- Сообщения
- 7,334
- Реакции
- 4,771
Название и краткая история
Своё название этот вирус получил от своего самого первого образца - TDSServ. Но настоящее имя этого руткита - TDL (имеются также другие названия - Alureon, TDSServ.) Детектируется антивирусами под именами:
Trojan.Win32.DNSChanger, Trojan.FakeAlert, BackDoor.Tdss.565. По этой ссылке можно посмотреть на то, как какой из ныне существующих антивирусов, детектирует этот класс вирусов. Нужно отметить, что в примере детект производится над вирусом третьего поколения TDL3, который осуществляет подмену atapi.sys. В настоящее время существует насчитывается три поколения этого вируса: TDL, TDL2, TDL3
Поведение
После заражения системы, вирус блокирует загрузку и\или обновление антивирусных программ.
Также в некоторых случаях, некоторые модификации блокируют Safe Mode. Происходит это за счёт того что вирус модифицирует ключ реестра:
или
В двух примерах показаны случаи с блокировкой для разновидностей - aliserv и clb.
Создаёт этот вирус записи в реестре с нижеследующими именами. Приведена таблица масок вирусов этого класса. (Возможно она не полная, поэтому по мере узнавания новымх масок, она будет пополняться). Символы **** - это любое чередование\последовательность цифр и символов латинского алфавита. Например:
ESQULwgndckayvvbwntaknkvujqunwkitljqs.sys Как видно по таблице в имени вируса есть первые пять символов характеризующие его маску.
clb****|
seneka****|
UAC****|
qaopdx****|
tdss****|TDL
MSIVX****|
qxvxc****|
qasfky****|
kbiwkm****|
hjqrui****|
qeyekr****|
msliksurcr****|
SKYNET****|
aliserv****|
ovfsth****|
msqpdx****|
kungsf****|
ESQUL****|
vsfoce****|
H8SRT***|
rotscx****|
quadra****|
dgm****|
tdl****|TDL3
ytasfw****|TDL3
WZSZX****|
_VOID****|
4DW4R3****|
PRAGMA****|
Имена файлов от этого вируса также можно определить по маске. Расширения файлов бывают следующие: *.sys, *.dll, *.dat, *.ocx, *.db, *.log.
Удаление
Удалить вирус можно несколькими способами, мы рассмотрим наиболее простые и распространённые.
1. Открываем Диспетчер Устройств - Вид - Показать скрытые устройства. В списке Драйвера устройств не Plug and Play можно найти драйвер такого устройства имя которого характерно только для вируса TDSS. Правой кнопкой мыши(ПКМ)по такому устройству - Отключить. И после чего можно удалить (ПКМ - Удалить)
2. Можно воспользоваться утилитой для удаления руткита TDSS TDSS remover. Скачайте архив, запустите, после сканирования, если вирус есть, нужно выделить галочками пункты относящиеся к вирусу. !!!Будьте внимательны, в некоторых случаях утилита может выдавать на удаление файлы антивирусов.
3. Также можно воспользоваться сканированем антируткита GMER, по окончанию сканирования утилита создаст лог, который можно проанализировать и составить скрипт для выполнения и удаления вредоносных записей. Анализировать лог GMER можно как вручную, так и с помощью автоматического анализатора для этого лога - Парсер логов GMER
4. Обнаружить и удалить вирус можно с помощью альтернативных утилит, используемых в лечении:
-l <имя_файла> - запись отчета в файл.
-v - ведение подробного отчета (необходимо вводить вместе с параметром -l).
-d <имя_сервиса> - принудительное задание имени зловредного сервиса для поиска.
-o <имя_файла> - сохранить в заданный файл дамп, необходимый для анализа в случае проблем с детектированием.
Например, для сканирования компьютера с записью подробного отчета в файл report.txt (который создастся в папке, где находится утилита TDSSKiller.exe) используйте следующую команду:
По этой ссылке - утилиты для борьбы с вирусами - можно узнать больше об утилите TDSSKiller.
P.S. Для автоматизации запуска консольной утилиты, можно воспользоваться GUI-интерфейсом - Quick Killer
Надеемся что эта информация поможет быть вам во всеоружии перед незванными гостями на вашем компьютере. Успехов в лечении. :victory:
P.S. В теме приветствуются любые дополнительные сведения\информация\уточнения.
Своё название этот вирус получил от своего самого первого образца - TDSServ. Но настоящее имя этого руткита - TDL (имеются также другие названия - Alureon, TDSServ.) Детектируется антивирусами под именами:
Trojan.Win32.DNSChanger, Trojan.FakeAlert, BackDoor.Tdss.565. По этой ссылке можно посмотреть на то, как какой из ныне существующих антивирусов, детектирует этот класс вирусов. Нужно отметить, что в примере детект производится над вирусом третьего поколения TDL3, который осуществляет подмену atapi.sys. В настоящее время существует насчитывается три поколения этого вируса: TDL, TDL2, TDL3
Поведение
После заражения системы, вирус блокирует загрузку и\или обновление антивирусных программ.
Также в некоторых случаях, некоторые модификации блокируют Safe Mode. Происходит это за счёт того что вирус модифицирует ключ реестра:
Код:
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\aliserv3.sys
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aliserv3.sys
Код:
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\clbdriver.sys
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\clbdriver.sysСоздаёт этот вирус записи в реестре с нижеследующими именами. Приведена таблица масок вирусов этого класса. (Возможно она не полная, поэтому по мере узнавания новымх масок, она будет пополняться). Символы **** - это любое чередование\последовательность цифр и символов латинского алфавита. Например:
ESQULwgndckayvvbwntaknkvujqunwkitljqs.sys Как видно по таблице в имени вируса есть первые пять символов характеризующие его маску.
Маски вируса TDSS|Поколение вирусаclb****|
seneka****|
UAC****|
qaopdx****|
tdss****|TDL
MSIVX****|
qxvxc****|
qasfky****|
kbiwkm****|
hjqrui****|
qeyekr****|
msliksurcr****|
SKYNET****|
aliserv****|
ovfsth****|
msqpdx****|
kungsf****|
ESQUL****|
vsfoce****|
H8SRT***|
rotscx****|
quadra****|
dgm****|
tdl****|TDL3
ytasfw****|TDL3
WZSZX****|
_VOID****|
4DW4R3****|
PRAGMA****|
Имена файлов от этого вируса также можно определить по маске. Расширения файлов бывают следующие: *.sys, *.dll, *.dat, *.ocx, *.db, *.log.
Удаление
Удалить вирус можно несколькими способами, мы рассмотрим наиболее простые и распространённые.
1. Открываем Диспетчер Устройств - Вид - Показать скрытые устройства. В списке Драйвера устройств не Plug and Play можно найти драйвер такого устройства имя которого характерно только для вируса TDSS. Правой кнопкой мыши(ПКМ)по такому устройству - Отключить. И после чего можно удалить (ПКМ - Удалить)
2. Можно воспользоваться утилитой для удаления руткита TDSS TDSS remover. Скачайте архив, запустите, после сканирования, если вирус есть, нужно выделить галочками пункты относящиеся к вирусу. !!!Будьте внимательны, в некоторых случаях утилита может выдавать на удаление файлы антивирусов.
3. Также можно воспользоваться сканированем антируткита GMER, по окончанию сканирования утилита создаст лог, который можно проанализировать и составить скрипт для выполнения и удаления вредоносных записей. Анализировать лог GMER можно как вручную, так и с помощью автоматического анализатора для этого лога - Парсер логов GMER
4. Обнаружить и удалить вирус можно с помощью альтернативных утилит, используемых в лечении:
- ComboFix. "Руководство по применению."
- Производит поиск скрытых сервисов в реестре. Если утилита смогла определить скрытые сервисы как принадлежащие TDSS, она производит их удаление.
Иначе, пользователю выдается запрос на удаление сервиса.
Удаление производится при перезагрузке. - Проверяются системные драйверы на предмет наличия их заражения, в случае обнаружения заражения утилита выполняет поиск резервной копии зараженного файла.
Если копия обнаружена, то файл восстанавливается из этой копии. Иначе, выполняется лечение. - По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.ВерсияДатаВремя_log.txt
Например, C:\TDSSKiller.2.2.0_20.12.2009_15.31.43_log.txt - По окончании работы утилита предлагает выполнить перезагрузку для завершения лечения.
При следующей загрузке системы драйвер выполнит все запланированные операции и удалит себя.
-l <имя_файла> - запись отчета в файл.
-v - ведение подробного отчета (необходимо вводить вместе с параметром -l).
-d <имя_сервиса> - принудительное задание имени зловредного сервиса для поиска.
-o <имя_файла> - сохранить в заданный файл дамп, необходимый для анализа в случае проблем с детектированием.
Например, для сканирования компьютера с записью подробного отчета в файл report.txt (который создастся в папке, где находится утилита TDSSKiller.exe) используйте следующую команду:
Код:
TDSSKiller.exe -l report.txt -vP.S. Для автоматизации запуска консольной утилиты, можно воспользоваться GUI-интерфейсом - Quick Killer
Надеемся что эта информация поможет быть вам во всеоружии перед незванными гостями на вашем компьютере. Успехов в лечении. :victory:
P.S. В теме приветствуются любые дополнительные сведения\информация\уточнения.
Последнее редактирование модератором:
