Руткит — TDSS TDL 3.20

Недавно у нескольких знакомых «странно одновременно» забарахлили устройство CD-ROM/DVD-ROM:

Перестали писать обычные СиДи — диски.

При более детальном рассмотрении оказался новый Руткит — TDSS TDL 3.20.

Как и раньше я буду дополнять этот пост утилитами и других производителей Антивирусного ПО для удаления данного руткита.

Итак :

КасперскиЛаб: TDSSKiller.zip

www.esagelab.ru : Скачать архив с программой можно здесь
MD5 remover.exe:58923e4ecde62d9b7d9f92675a90b836

Функции Rootkit.Win32.TDSS remover версии 1.3.5.0:
* обнаружение скрытых драйверов, ключей реестра, дополнительных модулей руткита
* поиск на системных и съемных дисках файлов autorun.inf, ссылающихся на копии TDSS, и самих этих копий
* удаление найденных объектов.
Known bugs:
* драйвер остается в системе после завершения программы
* в процессе перечисления съемных дисков, при отсутствующем диске выдается некритичное сообщение об ошибке.

Далее читаем более подробно о самом рутките и способе его удаления. Инфа взята с сайта Лаборатории Касперского. (http://support.kaspersky.ru)

Rootkit (по-русски, «руткит») — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.

В системах Windows под rootkit принято подразумевать программу, которая внедряется в систему и перехватывает системные функции (Windows API). Перехват и модификация низкоуровневых API-функций, в первую очередь, позволяет такой программе достаточно качественно маскировать свое присутствие в системе. Кроме того, как правило, rootkit может маскировать присутствие в системе любых описанных в его конфигурации процессов, каталогов и файлов на диске, ключей в реестре. Многие rootkit устанавливают в систему свои драйверы и службы (они также являются «невидимыми»).

Лечение систем, зараженных вредоносными программами семейства Rootkit.Win32.TDSS, производится с помощью утилиты TDSSKiller.exe.

Лечение зараженной системы

  • Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку на зараженной (или потенциально зараженной) машине, используя программу-архиватор (например, WinZip).
  • Запустите файл TDSSKiller.exe.
  • Дождитесь окончания сканирования и лечения. Перезагрузка компьютера после лечения требуется.

В ходе своей работы утилита при запуске без параметров:

  • Ищет в реестре сервисы с именами:
    • UACd.sys;
    • MSIVXserv.sys;
    • TDSSserv.sys;
    • gaopdxserv.sys;
    • gxvxcserv.sys.
  • В случае их обнаружения утилита удаляет сервис и файл, на который он ссылается, при следующей перезагрузке системы;
  • Утилита выполняет сканирование памяти ядра с целью обнаружения и снятия перехватов, выставленных руткитом.
  • Проверяются системные драйверы на предмет наличия их заражения, в случае обнаружения заражения утилита выполняет их лечение.
  • По окончании работы, в случае обнаружения зловредных сервисов или файлов, утилита предлагает выполнить перезагрузку для завершения лечения. При загрузке системы драйвер выполнит удаление зловредных ключей реестра и файлов, после чего удалит себя из списка сервисов.

Параметры запуска утилиты TDSSKiller.exe из командной строки

-l <имя_файла> — запись отчета в файл.
-v — ведение подробного отчета (необходимо вводить вместе с параметром -l).
-d <имя_сервиса> — принудительное задание имени зловредного сервиса для поиска.
-o <имя_файла> — сохранить в заданный файл дамп, необходимый для анализа в случае проблем с детектированием.

Например, для сканирования компьютера с записью подробного отчета в файл report.txt (который создастся в папке, где находится утилита TDSSKiller.exe) используйте следующую команду:

TDSSKiller.exe -l report.txt -v

Признаки заражения

  • Признаки заражения системы  вредоносной программой Rootkit.Win32. TDSS первого и второго поколения (TDL1, TDL2)

Для опытных пользователей, можно отследить перехваты следующих функций в ядре:

  • IofCallDriver;
  • IofCompleteRequest;
  • NtFlushInstructionCache;
  • NtEnumerateKey

Используя, например, программу Gmer:

  • Признаки заражения системы  вредоносной программой Rootkit.Win32. TDSS третьего поколения (TDL3)

Обнаружить заражение вредоносной программой Rootkit.Win32. TDSS третьего поколения (TDL3) можно с помощью программы Gmer, которая детектирует подмену объекта «устройство» системного драйвера atapi.sys.

5 thoughts on “Руткит — TDSS TDL 3.20”

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Изображения должны быть включены!