Удаление вируса руткита - Rootkit.Win32.TDSS

Тема в разделе "Борьба с типовыми зловредами", создана пользователем Drongo, 23 мар 2010.

  1. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.905
    Симпатии:
    8.222
    Название и краткая история
    Своё название этот вирус получил от своего самого первого образца - TDSServ. Но настоящее имя этого руткита - TDL (имеются также другие названия - Alureon, TDSServ.) Детектируется антивирусами под именами:
    Trojan.Win32.DNSChanger, Trojan.FakeAlert, BackDoor.Tdss.565. По этой ссылке можно посмотреть на то, как какой из ныне существующих антивирусов, детектирует этот класс вирусов. Нужно отметить, что в примере детект производится над вирусом третьего поколения TDL3, который осуществляет подмену atapi.sys. В настоящее время существует насчитывается три поколения этого вируса: TDL, TDL2, TDL3

    Поведение
    После заражения системы, вирус блокирует загрузку и\или обновление антивирусных программ.
    Также в некоторых случаях, некоторые модификации блокируют Safe Mode. Происходит это за счёт того что вирус модифицирует ключ реестра:
    Код (Text):
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\aliserv3.sys
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aliserv3.sys
    или
    Код (Text):
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\clbdriver.sys
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\clbdriver.sys
    В двух примерах показаны случаи с блокировкой для разновидностей - aliserv и clb.
    Создаёт этот вирус записи в реестре с нижеследующими именами. Приведена таблица масок вирусов этого класса. (Возможно она не полная, поэтому по мере узнавания новымх масок, она будет пополняться). Символы **** - это любое чередование\последовательность цифр и символов латинского алфавита. Например:
    ESQULwgndckayvvbwntaknkvujqunwkitljqs.sys Как видно по таблице в имени вируса есть первые пять символов характеризующие его маску.

    Маски вируса TDSS Поколение вируса
    1 clb****
    2 seneka****
    3 UAC****
    4 qaopdx****
    5 tdss**** TDL
    6 MSIVX****
    7 qxvxc****
    8 qasfky****
    9 kbiwkm****
    10 hjqrui****
    11 qeyekr****
    12 msliksurcr****
    13 SKYNET****
    14 aliserv****
    15 ovfsth****
    16 msqpdx****
    17 kungsf****
    18 ESQUL****
    19 vsfoce****
    20 H8SRT***
    21 rotscx****
    22 quadra****
    23 dgm****
    24 tdl**** TDL3
    25 ytasfw**** TDL3
    26 WZSZX****
    27 _VOID****
    28 4DW4R3****
    29 PRAGMA****

    Имена файлов от этого вируса также можно определить по маске. Расширения файлов бывают следующие: *.sys, *.dll, *.dat, *.ocx, *.db, *.log.

    Удаление
    Удалить вирус можно несколькими способами, мы рассмотрим наиболее простые и распространённые.
    1. Открываем Диспетчер Устройств - Вид - Показать скрытые устройства. В списке Драйвера устройств не Plug and Play можно найти драйвер такого устройства имя которого характерно только для вируса TDSS. Правой кнопкой мыши(ПКМ)по такому устройству - Отключить. И после чего можно удалить (ПКМ - Удалить)
    2. Можно воспользоваться утилитой для удаления руткита TDSS TDSS remover. Скачайте архив, запустите, после сканирования, если вирус есть, нужно выделить галочками пункты относящиеся к вирусу. !!!Будьте внимательны, в некоторых случаях утилита может выдавать на удаление файлы антивирусов.
    3. Также можно воспользоваться сканированем антируткита GMER, по окончанию сканирования утилита создаст лог, который можно проанализировать и составить скрипт для выполнения и удаления вредоносных записей. Анализировать лог GMER можно как вручную, так и с помощью автоматического анализатора для этого лога - Парсер логов GMER
    4. Обнаружить и удалить вирус можно с помощью альтернативных утилит, используемых в лечении:
    5. И наконец можно удалить вирус с помощью консольной утилиты касперского TDSSKiller.zip.
    • Производит поиск скрытых сервисов в реестре. Если утилита смогла определить скрытые сервисы как принадлежащие TDSS, она производит их удаление.
      Иначе, пользователю выдается запрос на удаление сервиса.
      Удаление производится при перезагрузке.
    • Проверяются системные драйверы на предмет наличия их заражения, в случае обнаружения заражения утилита выполняет поиск резервной копии зараженного файла.
      Если копия обнаружена, то файл восстанавливается из этой копии. Иначе, выполняется лечение.
    • По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
      Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
      Например, C:\TDSSKiller.2.2.0_20.12.2009_15.31.43_log.txt
    • По окончании работы утилита предлагает выполнить перезагрузку для завершения лечения.
      При следующей загрузке системы драйвер выполнит все запланированные операции и удалит себя.
    Параметры запуска утилиты TDSSKiller.exe из командной строки:

    -l <имя_файла> - запись отчета в файл.
    -v - ведение подробного отчета (необходимо вводить вместе с параметром -l).
    -d <имя_сервиса> - принудительное задание имени зловредного сервиса для поиска.
    -o <имя_файла> - сохранить в заданный файл дамп, необходимый для анализа в случае проблем с детектированием.

    Например, для сканирования компьютера с записью подробного отчета в файл report.txt (который создастся в папке, где находится утилита TDSSKiller.exe) используйте следующую команду:
    Код (Text):
    TDSSKiller.exe -l report.txt -v
    По этой ссылке - утилиты для борьбы с вирусами - можно узнать больше об утилите TDSSKiller.

    P.S. Для автоматизации запуска консольной утилиты, можно воспользоваться GUI-интерфейсом - Quick Killer


    Надеемся что эта информация поможет быть вам во всеоружии перед незванными гостями на вашем компьютере. Успехов в лечении. :victory:

    P.S. В теме приветствуются любые дополнительные сведения\информация\уточнения. :)
     
    Последнее редактирование модератором: 27 апр 2016
    47 пользователям это понравилось.
  2. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.406
    Симпатии:
    1.643
    Drongo, Браво! Великий пост!Входит в мою золотую коллекцию!:)


    и один вопрос:

    Есть ли место инструмента SDFix в некоторых случаях в борьба с этот вирус...?
     
    Последнее редактирование: 23 мар 2010
  3. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.905
    Симпатии:
    8.222
    А мы вот узнаем это сейчас в вашем задании, которое вы проходите. :) Откройте полученый лог SDFix и посмотрите в секцию Trojan Files Found: Можете сравнить с таблицей масок и у вас появится ответ на свой же вопрос. ;)
     
    4 пользователям это понравилось.
  4. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.406
    Симпатии:
    1.643
    Код (Text):
    C:\WINDOWS\system32\TDSSnrsr.dll - Deleted
    C:\WINDOWS\system32\TDSSriqp.dll - Deleted
    C:\WINDOWS\system32\TDSScfum.dll - Deleted
    C:\WINDOWS\system32\TDSSpaxt.dll - Deleted
    C:\WINDOWS\system32\TDSSosvd.dat - Deleted
    C:\WINDOWS\system32\TDSSriqp.log - Deleted
     
    Да..!;)
     
    4 пользователям это понравилось.
  5. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.905
    Симпатии:
    8.222
    icotonev, Вот и чудесно. :good2: моя грешка, что не добавил в список утилиты SDFix и ComboFix, они хорошо ловят этот тип вируса.
     
    6 пользователям это понравилось.
  6. iskander-k
    Оффлайн

    iskander-k Команда форума Супер-Модератор Ассоциация VN/VIP Преподаватель

    Сообщения:
    3.733
    Симпатии:
    3.260
    Саня даю идею - можешь добавить. :) ;)
     
    2 пользователям это понравилось.
  7. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.485
    Симпатии:
    3.100
    Добавь звездочку в первой маске :)
     
    2 пользователям это понравилось.
  8. SAE
    Оффлайн

    SAE Активный пользователь

    Сообщения:
    6
    Симпатии:
    16
    А последнюю версию TDSS ловит?
     
    Последнее редактирование: 1 май 2010
  9. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.905
    Симпатии:
    8.222
    SAE, В моей практике не было случая это проверить, поэтому точно сказать, к сожалению ничего не могу. :)
     
    2 пользователям это понравилось.
  10. SAE
    Оффлайн

    SAE Активный пользователь

    Сообщения:
    6
    Симпатии:
    16
    Скорее всего нет. Не ловят. Если не ошибаюсь, то последняя версия TDSS патчит рандомно драйвер ОС, раньше патчился atapi.sys.
     
  11. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.905
    Симпатии:
    8.222
    Его и gmer может не взять. Разве что стоит попробовать TDSSKiller последней версии.
     
    2 пользователям это понравилось.
  12. SAE
    Оффлайн

    SAE Активный пользователь

    Сообщения:
    6
    Симпатии:
    16
    LiveCD--думаю, что проще и надежнее.
     
    Последнее редактирование модератором: 27 апр 2016
    8 пользователям это понравилось.
  13. Alex.M
    Оффлайн

    Alex.M Ассоциация VN

    Сообщения:
    249
    Симпатии:
    272
    В моей практике 2 варианта:
    или пользователь не верно лечит;
    либо ТДССкиллер не может вылечить.
     
    4 пользователям это понравилось.
  14. antanta
    Оффлайн

    antanta Активный пользователь

    Сообщения:
    1
    Симпатии:
    22
    Приветствую всех.
    Детектирование и вынос TDL3 народными средствами.
    Как известно, этот злодей не создает свой драйвер, а заражает случайны из списка годных для заражения. При этом,иногда, AVZ продолжает определять файл драйвера как безопасный.
    Выявлен баг, который позволяет выявить заражение. Проверялось на XP. Если каким-то из способов заблокировать защиту файлов Windows, и удалить файлы драйверов из папки \System32\drivers, то TDL попытается восстановить зараженный файл, создав файл нулевого размера, чем и выдает себя. Разумеется, следует сперва сделать бэкап папки :) . Если мы хотим заполучить полнофункциональную тушку, об этом следует позаботиться заранее. Для этого нужно поместить в drivers правильный файл. Он мгновенно будет заражен. А вот копировать его(при активном заражении) для исследования уже бесполезно, получим бытый дров.
    Допустим, зараженным оказался disk.sys. Лечение:
    1) Открываем в редакторе реестра HKEY_LOCAL_MACHINE\SYSTEM\Select. Смотрим, какой ControlSet прописан в LastKnownGood. Пусть это будет ControlSet002.
    Помещаем правильный драйвер (например из дистрибутива) в каталог drivers, но под измененным именем, в нашем случае пусть будет XXXDisk.sys
    2) Открываем ControlSet002\Services\Disk.sys, меняем параметр ImagePath на system32\DRIVERS\XXXdisk.sys
    3) Перезагружаемся, жмем при старте F8, выбираем "Загрузка последней удачной конфигурации".
    4) Имеем чистую систему и тушку - disk.sys. Последний переносим в карантин.
    Далее, по хорошему, следует дать нашему "XXX" нормальное имя, и исправить ImagePath на system32\DRIVERS\disk.sys
    Проверялось на версиях, актуальных на начало июля сего года.
     
    22 пользователям это понравилось.

Поделиться этой страницей