Rootkit.Win32.Agent.pp

Ngày phát hiện: 30 – 11 – 2007
Hiểm họa: Rootkit

Chi tiết kỹ thuật

Trojan này che giấu sự hiện diện của nó trong hệ thống trước người dùng và các chương trình khác. Nó là một file hệ thống của Windows. Dung lượng của nó là 40960 byte và không được đóng gói. Nó được viết bằng C.

Cài đặt

Chương trình mã độc này sẽ được cài đặt trên máy tính nạn nhân cùng với một số chương trình độc hại khác. Nó đặt ẩn hoạt động của các chương trình mã độc khác trong hệ thống.

Khi được khởi chạy, trojan sẽ copy chính bản thân nó vào thư mục hệ thống như "ctl_w32.sys":

%System%\drivers\ctl_w32.sys

Để đảm bảo Trojan tự động chạy mỗi khi hệ thống khởi động, nó tự thêm các dịch vụ sau vào registry hệ thống:

[HKLM\System\CurrentControlSet\Services\ctl_w32]
"Start" = "dword:0x00000003"
"Type" = "dword:0x00000001"
"ImagePath" = "%System%\drivers\ctl_w32.sys"

Hoạt động

Trojan sẽ thử truy cập toàn quyền vào driver \\.\Rntm2 nếu nó được cài đặt trên hệ thống. Một khi đã thành công, Trojan sẽ tự động xóa file gốc của chính nó.

Hướng dẫn gỡ bỏ

Nếu máy tính của bạn không có một chương trình diệt virus tự động cập nhật, hoặc không có một giải pháp diệt virus toàn vẹn, hãy thực hiện theo các hướng dẫn sau để xóa bỏ mã độc khỏi máy tính:

1. Xóa khóa registry hệ thống sau:

[HKLM\System\CurrentControlSet\Services\ctl_w32]

2. Khởi động lại máy tính

3. Xóa file sau:

%System%\drivers\ctl_w32.sys

4. Cập nhật cơ sở dữ liệu virus và thực hiện quét toàn bộ máy tính.