Rootkit.Win32.Agent.pp

Trojan ten maskuje swoj膮 obecno艣膰 w systemie przed u偶ytkownikami i przed innymi programami. Ma posta膰 pliku PE SYS o rozmiarze 40960 bajt贸w. Szkodnik powsta艂 w j臋zyku programowania C. Nie zasta艂 w 偶aden spos贸b skompresowany.

Instalacja

Szkodnik ten zostanie zainstalowany na zaatakowanej maszynie wraz z innymi szkodliwymi programami. Wykorzystywany jest w celu ukrycia aktywno艣ci innych szkodliwych program贸w w systemie.

Po uruchomieniu trojan kopiuje swoje cia艂o do foldera systemu Windows z nazw膮 "ctl_w32.sys":

%System%driversctl_w32.sys

W celu zapewnienia sobie automatycznego uruchamiania wraz z ka偶dym startem systemu trojan rejestruje w rejestrze systemowym nast臋puj膮c膮 us艂ug臋:

[HKLMSystemCurrentControlSetServicesctl_w32]
"Start" = "dword:0x00000003"
"Type" = "dword:0x00000001"
"ImagePath" = "%System%driversctl_w32.sys"

Funkcje szkodnika

Trojan b臋dzie pr贸bowa艂 uzyska膰 dost臋p do "\.Rntm2", je艣li jest zainstalowany w systemie.

Po uruchomieniu trojan usuwa sw贸j oryginalny plik.

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

  1. Usu艅 nast臋puj膮cy klucz rejestru systemowego:

    [HKLMSystemCurrentControlSetServicesctl_w32]

  2. Uruchom powt贸rnie komputer.
  3. Usu艅 nast臋puj膮cy plik:

    %System%driversctl_w32.sys
    
  4. Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).