Показать сообщение отдельно

Re: Вирусы,их описания и способы борьбы с ними.
Старый 03.09.2011, 02:24   #6
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 65 728

Markiza вне форума

Вирусы, их описания и способы борьбы с ними.


Rootkit.Win32.Agent.yr

Технические детали

Вредоносная программа, предназначенная для скрытия других троянских программ в системе. Программа является приложением Windows (PE DLL-файл). Имеет размер 29448 байт. Упакована неизвестным упаковщиком. Распакованный размер - около 93 KБ. Написана на C++.
Инсталляция

При запуске извлекает из своего тела во временный каталог текущего пользователя файл со случайным именем вида:

%Temp%\<rnd1>.sys

Где <rnd1> - произвольная последовательность из цифр и букв латинского алфавита, например "2i1k17".

Данный файл имеет размер 19011 байт и детектируется Антивирусом Касперского как Trojan-GameThief.Win32.OnLineGames.rce.

После извлечения файл перемещается в системную папку под следующим именем:

%System%\wincab.sys

Для автоматического запуска троянец создает в системе службу, которая запускает его исполняемый файл при каждой последующей загрузке Windows, при этом создается следующий ключ реестра:

[HKLM\System\CurrentControlSet\Services\Wincab]


Деструктивная активность

Завершает следующие процессы:

KAV RAV AVP KAVSVC

Так же скрывает файлы, процессы и ключи реестра, содержащие в имени подстроку “wincab” при помощи подмены обработчиков следующих функций:

NtEnumerateKey NtEnumerateValueKey NtQueryDirectoryFile NtQuerySystemInfromation

в KeServiceDescriptorTable.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1.Перезагрузить компьютер в "безопасном режиме" (в самом начале загрузки нажать и удерживать клавишу "F8", затем выбрать пункт "Safe Mode" в меню загрузки Windows).
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3.Удалить ключ системного реестра:

[HKLM\System\CurrentControlSet\Services\Wincab]

Удалить файлы:

%Temp%\<rnd1>.sys %System%\wincab.sys
__________________
http://avfor.ru/images/help.gif
  Ответить с цитированием
 
Яндекс.Метрика