Security Lab

Rootkit.Win32. Agent.jq

Rootkit.Win32. Agent.jq

Троянская программа, скрывающая свое присутствие в системе от пользователя и других программ.

Троянская программа, скрывающая свое присутствие в системе от пользователя и других программ. Является драйвером Windows (PE SYS-файл). Имеет размер 4384 байта. Ничем не упакована. Написана на C.

Инсталляция

Данная программа инсталлируется в систему вместе с другими вредоносными программами с целью сокрытия их активности на зараженном компьютере.

Троянец копируется в системный каталог Windows:

%System%\nso12k.sys

В системный реестр он добавляет следующий ключ:

[HKLM\System\CurrentControlSet\Services\Driver]
"ImagePath" = "%System%\nso12k.sys"

Деструктивная активность

Вредоносная программа представляет собой драйвер, служащий для фильтрации интернет-трафика пользователя аналогично IP Filter Driver. Для этого троянец использует функционал объектов в «ntoskrnl.exe» и «ndis.sys».

Также данный руткит скрывает активность вредоносных программ, что позволяет им получать беспрепятственный доступ в Интернет.

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться