Rootkit to program lub pakiet programów, który ukrywa obecność zagrożenia w systemie.
Rootkit w systemach Windows to program, który dostaje się do systemu i przechwytuje funkcje systemu (Windows API). Może doskonale ukryć swoją obecność, przechwytując i modyfikując funkcje API niskiego poziomu. Ponadto może ukryć obecność pewnych procesów, folderów, plików i kluczy rejestru. Niektóre rootkity instalują w systemie własne sterowniki i usługi (które również pozostają "niewidoczne")
Firma Kaspersky Lab zaprojektowała narzędzie TDSSKiller, które wykrywa i usuwa zarówno znane (TDSS, Sinowal, Whistler, Phanta, Trup, Stoned) jak i nieznane rootkity.
Lista szkodliwych programów
Backdoor.Win32.Phanta.a,b; Backdoor.Win32.Sinowal.knf,kmy; Backdoor.Win32.Trup.a,b; Rootkit.Boot.Aeon.a; Rootkit.Boot.Backboot.a; Rootkit.Boot.Batan.a; Rootkit.Boot.Bootkor.a; Rootkit.Boot.Cidox.a,b; Rootkit.Boot.Clones.a; Rootkit.Boot.CPD.a,b; Rootkit.Boot.Fisp.a; Rootkit.Boot.Geth.a; Rootkit.Boot.Goodkit.a; Rootkit.Boot.Harbinger.a; Rootkit.Boot.Krogan.a; Rootkit.Boot.Lapka.a; Rootkit.Boot.MyBios.b; Rootkit.Boot.Nimnul.a; Rootkit.Boot.Pihar.a,b,c; Rootkit.Boot.Plite.a; Rootkit.Boot.Prothean.a; Rootkit.Boot.Qvod.a; Rootkit.Boot.Smitnyl.a; Rootkit.Boot.SST.a,b; Rootkit.Boot.SST.b; Rootkit.Boot.Wistler.a; Rootkit.Boot.Xpaj.a; Rootkit.Boot.Yurn.a; Rootkit.Win32.PMax.gen; Rootkit.Win32.Stoned.d; Rootkit.Win32.TDSS; Rootkit.Win32.TDSS.mbr; Rootkit.Win32.ZAccess.aml,c,e,f,g,h,i,j,k; Trojan-Clicker.Win32.Wistler.a,b,c; Trojan-Dropper.Boot.Niwa.a; Trojan-Ransom.Boot.Mbro.d,e; Trojan-Ransom.Boot.Mbro.f; Trojan-Ransom.Boot.Siob.a; Virus.Win32.Cmoser.a; Virus.Win32.Rloader.a; Virus.Win32.TDSS.a,b,c,d,e; Virus.Win32.Volus.a; Virus.Win32.ZAccess.k; Virus.Win32.Zhaba.a,b,c.
WAŻNE
- Narzędzie posiada interfejs graficzny.
- Narzędzie obsługuje
32-bitowe systemy operacyjne: MS Windows XP SP2, MS Windows XP SP3, MS Windows Vista, MS Windows Vista SP1, MS Windows Vista SP2, MS Windows 7, MS Windows 7 SP1, Microsoft Windows Server 2003 R2 Standard / Enterprise SP2, Microsoft Windows Server 2003 Standard / Enterprise SP2, Microsoft Windows Server 2008 Standard / Enterprise SP2.
i
64-bitowe systemy operacyjne: MS Windows XP SP2, MS Windows XP SP3, MS Windows Vista, MS Windows Vista SP1, MS Windows Vista SP2, MS Windows 7, MS Windows 7 SP1, Microsoft Windows Server 2008 Standard / Enterprise x64 Edition SP2, Microsoft Windows Server 2003 R2 Standard / Enterprise x64 Edition SP2, Microsoft Windows Server 2003 Standard / Enterprise x64 Edition SP2, Microsoft Windows Server 2008 R2 Standard / Enterprise x64 Edition SP0 lub nowszy.
- Narzędzie można uruchomić w trybie standardowym i w trybie awaryjnym.
Jak wyleczyć zainfekowany system?
- Pobierz plik TDSSKiller.exe na zainfekowany (lub prawdopodobnie zainfekowany) komputer.
- Uruchom plik TDSSKiller.exe.
- Narzędzie rozpoczyna skanowanie systemu pod kątem złośliwych i podejrzanych obiektów, po kliknięciu przycisku Start scan (Uruchom skanowanie).
- Narzędzie wykrywa następujące podejrzane obiekty:
- Ukryta usługa – klucz rejestru, niewidoczny na standardowej liście;
- Zablokowana usługa – klucz rejestru, który nie może zostać otwarty w sposób standardowy;
- Ukryty plik – ukryty plik na dysku;
- Zablokowany plik – plik na dysku, którego nie da się otworzyć w standardowy sposób;
- Fałszywy plik – kiedy przy standardowym odczycie, wyświetlana jest oryginalna zawartość pliku zamiast faktycznej;
- Rootkit.Win32.BackBoot.gen – podejrzana infekcja sektora MBR nieznanym bootkitem.
Istnieje wysokie prawdopodobieństwo, że takie anomalie w systemie są rezultatem działania rootkita. Ale mogą być również wywołane przez jakieś legalne oprogramowanie.
- W celu przeprowadzenia dalszej analizy należy poddać kwarantannie wykryte obiekty, korzystając z opcji Copy to quarantine (Skopiuj do kwarantanny). W tym przypadku plik nie zostanie usunięty.
- Wyślij zapisany pliki (zapisane pliki) do Laboratorium antywirusowego lub do VirusTotal.com w celu przeskanowania.
- Jeżeli szczegółowa analiza wykaże, że obiekty są faktycznie szkodliwe, możesz wykonać poniższe działania:
- usunąć je, wybierając z opcji Delete (Usuń);
- lub przywrócić sektor MBR (gdy problem dotyczy MBR), wybierając opcję Restore (Przywróć).
Po zakończeniu leczenia konieczne może być ponowne uruchomienie systemu.
Parametry wiersza poleceń dla narzędzia TDSSKiller.exe:
-l <nazwa_pliku> - zapisuje raport do pliku. Można wskazywać ścieżki nie istniejące w momencie wykonywania polecenia. Narzędzie automatycznie utworzy odpowiednie foldery.
-qpath <ścieżka_do_folderu> - ścieżka do folderu kwarantanny (tworzony automatycznie, jeśli nie istnieje);
-h – wywołuje ten system pomocy;
-sigcheck – wykrywa wszystkie niepodpisane sterowniki jako podejrzane;
 Narzędzie wykryje niepodpisane sterowniki i takie z nieprawidłowymi certyfikatami. Nie oznacza to, że takie pliki są z pewnością zainfekowane. Takie sterowniki są wykrywane jako <niepodpisany plik>. Jeśli podejrzewasz, że taki plik jest zainfekowany, prześlij go do laboratorium antywirusowego Kaspersky Lab w celu analizy.
-tdlfs – wykrywa system plików TDLFS, który rootkity TDL 3 / 4 tworzą w ostatnich sektorach dysku twardego do przechowywania swoich plików. Możliwe jest poddanie wszystkich tych plików kwarantannie.
Poniższe klucze umożliwiają uruchamianie narzędzia w trybie cichym:
-qall – poddaje kwarantannie wszystkie obiekty (łącznie z niezainfekowanymi);
-qsus – poddaje kwarantannie tylko podejrzane obiekty;
-qboot - zapisuje kopie wszystkich sektorów startowych
-qmbr – zapisuje kopie MBR;
-qcsvc <nazwa_usługi> - poddaje kwarantannie usługę;
-dcsvc <nazwa_usługi> - usuwa usługę;
-silent – skanuje w trybie cichym (nie wyświetla żadnych okien), aby móc uruchomić narzędzie w sposób scentralizowany poprzez sieć;
-dcexact - automatyczne wykrywanie / leczenie znanych zagrożeń.
Na przykład, następujące polecenie uruchomi skanowanie komputera i zapisze szczegółowy raport do pliku report.txt (utworzonego w folderze narzędzia TDSSKiller.exe):
TDSSKiller.exe -l report.txt
|
20 
07.12.2012 12:26
