Análisis de comportamiento del comportamiento local de Trojan/win32.Agent.dbr[Rootkit]
1. Cargue dinámicamente el archivo DLL del sistema msvcrt.dll. Este DLL es un archivo de biblioteca de tiempo de ejecución estándar de Microsoft C, recorra el proceso para encontrar avp.exe y luego salga del hilo. Se encuentra el proceso avp.exe. Luego se elevan los permisos de operación del proceso.
2. Después de ejecutar el archivo, se liberarán los siguientes archivos
System32\drivers\etc\hosts Elimine el archivo de hosts locales y libere una gran cantidad de nombres de dominio secuestrados nuevamente.
System32\ drivers\kvsys.sys Este archivo de controlador restaura SSDT para evitar la defensa activa de algún software de seguridad
System32\drivers\tesafe.sys Este archivo de controlador elimina algunos servicios de software de seguridad y finaliza algunos procesos de software de seguridad
Windir\Fonts\System32.exe
Documentos y configuraciones\Usuario actual\Configuraciones locales\Temp\fsrtdfyyvuu.exe
3. Agregar registro
HKEY_LOCAL_MACHINE \SYSTEM\ControlSet001\Services\tesafe\DisplayName
Valor: Cadena: Tencent Driver
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\tesafe\ ImagePath
Valor: Cadena: \\System32\drivers\tesafe.sys.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\tesafe\Start
Valor: DWORD : 3 (0x3)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\tesafe\Type
Valor: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001 \Services\kvsys\DisplayName
Valor: Cadena: Archivos de sistema necesarios para el inicio de Windows
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kvsys\ImagePath
Valor: Cadena: \\System32\ drivers\kvsys.sys.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kvsys\Start
Valor: DWORD: 3 (0x3)
HKEY_LOCAL_MACHINE\SYSTEM\ ControlSet001\Services\kvsys\Type
Valor: DWORD: 1 (0x1)
Descripción: Agregar servicio de registro de virus
4. Elimine algunos servicios de software de seguridad, finalice algunos procesos de software de seguridad, restaure SSDT para evitar el escaneo activo mediante software antivirus, cree dispositivos controlados por virus llamados: \\.\kvsys, \\.\tesafe, elimine el archivo de hosts locales y volver a crear un archivo de hosts, secuestrar una gran cantidad de direcciones de nombres de dominio, obtener el tipo de iniciador de disco, recorrer el directorio para encontrar todos los directorios con el sufijo EXE y liberar una gran cantidad de archivos usp10.dll de archivos ejecutables que no son del sistema discos Los nombres de dominio secuestrados son:
127.0.0 .** c0mo**.com
127.0.0.** gxgxy**.net
p>127.0.0.** 333.gmwo07**.com
127.0.0.** 222.gmwo07**.com
127.0.0.** 111. gmwo07**.com
127.0.0.** haha.yaoyao09**.com
127.0.0.** www.noseqing**.cn
127.0.0.** fg.pvs360**.com
127.0.0.** cw.pvs360**.com
127.0.0.** ta. pvs360**.com
127.0.0.** dl.pvs360**.com
127.0.0.** ok .sl8cjs**.cn
127.0.0.** nc.mskess**.com
127.0.0.** idc.windowsupdeta**.cn
127.0.0.** pvs360* *.com
127.0.0.** sl8cjs**.cn
127.0.0.** windowsupdeta**.cn
127.0.0. ** up.22x44**.com
127.0.0.** my.531jx**.cn
127.0.0.** nx.51ylb**.cn
127.0.0.** llboss**.com
127.0.0.** down.malasc**.cn
127.0.0.** d2.llsging**.com
127.0.0.** 171817.171817**.com
127.0.0.** wg.47255**.com
127.0.0.** www.tomwg**.com
127.0.0.** tp.shpzhan**.cn
127.0.0.** 1. joppnqq**.com
127.0.0.** xx.exiao01**.com
127.0.0.** www.22aaa**.com
127.0.0.** ilove**.com
127.0.0.** xxx.mmma**.biz
127.0.0.** www.868wg* *.com
127.0.0.** 2.joppnqq**.com
127.0.0.** 1.jopanqc**.com
127.0.0.** yu.8s7**.net
127.0.0.** 1.jopmmqq**.com
127.0.0.** cao.kv8* *.info
127.0.0.** xtx.kv8**.info
127.0.0.** nuevo.749571**.com
127.0.0.** xxx.vh7**.biz
127.0.0.** 1.jopenkk**.com
127.0.0.** d.93se* *.com
127.0.0.** 3.joppnqq**.com
127.0.0.** xxx.j
41m**.com
127.0.0.** 1.jopenqc**.com
127.0.0.** xxx.m111**.biz
127.0.0.** down.18dd**.net
127.0.0.** www.333292**.com
127.0.0.** qqq. hao1658**.com
127.0.0.** qqq.dzydhx**.com
127.0.0.** www.exiao01**.com
127.0.0.** www.cike007**.cn
127.0.0.** v.onondown**.com
127.0.0.** ymsdasdw1**.cn
127.0.0.** h96b**.info
127.0.0.** fuck.zttwp**.cn
127.0.0.** www.hackerbf**.cn
127.0.0.** geekbyfeng**.cn
127.0.0.** 121.14.101.**
127.0.0.** ppp.etimes888**.com
127.0.0.** www.bypk**.com
127.0.0 .** CSC3-2004-crl.verisign**.com
127.0.0.** va9sdhun23**.cn
127.0.0.** udp.hjob123** .com
127.0.0.** bnasnd83nd**.cn
127.0.0.** www.gamehacker**.com .cn
127.0 .0.** gamehacker**.com.cn
127.0.0.** adlaji**.cn
127.0.0.** 858656**.com
127.1.1.1 bnasnd83nd**.cn
127.0.0.** my123**.com
127.0.0.** usuario1.12-27* *.net
127.0.0.** 8749**.com
127.0.0.** fengent**.cn
127.0.0. ** 4199**.com
127.0.0.** usuario1.16-22**.net
127.0.0.** 7379**.com
127.0.0.** 2be37c5f.3f6e2cc5f0b**.com
127.0.0.** 7255**.com
127.0.0.** usuario1. 23-12**.net
127.0.0.** 3448**.com
127.0.0.** www.guccia**.net
127.0.0.** 7939**.com
127.0.0.** a.o1o1o1**.nEt
127.0.0.** 8009**. es
127.0.0.** usuario1.12-73**.c
n
127.0.0.** piaoxue**.com
127.0.0.** 3n8nlasd**.cn
127.0.0.** kzdh**.com
127.0.0.** www.sony888**.cn
127.0.0.** about.blank**.la
127.0.0.** usuario1.asp-33**.cn
127.0.0.** 6781**.com
127.0.0.** www. netkwek**.cn
127.0.0.** 7322**.com
127.0.0.** ymsdkad6**.cn
127.0. 0.** localhost**
127.0.0.** www.lkwueir**.cn
127.0.0.** 06.jacai**.com
127.0.1.** usuario1.23-17**.net
127.0.0.** 1.jopenkk**.com
127.0.0. ** upa.luzhiai**.net
127.0.0.** 1.jopenqc**.com
127.0.0.** www.guccia**.net
127.0.0.** 1.joppnqq**.com
127.0.0.** 4m9mnlmi**.cn
127.0.0.** 1.xqhgm**.com
127.0.0.** mm119mkssd**.cn
127.0.0.** 100.332233**.com
127.0.0.** 61.128.171.***:8080
127.0.0.** 121.11.90 **
127.0.0.** www.1119111. **.com
127.0.0.** 121565**.net
127.0.0.** win.nihao69**.cn
127.0 .0.** 125.90.88. **
127.0.0.** 16888.6to23**.com
127.0.0.** 2.joppnqq**.com
127.0.0.** puc.lianxiac.**net
127.0.0.** 204.177.92.**
127.0.0. ** pud.lianxiac**.net
127.0.0.** 210.74.145.***
127.0.0.** 210.76.0.***
127.0.0.** 219.129.239.***
127.0.0.** 61.166.32 **
127.0.0.* * 219.153.40.***
127.0.0.** 218.92.186. **
127.0.0.** 219.153.46.
127.0.0.** www.fsfsfag**.cn
127.0.0.** 219.153.52.
*
127.0.0.** ovo.ovovov**.cn
127.0.0.** 221.195.42 **
127.0.0. .**dw**.com.com
127.0.0.** 222.73.218.***
127.0.0.** 203.110.168.*** :80
127.0.0.** 3.joppnqq**.com
127.0.0.** 203.110.168.***:80
127.0.0.** 363xx**.com
127.0.0.** www1.ip10086**.com
127.0.0.** 4199**. .com
127.0.0.** blog.ip10086**.com
127.0.0.** 43242**.com
127.0. .0.** www.ccji68**.cn
127.0.0.** 5.xqhgm**.com
127.0.0.** t.myblank** .cn
127.0.0.** 520. mm5208**.com
127.0.0.** x.myblank**.cn
127.0 .0.** 59.34.131. **
127.0.0.** 210.51.45. **
127.0.0.** 59.34.198.
127.0.0.** www.ew1q**.cn
127.0.0.** 59.34.198 **
127.0.0. ** 59.34.198. **
127.0.0.** 60.190.114 ***
127.0.0.** 60.190.218. >
127.0.0.** qq-xing**.com.cn
127.0.0.** 60.191.124.***
127.0.0. ** 61.145.117 ***
127.0.0.** 61.157.109 ***
127.0.0.** 75.126.3. /p>
127.0.0.** 75.126.3 ***
127.0.0.** 75.126.3 ***
127.0.0. ** 59.125.231 ***:17777
127.0.0.** 75.126.3 ***
127.0.0.** 75.126.3. *
127.0.0.** 75.126.3 ***
127.0.0.** 772630**.com
127.0.0. ** 832823**.cn
127.0.0.** 8749**.com
127.0.0.** 888.jopenqc**.com
127.0.0.** 89382**.cn
127.0.0.** 8v8**.biz
127.0.0.** 97725**.com
127.0.0.** 9gg
**.biz
127.0.0.** www.9000music**.com
127.0.0.** test.591jx**.com
127.0.0.** a.toxxxxxx**.cn
127.0.0.** picon.chinaren**.com
127.0.0.** www.5566 **.net
127.0.0.** p.qqkx**.com
127.0.0.** news.netandtv**.com
127.0.0.** z.neter888**.cn
127.0.0.** b.myblank**.cn
127.0.0.** wvw.wokutu **.com
127.0.0.** unionch.qyule**.com
127.0.0.** www.qyule**.com
127.0.0.** it.itjc**.cn
127.0.0.** www.linkwww**.com
127.0.0.** vod.kaicn **.com
127.0.0.** www.tx8688**.com
127.0.0.** b.neter888**.cn
127.0.0.** promover.huanqiu**.com
127.0.0.** www.huanqiu**.com
127.0.0.** www.haokanla **.com
127.0.0.** play.unionsky**.cn
127.0.0.** www.52v**.com
127.0.0.** www.gghka**.cn
127.0.0.** icon.ajiang**.net
127.0.0.** nuevo.ete **.cn
127.0.0.** www.stiae**.cn
127.0.0.** o.neter888**.cn
127.0.0.** comm.jinti**.com
127.0.0.** www.google-analytics**.com
127.0.0.** hz .mmstat**.com
127.0.0.** www.game175**.cn
127.0.0.** x.neter888**.cn
127.0.0.** z.neter888**.cn
127.0.0.** p.etimes888**.com
127.0.0.** hx .etimes888**.com
127.0.0.** abc.qqkx**.com
127.0.0.** dm.popdm**.cn
127.0.0.** www.yl9999**.com
127.0.0.** www.dajiadoushe**.cn
127.0.0.** v .onondown**.comcn
127.0.0.**www.inte.
roo**.net
127.0.0.** bally1.bally-bally**.net
127.0.0.** www.bao5605509**.cn
127.0.0.** www.rty456**.cn
127.0.0.** www.werqwer**.cn
127.0.0.** 1.360-1**.cn
127.0.0.** usuario1.23-16**.net
127.0.0.** www.guccia**.net
127.0.0.** www.interoo**.net
127.0.0.** upa.netsool**.net
127.0.0. ** js.users.51**.la
127.0.0.** vip2.51**.la
127.0.0.** web.51**. la
127.0.0.** qq.gong2008**.com
127.0.0.** 2008tl.copyip**.com
127.0. 0.** tla.laozihuolaile**.cn
127.0.0.** www.tx6868**.cn
127.0.0.** p001.tiloaiai**. com
127.0.0.** s1.tl8tl**.com
127.0.0.** s1.gong2008**.com
127.0. 0.** 4b3ce56f9g.3f6e2cc5f0b**.com
127.0.0.** 2be37c5f.3f6e2cc5f0b**.com
#360
127.0.0 .** 59.53.87.101
127.0.0.** 125.46.1.226
127.0.0.** www.360.
127.0.0. .** www.360safe.com
127.0.0.** sd.360.cn
127.0.0.** bbs.360safe. >5. Obtenga el tipo de iniciador de disco, recorra el directorio para encontrar todos los directorios con el sufijo EXE y libere una gran cantidad de archivos usp10.dll de archivos ejecutables en discos que no son del sistema, finalice algunos procesos de software de seguridad y llame si ocurre lo siguiente. Los procesos se encuentran en el proceso. La función del kernel termina por la fuerza su proceso:
360Tray.exe, 360Safe.exe, safeboxTray.exe, 360realpro.exe, 360upp.exe, RavMonD.exe, CCenter.exe, Ravtask .exe, rsnetsvr.exe, rsTray.exe, kissvc.exe, kwatch.exe, kpfwsvc.exe,
kavstart.exe, kmailmon.exe, kpfw32.exe, kasmain.exe, ksamain.exe, kaccore.exe, egui.exe, ekrn.exe, mainpro.exe, anexopro.exe, KVSrvXP.exe, KVSysCheck.exe, KVMonXP.kxp, KVPreScan.kxp<
/p>
Nota: System32 es una ruta variable. El virus consulta al sistema operativo para determinar la ubicación de la carpeta del sistema actual.
Directorio donde se encuentra Windir WINDODWS
DriveLetter Directorio raíz de la unidad lógica
ProgramFiles Directorio de instalación predeterminado de los programas del sistema
HomeDrive La ubicación de la partición del sistema actualmente iniciada
Documentos y configuraciones directorio raíz del documento del usuario actual
Temp\Documentos y configuraciones\usuario actual\Configuraciones locales\Temp
Carpeta System32 de Sistema System32
La ruta de instalación predeterminada en Windows2000/NT es C:\Winnt\System32
La ruta de instalación predeterminada en Windows95/98/me es WINDOWS\System
windowsXP La ruta de instalación predeterminada es system32