Trojan/win32.Agent.dbr[Rootkit]的行为分析-本地行为

发布网友发布时间：2022-04-19 09:46

共1个回答

热心网友时间：2022-06-29 00:46

1、动态加载系统DLL文件msvcrt.dll，该DLL是标准的微软C运行库文件，创建线程、遍历进程查找avp.exe找到之后退出线程，如没发现avp.exe进程则提升进程操作权限。
2、文件运行后会释放以下文件
%System32%\drivers\etc\hosts 删除本地hosts文件，并重新释放劫持大量域名
%System32%\drivers\kvsys.sys 该驱动文件恢复SSDT躲避部分安全软件主动防御
%System32%\drivers\tesafe.sys 该驱动文件删除部分安全软件服务结束部分安全软件进程
%Windir%\Fonts\System32.exe
%Documents and Settings%\当前所在用户\Local Settings\Temp\fsrtdfyyvuu.exe
3、添加注册表
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\tesafe\DisplayName
值: 字符串: 腾讯驱动
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\tesafe\ImagePath
值: 字符串: \??\%System32%\drivers\tesafe.sys.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\tesafe\Start
值: DWORD: 3 (0x3)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\tesafe\Type
值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kvsys\DisplayName
值: 字符串: windows启动必须的系统文件
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kvsys\ImagePath
值: 字符串: \??\%System32%\drivers\kvsys.sys.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kvsys\Start
值: DWORD: 3 (0x3)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kvsys\Type
值: DWORD: 1 (0x1)
描述：添加病毒注册表服务
4、删除部分安全软件服务、终止部分安全软件进程、恢复SSDT躲避杀软主动查杀，创建病毒驱动设备名为：\\.\kvsys、\\.\tesafe，删除本地hosts文件、并重新创建一个hosts文件，劫持大量域名地址，获取磁盘启动器类型，遍历目录查找所有后缀是EXE的目录并却是非系统盘的可执行文件中释放大量usp10.dll文件，被劫持的域名有：
127.0.0.** c0mo**.com
127.0.0.** gxgxy**.net
127.0.0.** 444.gmwo07**.com
127.0.0.** 333.gmwo07**.com
127.0.0.** 222.gmwo07**.com
127.0.0.** 111.gmwo07**.com
127.0.0.** haha.yaoyao09**.com
127.0.0.** www.noseqing**.cn
127.0.0.** fg.pvs360**.com
127.0.0.** cw.pvs360**.com
127.0.0.** ta.pvs360**.com
127.0.0.** dl.pvs360**.com
127.0.0.** ok .sl8cjs**.cn
127.0.0.** nc.mskess**.com
127.0.0.** idc.windowsupdeta**.cn
127.0.0.** pvs360**.com
127.0.0.** sl8cjs**.cn
127.0.0.** windowsupdeta**.cn
127.0.0.** up.22x44**.com
127.0.0.** my.531jx**.cn
127.0.0.** nx.51ylb**.cn
127.0.0.** llboss**.com
127.0.0.** down.malasc**.cn
127.0.0.** d2.llsging**.com
127.0.0.** 171817.171817**.com
127.0.0.** wg.47255**.com
127.0.0.** www.tomwg**.com
127.0.0.** tp.shpzhan**.cn
127.0.0.** 1.joppnqq**.com
127.0.0.** xx.exiao01**.com
127.0.0.** www.22aaa**.com
127.0.0.** ilove**.com
127.0.0.** xxx.mmma**.biz
127.0.0.** www.868wg**.com
127.0.0.** 2.joppnqq**.com
127.0.0.** 1.jopanqc**.com
127.0.0.** yu.8s7**.net
127.0.0.** 1.jopmmqq**.com
127.0.0.** cao.kv8**.info
127.0.0.** xtx.kv8**.info
127.0.0.** new.749571**.com
127.0.0.** xxx.vh7**.biz
127.0.0.** 1.jopenkk**.com
127.0.0.** d.93se**.com
127.0.0.** 3.joppnqq**.com
127.0.0.** xxx.j41m**.com
127.0.0.** 1.jopenqc**.com
127.0.0.** xxx.m111**.biz
127.0.0.** down.18dd**.net
127.0.0.** www.333292**.com
127.0.0.** qqq.hao1658**.com
127.0.0.** qqq.dzydhx**.com
127.0.0.** www.exiao01**.com
127.0.0.** www.cike007**.cn
127.0.0.** v.onondown**.com. cn
127.0.0.** ymsdasdw1**.cn
127.0.0.** h96b**.info
127.0.0.** *.zttwp**.cn
127.0.0.** www.hackerbf**.cn
127.0.0.** geekbyfeng**.cn
127.0.0.** 121.14.101.**
127.0.0.** ppp.etimes888**.com
127.0.0.** www.bypk**.com
127.0.0.** CSC3-2004-crl.verisign**.com
127.0.0.** va9sdhun23**.cn
127.0.0.** udp.hjob123**.com
127.0.0.** bnasnd83nd**.cn
127.0.0.** www.gamehacker**.com .cn
127.0.0.** gamehacker**.com. cn
127.0.0.** adlaji**.cn
127.0.0.** 858656**.com
127.1.1.1 bnasnd83nd**.cn
127.0.0.** my123**.com
127.0.0.** user1.12-27**.net
127.0.0.** 8749**.com
127.0.0.** fengent**.cn
127.0.0.** 4199**.com
127.0.0.** user1.16-22**.net
127.0.0.** 7379**.com
127.0.0.** 2be37c5f.3f6e2cc5f0b**.com
127.0.0.** 7255**.com
127.0.0.** user1.23-12**.net
127.0.0.** 3448**.com
127.0.0.** www.guccia**.net
127.0.0.** 7939**.com
127.0.0.** a.o1o1o1**.nEt
127.0.0.** 8009**.com
127.0.0.** user1.12-73**.cn
127.0.0.** piaoxue**.com
127.0.0.** 3n8nlasd**.cn
127.0.0.** kzdh**.com
127.0.0.** www.sony888**.cn
127.0.0.** about.blank**.la
127.0.0.** user1.asp-33**.cn
127.0.0.** 6781**.com
127.0.0.** www.netkwek**.cn
127.0.0.** 7322**.com
127.0.0.** ymsdkad6**.cn
127.0.0.** localhost**
127.0.0.** www.lkwueir**.cn
127.0.0.** 06.jacai**.com
127.0.1.** user1.23-17**.net
127.0.0.** 1.jopenkk**.com
127.0.0.** upa.luai**.net
127.0.0.** 1.jopenqc**.com
127.0.0.** www.guccia**.net
127.0.0.** 1.joppnqq**.com
127.0.0.** 4m9mnlmi**.cn
127.0.0.** 1.xqhgm**.com
127.0.0.** mm119mkssd**.cn
127.0.0.** 100.332233**.com
127.0.0.** 61.128.171.***:8080
127.0.0.** 121.11.90. **
127.0.0.** www.1119111**.com
127.0.0.** 121565**.net
127.0.0.** win.nihao69**.cn
127.0.0.** 125.90.88. **
127.0.0.** 16888.6to23**.com
127.0.0.** 2.joppnqq**.com
127.0.0.** puc.lianxiac. **net
127.0.0.** 204.177.92.**
127.0.0.** pud.lianxiac**.net
127.0.0.** 210.74.145.***
127.0.0.** 210.76.0.***
127.0.0.** 219.129.239.***
127.0.0.** 61.166.32. **
127.0.0.** 219.153.40.***
127.0.0.** 218.92.186. **
127.0.0.** 219.153.46. **
127.0.0.** www.fsfsfag**.cn
127.0.0.** 219.153.52. ***
127.0.0.** ovo.ovovov**.cn
127.0.0.** 221.195.42. **
127.0.0.** dw**.com. com
127.0.0.** 222.73.218.***
127.0.0.** 203.110.168.***:80
127.0.0.** 3.joppnqq**.com
127.0.0.** 203.110.168.***:80
127.0.0.** 363xx**.com
127.0.0.** www1.ip10086**.com. cm
127.0.0.** 4199**.com
127.0.0.** blog.ip10086**.com. cn
127.0.0.** 43242**.com
127.0.0.** www.ccji68**.cn
127.0.0.** 5.xqhgm**.com
127.0.0.** t.myblank**.cn
127.0.0.** 520. mm5208**.com
127.0.0.** x.myblank**.cn
127.0.0.** 59.34.131. **
127.0.0.** 210.51.45. **
127.0.0.** 59.34.198. ***
127.0.0.** www.ew1q**.cn
127.0.0.** 59.34.198. **
127.0.0.** 59.34.198. **
127.0.0.** 60.190.114. ***
127.0.0.** 60.190.218. **
127.0.0.** qq-xing**.com. cn
127.0.0.** 60.191.124.***
127.0.0.** 61.145.117. ***
127.0.0.** 61.157.109. ***
127.0.0.** 75.126.3. ***
127.0.0.** 75.126.3. ***
127.0.0.** 75.126.3. ***
127.0.0.** 59.125.231. ***:17777
127.0.0.** 75.126.3. ***
127.0.0.** 75.126.3. ***
127.0.0.** 75.126.3. ***
127.0.0.** 772630**.com
127.0.0.** 832823**.cn
127.0.0.** 8749**.com
127.0.0.** 888.jopenqc**.com
127.0.0.** 89382**.cn
127.0.0.** 8v8**.biz
127.0.0.** 97725**.com
127.0.0.** 9gg**.biz
127.0.0.** www.9000music**.com
127.0.0.** test.591jx**.com
127.0.0.** a.topxxxx**.cn
127.0.0.** picon.chinaren**.com
127.0.0.** www.5566**.net
127.0.0.** p.qqkx**.com
127.0.0.** news.netandtv**.com
127.0.0.** z.neter888**.cn
127.0.0.** b.myblank**.cn
127.0.0.** wvw.wokutu**.com
127.0.0.** unionch.qyule**.com
127.0.0.** www.qyule**.com
127.0.0.** it.itjc**.cn
127.0.0.** www.linkwww**.com
127.0.0.** vod.kaicn**.com
127.0.0.** www.tx8688**.com
127.0.0.** b.neter888**.cn
127.0.0.** promote.huanqiu**.com
127.0.0.** www.huanqiu**.com
127.0.0.** www.haokanla**.com
127.0.0.** play.unionsky**.cn
127.0.0.** www.52v**.com
127.0.0.** www.gghka**.cn
127.0.0.** icon.ajiang**.net
127.0.0.** new.ete**.cn
127.0.0.** www.stiae**.cn
127.0.0.** o.neter888**.cn
127.0.0.** comm.jinti**.com
127.0.0.** www.google-analytics**.com
127.0.0.** hz.mmstat**.com
127.0.0.** www.game175**.cn
127.0.0.** x.neter888**.cn
127.0.0.** z.neter888**.cn
127.0.0.** p.etimes888**.com
127.0.0.** hx.etimes888**.com
127.0.0.** abc.qqkx**.com
127.0.0.** dm.popdm**.cn
127.0.0.** www.yl9999**.com
127.0.0.** www.dajiadoushe**.cn
127.0.0.** v.onondown**.com. cn
127.0.0.** www.interoo**.net
127.0.0.** bally1.bally-bally**.net
127.0.0.** www.bao5605509**.cn
127.0.0.** www.rty456**.cn
127.0.0.** www.werqwer**.cn
127.0.0.** 1.360-1**.cn
127.0.0.** user1.23-16**.net
127.0.0.** www.guccia**.net
127.0.0.** www.interoo**.net
127.0.0.** upa.netsool**.net
127.0.0.** js.users.51**.la
127.0.0.** vip2.51**.la
127.0.0.** web.51**.la
127.0.0.** qq.gong2008**.com
127.0.0.** 2008tl.copyip**.com
127.0.0.** tla.laozihuolaile**.cn
127.0.0.** www.tx6868**.cn
127.0.0.** p001.tiloaiai**.com
127.0.0.** s1. tl8tl**.com
127.0.0.** s1.gong2008**.com
127.0.0.** 4b3ce56f9g.3f6e2cc5f0b**.com
127.0.0.** 2be37c5f.3f6e2cc5f0b**.com
#360
127.0.0.** 59.53.87.101
127.0.0.** 125.46.1.226
127.0.0.** www.360. cn
127.0.0.** www.360safe. com
127.0.0.** sd.360. cn
127.0.0.** bbs.360safe. com
5、获取磁盘启动器类型，遍历目录查找所有后缀是EXE的目录并却是非系统盘的可执行文件中释放大量usp10.dll文件，终止部分安全软件进程，如发现进程中存在以下进程则调用内核函数强行终止其进程：
360Tray.exe、360Safe.exe、safeboxTray.exe、360realpro.exe、360upp.exe、RavMonD.exe、CCenter.exe、Ravtask.exe、rsnetsvr.exe、rsTray.exe、kissvc.exe、kwatch.exe、kpfwsvc.exe、
kavstart.exe、kmailmon.exe、kpfw32.exe、kasmain.exe、ksamain.exe、kaccore.exe、egui.exe、ekrn.exe、mainpro.exe、annexpro.exe、KVSrvXP.exe、KVSysCheck.exe、KVMonXP.kxp、KVPreScan.kxp
注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% 　　 WINDODWS所在目录
%DriveLetter%　　逻辑驱动器根目录
%ProgramFiles%　　　系统程序默认安装目录
%HomeDrive% 　当前启动的系统的所在分区
%Documents and Settings% 　当前用户文档根目录
%Temp% 　\Documents and Settings\当前用户\Local Settings\Temp
%System32% 　系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是%WINDOWS%\System
windowsXP中默认的安装路径是%system32%

Trojan/win32.Agent.dbr[Rootkit]的行为分析-本地行为

4、删除部分安全软件服务、终止部分安全软件进程、恢复SSDT躲避杀软主动查杀,创建病毒驱动设备名为:\\.\kvsys、\\.\tesafe,删除本地hosts文件、并重新创建一个hosts文件,劫持大量域名地址,获取磁盘启动器类型,遍历目录查找所有后缀是EXE的目录并却是非系统盘的可执行文件中释放大量usp10.dll文件,被劫持的域名有:127....

Load Port、SMIF

威孚（苏州）半导体技术有限公司是一家专注生产、研发、销售晶圆传输设备整机模块（EFEM/SORTER）及核心零部件的高科技半导体公司。公司核心团队均拥有多年半导体行业从业经验，其中技术团队成员博士、硕士学历占比80%以上，依托丰富的软件底层...

Trojan/win32.Agent.dbr[Rootkit]病毒描述

综上所述，Trojan/win32.Agent.dbr[Rootkit]病毒通过一系列复杂的操作，实现了对系统的深入渗透和破坏，对计算机安全构成了严重威胁。因此，用户应加强安全意识，安装和更新杀毒软件，定期扫描系统以防止此类病毒的侵入。

Trojan/win32.Agent.dbr[Rootkit]清除方案

清除Trojan/win32.Agent.dbr[Rootkit]病毒，推荐使用安天防线进行彻底清除。对于需要手动清除的情况，请按照以下步骤进行：首先，强行删除病毒衍生的文件：1. %System32%\drivers\etc\hosts 2. %System32%\drivers\kvsys.sys 3. %System32%\drivers\tesafe.sys 4. %Windir%\Fonts\System32.exe 5. ...

win7和win10哪个好用 windows7 mbr dbr win10我的电脑在哪 win10我的电脑 d盘dbr bwin win8.1 7dbr