Другие названия
Trojan.Win32.Raiden.a («Лаборатория Касперского») также известен как: AFXrootkit.gen.c (McAfee), Troj/HoDef-A (Sophos), HKTL_HODEF.A (Trend Micro), Trojan.Raiden.A (SOFTWIN), Trj/Raiden.A (Panda), Win32/Raiden.A (Eset)
Описание опубликовано 11 июл 2008
Поведение Trojan, троянская программа

* Технические детали
* Деструктивная активность
* Рекомендации по удалению

Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Выполнена в виде драйвера ядра NT (kernel mode driver). Имеет размер 5335 байт.
Деструктивная активность

Троянец перехватывает вызовы следующих системных функций путем замены обработчика в KeServiceDescriptorTable:
# ZwQueryDirectoryFile, для сокрытия наличия файлов на диске;
# ZwEnumerateKey, для сокрытия ключей реестра;
# ZwQueryValueKey, для сокрытия значений ключей реестра;
# ZwQuerySystemInformation, для сокрытия процессов;

Троян скрывает ключи системного реестра со следующими именами:
{4C836512-BB70-11D2-A5A7-00105A9C91C6}
{DB797681-40E0-11D2-9BD5-0060082AE372}

А также скрывает файлы со следующими именами:
ip.ben
ip.jod

и их процессы в системе.
Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи «Диспетчера задач» завершить вредоносный процесс.
2. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами.