Rootkit.Win32.Agent.yr


Технические детали
Вредоносная программа, предназначенная для скрытия других троянских программ в системе. Программа является приложением Windows (PE DLL-файл). Размер - 29448 байт. Упакована неизвестным упаковщиком. Распакованный размер - около 93 KБ. Написана на C++.


Инсталляция
При запуске извлекает из своего тела во временный каталог текущего пользователя файл со случайным именем вида:

  • %Temp%\<rnd1>.sys

Где <rnd1> - произвольная последовательность из цифр и букв латинского алфавита, например "2i1k17".

После извлечения файл перемещается в системную папку под следующим именем:

  • %System%\wincab.sys


Для автоматического запуска троян создает в системе службу, запускающую его исполняемый файл при каждой последующей загрузке Windows, при этом создается следующий ключ реестра:

  • [HKLM\System\CurrentControlSet\Services\Wincab]


Деструктивная активность

  1. Завершает следующие процессы:
    • KAV
    • RAV
    • AVP
    • KAVSVC

  2. Скрывает файлы, процессы и ключи реестра, содержащие в имени подстроку "wincab" при помощи подмены обработчиков следующих функций:
    • NtEnumerateKey
    • NtEnumerateValueKey
    • NtQueryDirectoryFile
    • NtQuerySystemInfromation

в KeServiceDescriptorTable.


Методы борьбы
Для удаления вредоносной программы необходимо:

  1. Перезагрузить компьютер в "безопасном режиме" (при начале загрузки Windows нажимать и удерживать клавишу "F8" - выбрать пункт "Загрузка в безопасном режиме").
  2. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить ключ системного реестра:
    • [HKLM\System\CurrentControlSet\Services\Wincab]

  4. Удалить файлы:
    • %Temp%\<rnd1>.sys
    • %System%\wincab.sys

  5. Произвести полную проверку компьютера лечащей утилитой Dr.Web CureIt! либо Антивирусом Касперского с обновленными антивирусными базами.