Comment combattre les programmes malveillants de la famille Rootkit.Win32.TDSS (aka Tidserv, TDSServ, Alureon) ?

 

 

ABC de la sécurité: Virus et solutions

 
 
 

Comment combattre les programmes malveillants de la famille Rootkit.Win32.TDSS (aka Tidserv, TDSServ, Alureon) ?

Retour vers la section "Virus et solutions"
2014 janv. 14 Article ID: 2663
 
 
 
 

Les systèmes infectés par des programmes malveillants de la famille Rootkit.Win32.TDSS, sont réparés à l’aide de l’utilitaire TDSSKiller.

IMPORTANT !

  • L’utilitaire a son propre interface graphique.
  • L’utilitaire est compatible avec les systèmes d’exploitation 32 ou 64 bits.
  • L’utilitaire peut être démarré en mode standard ou en mode sécurisé.

 

Réparation du système infecté 

  • Téléchargez l’archive TDSSKiller.zip et décompressez-la dans un fichier vide sur le système infecté (ou potentiellement infecté) à l’aide d’un programme d’archivage (tel que WinZip).
  • Exécutez le fichier TDSSKiller.exe.
  • Attendez la fin de l’analyse et de la réparation. Un redémarrage est recommandé après la réparation.


Utilisation de l’utilitaire

  • Pour démarrer l’utilitaire, cliquez sur le bouton Commencer l’analyse
    Une recherche d’objets malveillants et suspects sera effectuée. 




  • Lors de l’analyse, des objets de deux types peuvent être détectés : 
    • objets malveillants (le programme malveillant avec lequel l’objet est infecté a été identifié) ;
    • objets suspects (le type d’activité malveillante ne peut pas être identifié).
  • A la fin de l’analyse, l’utilitaire affiche la liste des objets détectés avec une description détaillée. 
    Pour les objets malveillants, l’utilitaire définit automatiquement l’action à effectuer : Réparer ou Supprimer.
    Pour les objets suspects, l’utilitaire permet à l’utilisateur de sélectionner l’action à effectuer (par défaut, Ignorer).

  • Pour copier les objets détectés vers la quarantaine, sélectionnez Copier dans la quarantaine.
    Le fichier ne sera pas supprimé !
    Par défaut, le dossier de la quarantaine est créé à la racine du disque système, par exemple : C:\TDSSKiller_Quarantine\23.07.2010_15.31.43. 1



  • Après avoir cliqué sur le bouton Suivant, l’utilitaire effectue les actions sélectionnées et affiche le résultat. 

  • Un redémarrage est recommandé a la fin de la réparation. 




  • Par défaut, l’utilitaire sauvegarde le rapport de son fonctionnement à la racine du disque système (le disque sur lequel le système d’exploitation est installé ; généralement, il s’agit du disque C:\).
    Le nom du rapport a le format suivant : NomDeL’Utilitaire.Version_Date_Heure_log.txt.
    Par exemple : C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt.

 

Paramètres de démarrage de l’utilitaire TDSSKiller.exe depuis la ligne de commande

-l <nom_du_fichier> : sauvegarder le rapport dans un fichier.
-qpath <chemin_d’accès_au_dossier> : sélectionner l’emplacement du dossier de la quarantaine (s’il n’existe pas, il sera créé).
-h : afficher l’aide selon les clés.
-sigcheck : détecter tous les pilotes sans signature numérique comme suspects.
-tdlfs : détecter la présence du système de fichiers TDLFS, créé par les rootkits TDL 3/4 dans les derniers secteurs du disque dur pour le stockage de leurs fichiers. L’utilitaire permet de copier tous ces fichiers dans la quarantaine.

 

En cas d’utilisation des clés suivantes, les confirmations ne seront pas demandées avant les opérations :

-qall : copier tous les objets (y compris non suspects) dans la quarantaine.
-qsus : copier uniquement les objets suspects dans la quarantaine.
-qmbr : copier tous les MBR dans la quarantaine.
-qcsvc <nom_du_service> : copier le service indiqué dans la quarantaine.
-dcsvc <nom_du_service> : supprimer le service indiqué.
-silent : mode d’analyse silencieux (aucune fenêtre n’est affichée à l’utilisateur), permettant de démarrer l’utilitaire de manière centralisé dans le réseau.
-dcexact : réparation/suppression automatique des menaces connues (utile avec la clé « -silent » pour la réparation de plusieurs ordinateurs dans le réseau).


Par exemple
, pour effectuer une analyse de l’ordinateur et sauvegarder le rapport détaillé dans le fichier report.txt (le fichier est créé dans le dossier où se trouve l’utilitaire TDSSKiller.exe), utilisez la commande suivante :

TDSSKiller.exe -l report.txt 

 

Symptômes d’une infection

  • Symptômes d’une infection du système par le programme malveillant Rootkit.Win32. TDSS de la première et de la deuxième génération (TDL1, TDL2)

Les utilisateurs expérimentés peuvent détecter l’interception des fonctions kernel suivantes :

  • IofCallDriver ; 
  • IofCompleteRequest ;
  • NtFlushInstructionCache ; 
  • NtEnumerateKey ;
  • NtSaveKey ;
  • NtSaveKeyEx.


Par exemple, à l’aide du programme Gmer :


Symptômes d’une infection du système par le programme malveillant Rootkit.Win32. TDSS de la troisième génération (TDL3)

Découverte d’une infection par un programme malveillant Rootkit.Win32. TDSS de la troisième génération (TDL3) peuvent être détectés à l’aide du programme Gmer, qui détecte le remplacement de l’objet « périphérique » du pilote système atapi.sys.


 
 
 
 
 

1. How to disinfect a compromised system

 
 
 
 
 

2. List of malicious programs

 
 
 
 
 

3. How to use the utility

 
 
 
 
 

4. Command line parameters to run the utility TDSSKiller.exe

 
 
 
 
 

5. Symptoms of infection

 
 
 
 
Ces informations vous ont-elles été utiles ?
Oui Non
 

 
 

Vos commentaires sur le site du Support Technique

Signalez-nous si vous n'avez pas trouvé des informations nécessaires ou laissez vos commentaires sur le site pour que nous puissions l'améliorer :

Envoyer mon avis sur le site Envoyer mon avis sur le site

Merci !

Nous vous remercions d'avoir pris
le temps de nous faire part de vos commentaires.
Nous les analyserons et utiliserons pour nous aider à
améliorer le site du Support Technique de Kaspersky Lab.