Un rootkit es una herramienta o un grupo de herramientas que sirve para ocultar las trazas de presencia del intruso, de otros programas maliciosos o sí misma en el sistema operativo.
En los sistemas operativos Windows, un rootkit es un programa que penetra el sistema y intercepta las funciones del sistema (Windows API). Un rootkit puede esconder su presencia en el sistema con éxito interceptando y modificando las funciones del API de nivel bajo. Además un rootkit suele ocultar ciertos procesos, directorios, archivos, y claves de registro. Muchos rootkits instalan sus controladores y servicios (son “invisibles” también) al sistema.
Desinfección del sistema infectado
Descargar el archivo TDSSKiller.zip y extraer (usando WinZip, por ejemplo) su contenido en una carpeta en el equipo (potencialmente) infectado.
Lanzar el archivo TDSSKiller.exe.
Esperar el fin de escaneo y desinfección. Es necesario reiniciar el equipo después de desinfectarlo.
Cómo utilizar la herramienta:
Haga clic en el botón Start scan para iniciar el análisis;
La herramienta buscará los objetos maliciosos y sospechosos.
objetos maliciosos (ha sido identificado el programa malicioso que infectó el objeto);
objetos sospechosos (es imposible definitivamente identificar el programa malicioso).
Al terminar el análisis, la herramienta sale una lista de objetos detectados con detalles.
La herramienta decide que acción aplicar a los objetos maliciosos de forma automática: Desinfectar (Cure) o Eliminar (Delete).
El usuario selecciona qué hacer con los objetos sospechosos. Ppor defecto - Ignorar (Skip).
Seleccione la acción Cuarentena (Quarantine) para añadir los objetos detectados a la cuarentena.
Por defecto, la carpeta de cuarentena se ubica en el directorio raíz del disco de sistema, p.e. C:\TDSSKiller_Quarantine\23.07.2010_15.31.43.
Haga clic en el botón Next para aplicar las acciones seleccionadas y salir el resultado.
Se puede necesitar reiniciar el equipo después de la desinfección.
El nombre del fichero de reporte es como Nombre-de-la-herramienta.Versión-Fecha-Tiempo-log.txt
Por ejemplo, C:\TDSSKiller.2.4.0-23.17.2010-15.31.43-log.txt.
Los argumentos de la línea de comandos para ejecutar la herramienta TDSSKiller.exe:
-l (nombre_del_archivo) - nombre del archivo log;
-qpath (ruta_de_la_carpeta) - la carpeta de cuarentena (será creada de no existir);
-h - ver la lista de argumentos posibles.
-sigcheck - detectar todos los driver sin la signatura digital como sospechosos.
-tdlfs - permite detectar el sistema de archivos TDLFS creado por el rootkit TDL 3/4 en los últimos sectores del disco duro para guardar sus archivos. Es capaz de mover todos esos archivos a la cuarentena.
Use los siguientes argumentos para cancelar las preguntas sobre acciones:
-qall – copiar todos los archivos a la cuarentena (no infectados también);
-qsus – copiar solo los archivos sospechosos a la cuarentena;
-qboot – copiar a cuarentena todos los bloques de arranque;
-qmbr – copiar todos los MBR a la cuarentena;
-qcsvc (nombre_del_servicio) - copiar el servicio a la cuarentena;
-dcsvc (nombre_del_servicio) - eliminar el servicio;
-silent – escanear en modo silencioso (no mostrar ningunos diálogos) para poder ejecutar la utilidad en la red de manera centralizada;
-dcexact – detectar / desinfectar las amenazas conocidas automáticamente.
Por ejemplo, si desea escanear un equipo y guardar un log detallado al archivo report.txt (será guardado en el directorio de la herramienta TDSSKiller.exe), use el siguiente comando:
TDSSKiller.exe -l report.txt
Síntomas de la infección
Los síntomas de la infección con malware de la familia Rootkit.Win32.TDSS generación primera/segunda (TDL1, TDL2)
Los usuarios avanzados pueden monitorizar la intercepción de las siguientes funciones en el kernel:
IofCallDriver;
IofCompleteRequest;
NtFlushInstructionCache;
NtEnumerateKey;
NtSaveKey;
NtSaveKeyEx.
Los síntomas de que el sistema está infectado con el programa malicioso Rootkit.Win32. TDSS de la generación tercera (TDL3)
Es posible detectar la infección con el programa malicioso Rootkit.Win32.TDSS de la generación tercera (TDL3) usando la herramienta Gmer. Esta herramienta detecta la sustitución del objeto “dispositivo” del controlador de sistema atapi.sys.
Página del programa
TDSSKiller.zip
No hay comentarios:
Publicar un comentario