Security Lab

Rootkit.Win32.Agent.yr

Rootkit.Win32.Agent.yr

Вредоносная программа, предназначенная для скрытия других троянских программ в системе. Программа является приложением Windows (PE DLL-файл).

Технические детали

Вредоносная программа, предназначенная для скрытия других троянских программ в системе. Программа является приложением Windows (PE DLL-файл). Имеет размер 29448 байт. Упакована неизвестным упаковщиком. Распакованный размер - около 93 KБ. Написана на C++.

Инсталляция

При запуске извлекает из своего тела во временный каталог текущего пользователя файл со случайным именем вида:

%Temp%\<rnd1>.sys

Где <rnd1> - произвольная последовательность из цифр и букв латинского алфавита, например "2i1k17".

Данный файл имеет размер 19011 байт и детектируется Антивирусом Касперского как Trojan-GameThief.Win32.OnLineGames.rce.

После извлечения файл перемещается в системную папку под следующим именем:

%System%\wincab.sys

Для автоматического запуска троянец создает в системе службу, которая запускает его исполняемый файл при каждой последующей загрузке Windows, при этом создается следующий ключ реестра:

[HKLM\System\CurrentControlSet\Services\Wincab]

Деструктивная активность

Завершает следующие процессы:

KAV  RAV  AVP  KAVSVC

Так же скрывает файлы, процессы и ключи реестра, содержащие в имени подстроку “wincab” при помощи подмены обработчиков следующих функций:

NtEnumerateKey  NtEnumerateValueKey  NtQueryDirectoryFile  NtQuerySystemInfromation

в KeServiceDescriptorTable.


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Перезагрузить компьютер в "безопасном режиме" (в самом начале загрузки нажать и удерживать клавишу "F8", затем выбрать пункт "Safe Mode" в меню загрузки Windows).
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить ключ системного реестра:
    [HKLM\System\CurrentControlSet\Services\Wincab]
  4. Удалить файлы:
    %Temp%\<rnd1>.sys  %System%\wincab.sys

Ищем уязвимости в системе и новых подписчиков!

Первое — находим постоянно, второе — ждем вас

Эксплойтните кнопку подписки прямо сейчас