Comment combattre les programmes malveillants de la famille Rootkit.Win32.TDSS (aka Tidserv, TDSServ, Alureon) ?

Les systèmes infectés par des programmes malveillants de la famille Rootkit.Win32.TDSS, sont réparés à l’aide de l’utilitaire TDSSKiller.

IMPORTANT !

• L’utilitaire a son propre interface graphique.
• L’utilitaire est compatible avec les systèmes d’exploitation 32 ou 64 bits.
• L’utilitaire peut être démarré en mode standard ou en mode sécurisé.

Réparation du système infecté

• Téléchargez l’archive TDSSKiller.zip et décompressez-la dans un fichier vide sur le système infecté (ou potentiellement infecté) à l’aide d’un programme d’archivage (tel que WinZip).
  
• Exécutez le fichier TDSSKiller.exe.
  
• Attendez la fin de l’analyse et de la réparation. Un redémarrage est recommandé après la réparation.

Utilisation de l’utilitaire

• Pour démarrer l’utilitaire, cliquez sur le bouton Commencer l’analyse.
  Une recherche d’objets malveillants et suspects sera effectuée.
  
  
  
  
  
• Lors de l’analyse, des objets de deux types peuvent être détectés :
• objets malveillants (le programme malveillant avec lequel l’objet est infecté a été identifié) ;
• objets suspects (le type d’activité malveillante ne peut pas être identifié).
  
• A la fin de l’analyse, l’utilitaire affiche la liste des objets détectés avec une description détaillée. 
  Pour les objets malveillants, l’utilitaire définit automatiquement l’action à effectuer : Réparer ou Supprimer.
  Pour les objets suspects, l’utilitaire permet à l’utilisateur de sélectionner l’action à effectuer (par défaut, Ignorer).
  
  
• Pour copier les objets détectés vers la quarantaine, sélectionnez Copier dans la quarantaine.
  Le fichier ne sera pas supprimé !
  Par défaut, le dossier de la quarantaine est créé à la racine du disque système, par exemple : C:\TDSSKiller_Quarantine\23.07.2010_15.31.43. 1
  
  
  
  
• Après avoir cliqué sur le bouton Suivant, l’utilitaire effectue les actions sélectionnées et affiche le résultat.
  
  
• Un redémarrage est recommandé a la fin de la réparation.
  
  
  
  
  
• Par défaut, l’utilitaire sauvegarde le rapport de son fonctionnement à la racine du disque système (le disque sur lequel le système d’exploitation est installé ; généralement, il s’agit du disque C:\).
  Le nom du rapport a le format suivant : NomDeL’Utilitaire.Version_Date_Heure_log.txt.
  Par exemple : C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt.
  

Paramètres de démarrage de l’utilitaire TDSSKiller.exe depuis la ligne de commande

-l <nom_du_fichier> : sauvegarder le rapport dans un fichier.
-qpath <chemin_d’accès_au_dossier> : sélectionner l’emplacement du dossier de la quarantaine (s’il n’existe pas, il sera créé).
-h : afficher l’aide selon les clés.
-sigcheck : détecter tous les pilotes sans signature numérique comme suspects.
-tdlfs : détecter la présence du système de fichiers TDLFS, créé par les rootkits TDL 3/4 dans les derniers secteurs du disque dur pour le stockage de leurs fichiers. L’utilitaire permet de copier tous ces fichiers dans la quarantaine.

 

En cas d’utilisation des clés suivantes, les confirmations ne seront pas demandées avant les opérations :

-qall : copier tous les objets (y compris non suspects) dans la quarantaine.
-qsus : copier uniquement les objets suspects dans la quarantaine.
-qmbr : copier tous les MBR dans la quarantaine.
-qcsvc <nom_du_service> : copier le service indiqué dans la quarantaine.
-dcsvc <nom_du_service> : supprimer le service indiqué.
-silent : mode d’analyse silencieux (aucune fenêtre n’est affichée à l’utilisateur), permettant de démarrer l’utilitaire de manière centralisé dans le réseau.
-dcexact : réparation/suppression automatique des menaces connues (utile avec la clé « -silent » pour la réparation de plusieurs ordinateurs dans le réseau).

Par exemple, pour effectuer une analyse de l’ordinateur et sauvegarder le rapport détaillé dans le fichier report.txt (le fichier est créé dans le dossier où se trouve l’utilitaire TDSSKiller.exe), utilisez la commande suivante :

TDSSKiller.exe -l report.txt

Symptômes d’une infection

• Symptômes d’une infection du système par le programme malveillant Rootkit.Win32. TDSS de la première et de la deuxième génération (TDL1, TDL2)

Les utilisateurs expérimentés peuvent détecter l’interception des fonctions kernel suivantes :

• IofCallDriver ;
  
• IofCompleteRequest ;
  
• NtFlushInstructionCache ;
  
• NtEnumerateKey ;
  
• NtSaveKey ;
  
• NtSaveKeyEx.

Par exemple, à l’aide du programme Gmer :

Symptômes d’une infection du système par le programme malveillant Rootkit.Win32. TDSS de la troisième génération (TDL3)

Découverte d’une infection par un programme malveillant Rootkit.Win32. TDSS de la troisième génération (TDL3) peuvent être détectés à l’aide du programme Gmer, qui détecte le remplacement de l’objet « périphérique » du pilote système atapi.sys.