Trojan/win32.Agent.dbr[Rootkit]的行为分析-本地行为

1、动态加载系统DLL文件msvcrt.dll，该DLL是标准的微软C运行库文件，创建线程、遍历进程查找avp.exe找到之后退出线程，如没发现avp.exe进程则提升进程操作权限。
2、文件运行后会释放以下文件
%System32%\drivers\etc\hosts 删除本地hosts文件，并重新释放劫持大量域名
%System32%\drivers\kvsys.sys 该驱动文件