Rootkit.Win32. Agent.p

Резидентная троянская программа. Является приложением Windows (PE EXE-файл).

Резидентная троянская программа. Является приложением Windows (PE EXE-файл). Написана на C, ничем не упакована. Размер файла — 7 168 байт.

Инсталляция

Как правило, данный руткит инсталлируется другим трояном в системную папку Windows:

%System%

При инсталляции в системном реестре создаются следующие ключи:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv]
 "Type"="dword:00000001"
 "Start"="dword:00000003"
 "ErrorControl"="dword:00000001"
 "ImagePath"="%system%\rdriv.sys"
 "DisplayName"="rdriv"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv\Security]
 "Security"="binary: 01 00 14 80 ..."

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv\Enum]
 "0"="Root\LEGACY_RDRIV\00"
 "Count"="dword:00000001"
 "NextInstance"="dword:00000001"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV]

Деструктивная активность
Руткит используется другими троянами для скрытия своей активности. Выполнен в виде драйвера ядра операционной системы.

Другие названия
Rootkit.Win32.Agent.p («Лаборатория Касперского») также известен как: Trojan.Win32.Rootkit.l («Лаборатория Касперского»), NTRootKit-J (McAfee),   Trojan.Cachecachekit (Symantec),   BackDoor.IRC.Sdbot.55 (Doctor Web),   Troj/Rootkit-X (Sophos),   TROJ_ROOTKIT.E (Trend Micro),   TR/Rootkit.L (H+BEDV),   Trojan.Rootkit.L (SOFTWIN),   Trojan.Rootkit.C (ClamAV),   Hacktool/Rootkit.L (Panda),   Win32/Rootkit.I (Eset)