Удаление вируса руткита - Rootkit.Win32.TDSS

  • Автор темы Автор темы Drongo
  • Дата начала Дата начала

Drongo

Ассоциация VN/VIP
VIP
Сообщения
7,334
Реакции
4,771
Название и краткая история
Своё название этот вирус получил от своего самого первого образца - TDSServ. Но настоящее имя этого руткита - TDL (имеются также другие названия - Alureon, TDSServ.) Детектируется антивирусами под именами:
Trojan.Win32.DNSChanger, Trojan.FakeAlert, BackDoor.Tdss.565. По этой ссылке можно посмотреть на то, как какой из ныне существующих антивирусов, детектирует этот класс вирусов. Нужно отметить, что в примере детект производится над вирусом третьего поколения TDL3, который осуществляет подмену atapi.sys. В настоящее время существует насчитывается три поколения этого вируса: TDL, TDL2, TDL3

Поведение
После заражения системы, вирус блокирует загрузку и\или обновление антивирусных программ.
Также в некоторых случаях, некоторые модификации блокируют Safe Mode. Происходит это за счёт того что вирус модифицирует ключ реестра:
Код:
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\aliserv3.sys
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aliserv3.sys
или
Код:
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\clbdriver.sys
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\clbdriver.sys
В двух примерах показаны случаи с блокировкой для разновидностей - aliserv и clb.
Создаёт этот вирус записи в реестре с нижеследующими именами. Приведена таблица масок вирусов этого класса. (Возможно она не полная, поэтому по мере узнавания новымх масок, она будет пополняться). Символы **** - это любое чередование\последовательность цифр и символов латинского алфавита. Например:
ESQULwgndckayvvbwntaknkvujqunwkitljqs.sys Как видно по таблице в имени вируса есть первые пять символов характеризующие его маску.

Маски вируса TDSS|Поколение вируса
clb****|
seneka****|
UAC****|
qaopdx****|
tdss****|TDL
MSIVX****|
qxvxc****|
qasfky****|
kbiwkm****|
hjqrui****|
qeyekr****|
msliksurcr****|
SKYNET****|
aliserv****|
ovfsth****|
msqpdx****|
kungsf****|
ESQUL****|
vsfoce****|
H8SRT***|
rotscx****|
quadra****|
dgm****|
tdl****|TDL3
ytasfw****|TDL3
WZSZX****|
_VOID****|
4DW4R3****|
PRAGMA****|


Имена файлов от этого вируса также можно определить по маске. Расширения файлов бывают следующие: *.sys, *.dll, *.dat, *.ocx, *.db, *.log.

Удаление
Удалить вирус можно несколькими способами, мы рассмотрим наиболее простые и распространённые.
1. Открываем Диспетчер Устройств - Вид - Показать скрытые устройства. В списке Драйвера устройств не Plug and Play можно найти драйвер такого устройства имя которого характерно только для вируса TDSS. Правой кнопкой мыши(ПКМ)по такому устройству - Отключить. И после чего можно удалить (ПКМ - Удалить)
2. Можно воспользоваться утилитой для удаления руткита TDSS TDSS remover. Скачайте архив, запустите, после сканирования, если вирус есть, нужно выделить галочками пункты относящиеся к вирусу. !!!Будьте внимательны, в некоторых случаях утилита может выдавать на удаление файлы антивирусов.
3. Также можно воспользоваться сканированем антируткита GMER, по окончанию сканирования утилита создаст лог, который можно проанализировать и составить скрипт для выполнения и удаления вредоносных записей. Анализировать лог GMER можно как вручную, так и с помощью автоматического анализатора для этого лога - Парсер логов GMER
4. Обнаружить и удалить вирус можно с помощью альтернативных утилит, используемых в лечении:
  • ComboFix. "Руководство по применению."
5. И наконец можно удалить вирус с помощью консольной утилиты касперского TDSSKiller.zip.
  • Производит поиск скрытых сервисов в реестре. Если утилита смогла определить скрытые сервисы как принадлежащие TDSS, она производит их удаление.
    Иначе, пользователю выдается запрос на удаление сервиса.
    Удаление производится при перезагрузке.
  • Проверяются системные драйверы на предмет наличия их заражения, в случае обнаружения заражения утилита выполняет поиск резервной копии зараженного файла.
    Если копия обнаружена, то файл восстанавливается из этой копии. Иначе, выполняется лечение.
  • По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
    Имя отчета имеет следующий вид: ИмяУтилиты.ВерсияДатаВремя_log.txt
    Например, C:\TDSSKiller.2.2.0_20.12.2009_15.31.43_log.txt
  • По окончании работы утилита предлагает выполнить перезагрузку для завершения лечения.
    При следующей загрузке системы драйвер выполнит все запланированные операции и удалит себя.
Параметры запуска утилиты TDSSKiller.exe из командной строки:

-l <имя_файла> - запись отчета в файл.
-v - ведение подробного отчета (необходимо вводить вместе с параметром -l).
-d <имя_сервиса> - принудительное задание имени зловредного сервиса для поиска.
-o <имя_файла> - сохранить в заданный файл дамп, необходимый для анализа в случае проблем с детектированием.

Например, для сканирования компьютера с записью подробного отчета в файл report.txt (который создастся в папке, где находится утилита TDSSKiller.exe) используйте следующую команду:
Код:
TDSSKiller.exe -l report.txt -v
По этой ссылке - утилиты для борьбы с вирусами - можно узнать больше об утилите TDSSKiller.

P.S. Для автоматизации запуска консольной утилиты, можно воспользоваться GUI-интерфейсом - Quick Killer


Надеемся что эта информация поможет быть вам во всеоружии перед незванными гостями на вашем компьютере. Успехов в лечении. :victory:

P.S. В теме приветствуются любые дополнительные сведения\информация\уточнения. :)
 
Последнее редактирование модератором:
Drongo, Браво! Великий пост!Входит в мою золотую коллекцию!:)


и один вопрос:

Есть ли место инструмента SDFix в некоторых случаях в борьба с этот вирус...?
 
Последнее редактирование:
Есть ли место инструмента SDFix в некоторых случаях в борьба с этот вирус...?
А мы вот узнаем это сейчас в вашем задании, которое вы проходите. :) Откройте полученый лог SDFix и посмотрите в секцию Trojan Files Found: Можете сравнить с таблицей масок и у вас появится ответ на свой же вопрос. ;)
 
Код:
C:\WINDOWS\system32\TDSSnrsr.dll - Deleted
C:\WINDOWS\system32\TDSSriqp.dll - Deleted
C:\WINDOWS\system32\TDSScfum.dll - Deleted
C:\WINDOWS\system32\TDSSpaxt.dll - Deleted
C:\WINDOWS\system32\TDSSosvd.dat - Deleted
C:\WINDOWS\system32\TDSSriqp.log - Deleted

Да..!;)
 
icotonev, Вот и чудесно. :good2: моя грешка, что не добавил в список утилиты SDFix и ComboFix, они хорошо ловят этот тип вируса.
 
SAE, В моей практике не было случая это проверить, поэтому точно сказать, к сожалению ничего не могу. :)
 
Скорее всего нет. Не ловят. Если не ошибаюсь, то последняя версия TDSS патчит рандомно драйвер ОС, раньше патчился atapi.sys.
 
Последнее редактирование модератором:
В моей практике 2 варианта:
или пользователь не верно лечит;
либо ТДССкиллер не может вылечить.
 
Приветствую всех.
Детектирование и вынос TDL3 народными средствами.
Как известно, этот злодей не создает свой драйвер, а заражает случайны из списка годных для заражения. При этом,иногда, AVZ продолжает определять файл драйвера как безопасный.
Выявлен баг, который позволяет выявить заражение. Проверялось на XP. Если каким-то из способов заблокировать защиту файлов Windows, и удалить файлы драйверов из папки \System32\drivers, то TDL попытается восстановить зараженный файл, создав файл нулевого размера, чем и выдает себя. Разумеется, следует сперва сделать бэкап папки :) . Если мы хотим заполучить полнофункциональную тушку, об этом следует позаботиться заранее. Для этого нужно поместить в drivers правильный файл. Он мгновенно будет заражен. А вот копировать его(при активном заражении) для исследования уже бесполезно, получим бытый дров.
Допустим, зараженным оказался disk.sys. Лечение:
1) Открываем в редакторе реестра HKEY_LOCAL_MACHINE\SYSTEM\Select. Смотрим, какой ControlSet прописан в LastKnownGood. Пусть это будет ControlSet002.
Помещаем правильный драйвер (например из дистрибутива) в каталог drivers, но под измененным именем, в нашем случае пусть будет XXXDisk.sys
2) Открываем ControlSet002\Services\Disk.sys, меняем параметр ImagePath на system32\DRIVERS\XXXdisk.sys
3) Перезагружаемся, жмем при старте F8, выбираем "Загрузка последней удачной конфигурации".
4) Имеем чистую систему и тушку - disk.sys. Последний переносим в карантин.
Далее, по хорошему, следует дать нашему "XXX" нормальное имя, и исправить ImagePath на system32\DRIVERS\disk.sys
Проверялось на версиях, актуальных на начало июля сего года.
 
Назад
Сверху Снизу