Rootkit.Win32.Agent.pp

Rootkit.Win32.Agent.pp .Chi tiết kỹ thuật Trojan này che giấu sự hiện diện của nó trong hệ thống trước người dùng và các chương trình khác. Nó là một file hệ thống của Windows. Dung lượng của nó là 40960 byte và không được đóng gói. Nó được viết bằng C. Cài đặt Chương trình mã độc này sẽ được cài đặt trên máy tính nạn nhân cùng với một số chương trình độc hại khác. Nó đặt ẩn hoạt động của các chương trình mã độc khác trong hệ thống. Khi được khởi chạy, trojan sẽ copy chính bản thân nó vào thư mục hệ...
Nội dung trích xuất từ tài liệu:
Rootkit.Win32.Agent.pp Rootkit.Win32.Agent.pp Chi tiết kỹ thuật Trojan này che giấu sự hiện diện của nó trong hệ thống trước người dùng và các chương trình khác. Nó là một file hệ thống của Windows. Dung lượng của nó là 40960 byte và không được đóng gói. Nó được viết bằng C. Cài đặt Chương trình mã độc này sẽ được cài đặt trên máy tính nạn nhân cùng với một số chương trình độc hại khác. Nó đặt ẩn hoạt động của các chương trình mã độc khác trong hệ thống. Khi được khởi chạy, trojan sẽ copy chính bản thân nó vào thư mục hệ thống như ctl_w32.sys: %System%\drivers\ctl_w32.sys Để đảm bảo Trojan tự động chạy mỗi khi hệ thống khởi động, nó tự thêm các dịch vụ sau vào registry hệ thống: [HKLM\System\CurrentControlSet\Services\ctl_w32] Start = dword:0x00000003 Type = dword:0x00000001 ImagePath = %System%\drivers\ctl_w32.sys Hoạt động Trojan sẽ thử truy cập toàn quyền vào driver \\.\Rntm2 nếu nó được cài đặt trên hệ thống. Một khi đã thành công, Trojan sẽ tự động xóa file gốc của chính nó. Hướng dẫn gỡ bỏ Nếu máy tính của bạn không có một chương trình diệt virus tự động cập nhật, hoặc không có một giải pháp diệt virus toàn vẹn, hãy thực hiện theo các hướng dẫn sau để xóa bỏ mã độc khỏi máy tính: 1. Xóa khóa registry hệ thống sau: [HKLM\System\CurrentControlSet\Services\ctl_w32] 2. Khởi động lại máy tính 3. Xóa file sau: %System%\drivers\ctl_w32.sys 4. Cập nhật cơ sở dữ liệu virus và thực hiện quét toàn bộ máy tính.