Rootkit.Win32.Agent.a

Программа предназначена для обеспечения скрытной работы других программ. Выполнена в виде драйвера ядра NT (kernel mode driver).

Программа предназначена для обеспечения скрытной работы других программ. Выполнена в виде драйвера ядра NT (kernel mode driver).

Файл программы имеет размер 5760 байт и часто называется msdirect.sys. Является частью троянской программы Backdoor.Win32.ForBot.t.

При загрузке перехватывает системные сервисы путем замены обработчика в KeServiceDescriptorTable:

* ZwQueryDirectoryFile, для сокрытия наличия файлов на диске;

* ZwQuerySystemInformation, для сокрытия процессов;

* ZwOpenFile, для блокирования доступа к своим файлам (не реализовано);

* ZwQueryValueKey, для сокрытия занчений ключей реестра (не реализовано).

Под Windows XP и выше, вероятнее всего, будет инициировать системный сбой (BSOD). Никаких других действий не производит.

Содержит строки:

* rootkit: detected file/directory query from _root_ process

* rootkit: detected system query from _root_ process

* rootkit: hiding process, pid: %d',9,'name: %s