Rootkit.Win32.Agent.ev
Материал из Total Malware Info
Rootkit.Win32.Agent.ev Программа предназначена для обеспечения скрытной работы других программ. Является приложением Windows (PE-EXE файл). Имеет размер 1689 байт.
Инсталляция
Создает системную службу с именем “RioDrvs Usb Driver”, которая автоматически запускает драйвер руткита при каждой последующей загрузке Windows.
Деструктивная активность
Перехватывает вызовы следующих системных функций путем замены обработчика в KeServiceDescriptorTable: ZwQueryDirectoryFile, для сокрытия наличия файлов на диске; ZwQuerySystemInformation, для блокирования запуска процессов; ZwEnumerateKey, для сокрытия значений ключей реестра ZwDeleteValueKey, для предотвращения удаления значений реестра Блокирует запуск следующих процессов:
ISPUBDRV ISDRV1 RKREVEAL PROCEXP SAFEMON RKHDRV10 NPF IRIS NPPTNT DUMP_WMIMMC SPLITTER EAGLENT
Скрывает на жестком диске файлы со следующими именами:
UPXDHND.DLL CMDBCS.DLL WSVBS.DLL MDDDSCCRT.DLL RUND11.DLL LGSYM.DLL RDSHOST.DLL RDFHOST.DLL RDIHOST.DLL RPCS.DLL NOTEPAD.DLL DLLHOSTS.DLL WINDHCP.DLL RICHDLL.DLL WININFO.RXK DLLWM.DLL
Находящиеся в папках содержащие следующим строки в именах:
\COMMON FILES\ \WINDOWS\ \WINNT\ \SYSTEM32\
Так же руткит блокирует доступ к значениям ключей реестра содержашим ссылки на вышеперечисленные файлы.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи <Диспетчера задач> завершить вредоносный процесс.
- Удалить оригинальный файл руткита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить службу “RioDrvs Usb Driver”.
