Security Lab

Rootkit.Win32. Agent.p

Rootkit.Win32. Agent.p

Резидентная троянская программа. Является приложением Windows (PE EXE-файл).

Резидентная троянская программа. Является приложением Windows (PE EXE-файл). Написана на C, ничем не упакована. Размер файла — 7 168 байт.

Инсталляция

Как правило, данный руткит инсталлируется другим трояном в системную папку Windows:

%System%

При инсталляции в системном реестре создаются следующие ключи:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv]
 "Type"="dword:00000001"
 "Start"="dword:00000003"
 "ErrorControl"="dword:00000001"
 "ImagePath"="%system%\rdriv.sys"
 "DisplayName"="rdriv"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv\Security]
 "Security"="binary: 01 00 14 80 ..."

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv\Enum]
 "0"="Root\LEGACY_RDRIV\00"
 "Count"="dword:00000001"
 "NextInstance"="dword:00000001"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV]

name="doc3">Деструктивная активность
Руткит используется другими троянами для скрытия своей активности. Выполнен в виде драйвера ядра операционной системы.
Другие названия
Rootkit.Win32.Agent.p ( «Лаборатория Касперского» ) также известен как: Trojan.Win32.Rootkit.l ( «Лаборатория Касперского» ), NTRootKit-J ( McAfee ),   Trojan.Cachecachekit ( Symantec ),   BackDoor.IRC.Sdbot.55 ( Doctor Web ),   Troj/Rootkit-X ( Sophos ),   TROJ_ROOTKIT.E ( Trend Micro ),   TR/Rootkit.L ( H+BEDV ),   Trojan.Rootkit.L ( SOFTWIN ),   Trojan.Rootkit.C ( ClamAV ),   Hacktool/Rootkit.L ( Panda ),   Win32/Rootkit.I ( Eset )

Ньютон уронил яблоко. Мы роняем челюсти!

Гравитация научных фактов сильнее, чем вы думаете

Подпишитесь и испытайте интеллектуальное падение