Rootkit.Win32.Agent.adm

Материал из Total Malware Info

Rootkit.Win32.Agent.adm Троянская программа, скрывающая свое присутствие в системе от пользователя и других программ. Является файлом драйвера Windows. Имеет размер 167936 байт.

Инсталляция

Копирует свой исполняемый файл как:

%System%\drivers\<rnd1><rnd2>.sys

где <rnd1> – случайная последовательность прописных латинских букв, <rnd2> – случайное число. Создает службу с именем “CDAudio”, которая запускает драйвер руткита при каждой последующей загрузке Windows.

Деструктивная активность

Данный руткит предзназначен для перенаправления почтового трафика на сайт злоумышленников. Не перенаправляются почтовые сообщения, которые адресованы следующим доменам:

cc.countries.nerd.dk
spamblocked.com
korea.services.net
chickenboner.biz
samspade.org
secnap.net
fahq2.com
gweep.ca
cameldns.com
bl.deadbeef.com
zebl.zoneedit.com
rhs.mailpolice.com
rfc-ignorant.org
spamdomain.block.transip.nl
dnsrbl.swinog.ch
bl.open-whois.org
hil.habeas.com
isipp.com
query.bondedsender.org
whitelist.sci.kun.nl
isoc.bg
web-o-trust.org
exemptions.ahbl.org
isipp.com|
anti-spam.org.cn
intruders.docs.uu.se
mail.people.it
hilli.dk
aupads.org
sci.kun.nl
unit.liu.se
csma.biz
arix.com
redhawk.org
spamblocked.com
wytnij.to
kithrup.com
jippg.org
leadmon.net
catchspam.com
transip.nl
spamcannibal.org
starloop.com
fusionzero.com�fast.net
spambag.org
ppbl.beat.st
technovision.dk
no-more-funn.moensted.dk
asgardnet.org
rbl.sns.ro
sequoia.ops.asp.att.net
tqmcube.com
2stepback.dk
mail-abuse.org
abuseat.org
transip.nl
dsbl.org
orvedb.aupads.org
nether.net
kundenserver.de
bogons.cymru.com
completewhois.com
orgsurbl.org
swinog.ch
spamlookup.net
deadbeef.com
icm.edu.pl
senderbase.org�lashback.com
unsubscore.com
blocklist.org
they.com
woody.ch
surriel.com
uceprotect.net
bit.nl
rbl.jp
msrbl.net
interserver.net
spamcop.net
redhatgate.com
tqmcube.com
anti-spam.org.cn
insecure-bl.rambler.ru

Сообщения перенаправляюся на следующий адрес:

208.72.168.134:4099

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл руткита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файл:

%System%\drivers\<rnd1><rnd2>.sys

3. Удалить службу “CDAudio”