

127.0.0.** www.exiao01**.com

127.0.0.** www.cike007**.cn

127.0.0.** v.onondown**.com. cn

127.0.0.** ymsdasdw1**.cn

127.0.0.** h96b**.info

127.0.0.** fuck.zttwp**.cn

127.0.0.** www.hackerbf**.cn

127.0.0.** geekbyfeng**.cn

127.0.0.** 121.14.101.**

127.0.0.** ppp.etimes888**.com

127.0.0.** www.bypk**.com

127.0.0.** CSC3-2004-crl.verisign**.com

127.0.0.** va9sdhun23**.cn

127.0.0.** udp.hjob123**.com

127.0.0.** bnasnd83nd**.cn

127.0.0.** www.gamehacker**.com .cn

127.0.0.** gamehacker**.com. cn

127.0.0.** adlaji**.cn

127.0.0.** 858656**.com

127.1.1.1 bnasnd83nd**.cn

127.0.0.** my123**.com

127.0.0.** user1.12-27**.net

127.0.0.** 8749**.com

127.0.0.** fengent**.cn

127.0.0.** 4199**.com

127.0.0.** user1.16-22**.net

127.0.0.** 7379**.com

127.0.0.** 2be37c5f.3f6e2cc5f0b**.com

127.0.0.** 7255**.com

127.0.0.** user1.23-12**.net

127.0.0.** 3448**.com

127.0.0.** www.guccia**.net

127.0.0.** 7939**.com

127.0.0.** a.o1o1o1**.nEt

127.0.0.** 8009**.com

127.0.0.** user1.12-73**.cn

127.0.0.** piaoxue**.com

127.0.0.** 3n8nlasd**.cn

127.0.0.** kzdh**.com

127.0.0.** www.sony888**.cn

127.0.0.** about.blank**.la

127.0.0.** user1.asp-33**.cn

127.0.0.** 6781**.com

127.0.0.** www.netkwek**.cn

127.0.0.** 7322**.com

127.0.0.** ymsdkad6**.cn

127.0.0.** localhost**

127.0.0.** www.lkwueir**.cn

127.0.0.** 06.jacai**.com

127.0.1.** user1.23-17**.net

127.0.0.** 1.jopenkk**.com

127.0.0.** upa.luzhiai**.net

127.0.0.** 1.jopenqc**.com

127.0.0.** www.guccia**.net

127.0.0.** 1.joppnqq**.com

127.0.0.** 4m9mnlmi**.cn

127.0.0.** 1.xqhgm**.com

127.0.0.** mm119mkssd**.cn

127.0.0.** 100.332233**.com

127.0.0.** 61.128.171.***:8080

127.0.0.** 121.11.90. **

127.0.0.** www.1119111**.com

127.0.0.** 121565**.net

127.0.0.** win.nihao69**.cn

127.0.0.** 125.90.88. **

127.0.0.** 16888.6to23**.com

127.0.0.** 2.joppnqq**.com

127.0.0.** puc.lianxiac. **net

127.0.0.** 204.177.92.**

127.0.0.** pud.lianxiac**.net

127.0.0.** 210.74.145.***

127.0.0.** 210.76.0.***

127.0.0.** 219.129.239.***

127.0.0.** 61.166.32. **

127.0.0.** 219.153.40.***

127.0.0.** 218.92.186. **

127.0.0.** 219.153.46. **

127.0.0.** www.fsfsfag**.cn

127.0.0.** 219.153.52. ***

127.0.0.** ovo.ovovov**.cn

127.0.0.** 221.195.42. **

127.0.0.** dw**.com. com

127.0.0.** 222.73.218.***

127.0.0.** 203.110.168.***:80

127.0.0.** 3.joppnqq**.com

127.0.0.** 203.110.168.***:80

127.0.0.** 363xx**.com

127.0.0.** www1.ip10086**.com. cm

127.0.0.** 4199**.com

127.0.0.** blog.ip10086**.com. cn

127.0.0.** 43242**.com

127.0.0.** www.ccji68**.cn

127.0.0.** 5.xqhgm**.com

127.0.0.** t.myblank**.cn

127.0.0.** 520. mm5208**.com

127.0.0.** x.myblank**.cn

127.0.0.** 59.34.131. **

127.0.0.** 210.51.45. **

127.0.0.** 59.34.198. ***

127.0.0.** www.ew1q**.cn

127.0.0.** 59.34.198. **

127.0.0.** 59.34.198. **

127.0.0.** 60.190.114. ***

127.0.0.** 60.190.218. **

127.0.0.** qq-xing**.com. cn

127.0.0.** 60.191.124.***

127.0.0.** 61.145.117. ***

127.0.0.** 61.157.109. ***

127.0.0.** 75.126.3. ***

127.0.0.** 75.126.3. ***

127.0.0.** 75.126.3. ***

127.0.0.** 59.125.231. ***:17777

127.0.0.** 75.126.3. ***

127.0.0.** 75.126.3. ***

127.0.0.** 75.126.3. ***

127.0.0.** 772630**.com

127.0.0.** 832823**.cn

127.0.0.** 8749**.com

127.0.0.** 888.jopenqc**.com

127.0.0.** 89382**.cn

127.0.0.** 8v8**.biz

127.0.0.** 97725**.com

127.0.0.** 9gg**.biz

127.0.0.** www.9000music**.com

127.0.0.** test.591jx**.com

127.0.0.** a.topxxxx**.cn

127.0.0.** picon.chinaren**.com

127.0.0.** www.5566**.net

127.0.0.** p.qqkx**.com

127.0.0.** news.netandtv**.com

127.0.0.** z.neter888**.cn

127.0.0.** b.myblank**.cn

127.0.0.** wvw.wokutu**.com

127.0.0.** unionch.qyule**.com

127.0.0.** www.qyule**.com

127.0.0.** it.itjc**.cn

127.0.0.** www.linkwww**.com

127.0.0.** vod.kaicn**.com

127.0.0.** www.tx8688**.com

127.0.0.** b.neter888**.cn

127.0.0.** promote.huanqiu**.com

127.0.0.** www.huanqiu**.com

127.0.0.** www.haokanla**.com

127.0.0.** play.unionsky**.cn

127.0.0.** www.52v**.com

127.0.0.** www.gghka**.cn

127.0.0.** icon.ajiang**.net

127.0.0.** new.ete**.cn

127.0.0.** www.stiae**.cn

127.0.0.** o.neter888**.cn

127.0.0.** comm.jinti**.com

127.0.0.** www.google-analytics**.com

127.0.0.** hz.mmstat**.com

127.0.0.** www.game175**.cn

127.0.0.** x.neter888**.cn

127.0.0.** z.neter888**.cn

127.0.0.** p.etimes888**.com

127.0.0.** hx.etimes888**.com

127.0.0.** abc.qqkx**.com

127.0.0.** dm.popdm**.cn

127.0.0.** www.yl9999**.com

127.0.0.** www.dajiadoushe**.cn

127.0.0.** v.onondown**.com. cn

127.0.0.** www.interoo**.net

127.0.0.** bally1.bally-bally**.net

127.0.0.** www.bao5605509**.cn

127.0.0.** www.rty456**.cn

127.0.0.** www.werqwer**.cn

127.0.0.** 1.360-1**.cn

127.0.0.** user1.23-16**.net

127.0.0.** www.guccia**.net

127.0.0.** www.interoo**.net

127.0.0.** upa.netsool**.net

127.0.0.** js.users.51**.la

127.0.0.** vip2.51**.la

127.0.0.** web.51**.la

127.0.0.** qq.gong2008**.com

127.0.0.** 2008tl.copyip**.com

127.0.0.** tla.laozihuolaile**.cn

127.0.0.** www.tx6868**.cn

127.0.0.** p001.tiloaiai**.com

127.0.0.** s1. tl8tl**.com

127.0.0.** s1.gong2008**.com

127.0.0.** 4b3ce56f9g.3f6e2cc5f0b**.com

127.0.0.** 2be37c5f.3f6e2cc5f0b**.com

#360

127.0.0.** 59.53.87.101

127.0.0.** 125.46.1.226

127.0.0.** www.360. cn

127.0.0.** www.360safe. com

127.0.0.** sd.360. cn

127.0.0.** bbs.360safe. com

5、获取磁盘启动器类型,遍历目录查找所有后缀是EXE的目录并却是非系统盘的可执行文件中释放大量usp10.dll文件,终止部分安全软件进程,如发现进程中存在以下进程则调用内核函数强行终止其进程:

360Tray.exe、360Safe.exe、safeboxTray.exe、360realpro.exe、360upp.exe、RavMonD.exe、CCenter.exe、Ravtask.exe、rsnetsvr.exe、rsTray.exe、kissvc.exe、kwatch.exe、kpfwsvc.exe、

kavstart.exe、kmailmon.exe、kpfw32.exe、kasmain.exe、ksamain.exe、kaccore.exe、egui.exe、ekrn.exe、mainpro.exe、annexpro.exe、KVSrvXP.exe、KVSysCheck.exe、KVMonXP.kxp、KVPreScan.kxp

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。

%Windir%     WINDODWS所在目录

%DriveLetter%    逻辑驱动器根目录

%ProgramFiles%      系统程序默认安装目录

%HomeDrive%   当前启动的系统的所在分区

%Documents and Settings%  当前用户文档根目录

%Temp%  \Documents and Settings\当前用户\Local Settings\Temp

%System32%  系统的 System32文件夹

Windows2000/NT中默认的安装路径是C:\Winnt\System32

windows95/98/me中默认的安装路径是%WINDOWS%\System

windowsXP中默认的安装路径是%system32%

Trojan/win32.Agent.dbr[Rootkit]的行为分析-本地行为

标签:Trojan,win32,Agent

相关文章

1 agentsvr.exe是什么进程啊?

649 阅读

2 trojan.win32.generic是什么

567 阅读