Другие модификации: .a, .az, .h, .i, .jq, .l, .p
Поведение
Rootkit.
Технические детали
Троянская программа, скрывающая свое присутствие в системе от пользователя и других программ. Является драйвером Windows (PE SYS-файл). Имеет размер 40960 байт. Ничем не упакована. Написана на C.
Инсталляция
Данная программа инсталлируется в систему вместе с другими вредоносными программами с целью скрытия их активности на зараженном компьютере.
После запуска троянец копирует свое тело в системный каталог Windows под именем "ctl_w32.sys":
%System%/drivers/ctl_w32.sys
Для автоматического запуска при каждом следующем старте системы троянец регистрирует следующую службу в реестре:
[HKLM/System/CurrentControlSet/Services/ctl_w32]
"Start" = "dword:0x00000003"
"Type" = "dword:0x00000001"
"ImagePath" = "%System%/drivers/ctl_w32.sys"
Деструктивная активность
Данная троянская программа пытается получить доступ к драйверу с именем "//./Rntm2", если таковой был предварительно установлен в систему.
После запуска вредоносная программа удаляет свой исходный файл.
Деструктивная активность
Данная троянская программа пытается получить доступ к драйверу с именем "//./Rntm2", если таковой был предварительно установлен в систему.
После запуска вредоносная программа удаляет свой исходный файл.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить ключ системного реестра:
[HKLM/System/CurrentControlSet/Services/ctl_w32]
- Выполнить перезагрузку компьютера.
- Удалить файл:
%System%/drivers/ctl_w32.sys
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: viruslist.com.
| 
