|
Un Rootkit es un programa o una colección de programas usados por un hacker para evitar ser detectado.
Un rootkit en los sistemas Windows es un programa que penetra el sistema e intercepta las funciones del sistema (Windows API). El programa malicioso oculta su presencia en el sistema interceptando y modificando las funciones API de nivel bajo. Además un rootkit puede ocultar todos los procesos, archivos, carpetas, claves de registro descritos en su configuración. Muchos rootkit instalan sus drivers y servicios en el sistema (son invisibles también).
La herramienta PMaxKiller.exe permite desinfectar el sistema infectado con malware de la familia Rootkit.Win32.PMax.
La herramienta funciona en las versiones x86 de Windows: 2000, XP, 2003, Vista, 2008, 7.
Las versiones x64 de Windows tienen inmunidad contra malware de la familia Rootkit.Win32.PMax.
Desinfección:
- Descargar el archivo PMaxKiller.zip y descomprimirlo usando WinZip, por ejemplo.
- Ejecutar el archivo PmaxKiller.exe.
- Esperar el fin del escaneo.En el caso de detección de la infección, es necesario reiniciar el equipo.
Lanzada sin argumentos, la herramienta:
- busca el driver malicioso en la memoria, y remuévelo para prevenir la terminación (con DACL) de procesos legales que intentan acceder el registro.
- Escanea las librerías del sistema vulnerables al rootkit. En el caso de detección de la infección, será eliminada durante el reinicio del equipo.
Argumentos de la línea de comandos para la herramienta PMaxKiller.exe:
-c <nombre_del_archivo> – anular el DACL del archivo (para eliminar las consecuencias del bloqueo del inicio de procesos legales por el programa malicioso).
-d <nombre_del_archivo> – guardar un volcado del driver malicioso al archivo.
-l <nombre_del_archivo> – guardar un archivo log.
-v š– generar un log detallado (debe ser usado en combinación con -l).
Los síntomas de infección con Rootkit.Win32.PMax:
- El programa GMER escanea y detecta los módulos ocultos que tengan "__max++>" en su ruta.
|
6 
17.06.2010 16:25
