Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wieloczęściowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirusów | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazujące na nich wirusy | Konie trojańskie | Wirusy skryptowe | Robaki | Żarty oraz programy nie będące wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

Rootkit.Win32.Agent.pp

Trojan ten maskuje swoją obecność w systemie przed użytkownikami i przed innymi programami. Ma postać pliku PE SYS o rozmiarze 40960 bajtów. Szkodnik powstał w języku programowania C. Nie zastał w żaden sposób skompresowany.

Instalacja

Szkodnik ten zostanie zainstalowany na zaatakowanej maszynie wraz z innymi szkodliwymi programami. Wykorzystywany jest w celu ukrycia aktywności innych szkodliwych programów w systemie.

Po uruchomieniu trojan kopiuje swoje ciało do foldera systemu Windows z nazwą "ctl_w32.sys":

%System%driversctl_w32.sys

W celu zapewnienia sobie automatycznego uruchamiania wraz z każdym startem systemu trojan rejestruje w rejestrze systemowym następującą usługę:

[HKLMSystemCurrentControlSetServicesctl_w32]
"Start" = "dword:0x00000003"
"Type" = "dword:0x00000001"
"ImagePath" = "%System%driversctl_w32.sys"

Funkcje szkodnika

Trojan będzie próbował uzyskać dostęp do "\.Rntm2", jeśli jest zainstalowany w systemie.

Po uruchomieniu trojan usuwa swój oryginalny plik.

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

  1. Usuń następujący klucz rejestru systemowego:

    [HKLMSystemCurrentControlSetServicesctl_w32]

  2. Uruchom powtórnie komputer.
  3. Usuń następujący plik:

    %System%driversctl_w32.sys
    
  4. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).