Rootkit.Win32.Agent.pp
Szkodnik ten zostanie zainstalowany na zaatakowanej maszynie wraz z innymi szkodliwymi programami. Wykorzystywany jest w celu ukrycia aktywno艣ci innych szkodliwych program贸w w systemie.
Po uruchomieniu trojan kopiuje swoje cia艂o do foldera systemu Windows z nazw膮 "ctl_w32.sys":
%System%driversctl_w32.sys
W celu zapewnienia sobie automatycznego uruchamiania wraz z ka偶dym startem systemu trojan rejestruje w rejestrze systemowym nast臋puj膮c膮 us艂ug臋:
"Start" = "dword:0x00000003"
"Type" = "dword:0x00000001"
"ImagePath" = "%System%driversctl_w32.sys"
Trojan b臋dzie pr贸bowa艂 uzyska膰 dost臋p do "\.Rntm2", je艣li jest zainstalowany w systemie.
Po uruchomieniu trojan usuwa sw贸j oryginalny plik.
Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:
- Usu艅 nast臋puj膮cy klucz rejestru systemowego:
[HKLMSystemCurrentControlSetServicesctl_w32] - Uruchom powt贸rnie komputer.
- Usu艅 nast臋puj膮cy plik:
%System%driversctl_w32.sys
- Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).