Trojan.Win32. Raiden.a

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Выполнена в виде драйвера ядра NT (kernel mode driver). Имеет размер 5335 байт.

Деструктивная активность

Троянец перехватывает вызовы следующих системных функций путем замены обработчика в KeServiceDescriptorTable:

# ZwQueryDirectoryFile, для сокрытия наличия файлов на диске;
# ZwEnumerateKey, для сокрытия ключей реестра;
# ZwQueryValueKey, для сокрытия значений ключей реестра;
# ZwQuerySystemInformation, для сокрытия процессов;

Троян скрывает ключи системного реестра со следующими именами:

{4C836512-BB70-11D2-A5A7-00105A9C91C6}
{DB797681-40E0-11D2-9BD5-0060082AE372}

А также скрывает файлы со следующими именами:

ip.ben
ip.jod

и их процессы в системе.

Другие названия

Trojan.Win32.Raiden.a («Лаборатория Касперского») также известен как: AFXrootkit.gen.c (McAfee), Troj/HoDef-A (Sophos), HKTL_HODEF.A (Trend Micro), Trojan.Raiden.A (SOFTWIN), Trj/Raiden.A (Panda), Win32/Raiden.A (Eset)