Seguridad 101: Virus y Soluciones

 
 
 

Cómo eliminar un bootkit

← Volver a la sección "Virus y Soluciones"
2014 ene 15 ID Artículo: : 2727
 
 
 
 
­Un bootkit es un programa malicioso que infecta el Master Boot Record (MBR).

Este método de infectar permite al bootkit ejecutarse antes de que se arranque el sistema operativo. Una vez BIOS (Basic Input Output System) selecciona el disco infectado (un disco duro o USB drive), el bootkit que reside en el MBR comienza ejecutar su código. Cuando el bootkit toma el control, se comienza preparar (lee y desencripta sus archivos auxiliares en su propio sistema de archivos que está creada en el espacio no alocado) y devuelve el control al boot loader legítimo vigilando todas las etapas del proceso de arranque.

La característica principal del bootkit es la incapacidad del sistema operativo detectarlo porque todos sus componentes residen fuera del sistema de archivos MS Windows. Ciertos tipos de bootkits esconden que el MBR está infectado devolviendo la versión original del 
MBR al intentar de leerlo.

La herramienta TDSSKiller permite desinfectar el sistema operativo infectado con un bootkit. La herramienta tiene la interfaz gráfica.

Importante!Soporta los sistema operativos de 32 y 64 bit.

Detecta los siguientes bootkit conocidos:
y los bootkit desconocidos (mediante el analizador heurístico).

Cómo desinfectar el sistema infectado
  • Descargar el archivo TDSSKiller.zip y extraer sus contenidos en una carpeta en el equipo infectado (o sospechado) mediante WinZip, por ejemplo;
  • Ejecutar el archivo TDSSKiller.exe;
  • Esperar hasta el fin del proceso de escaneo y desinfección. Puede ser necesario reiniciar el equipo después de desinfectarlo.
Cómo utilizar la herramienta
  • La herramienta comienza buscar los objetos maliciosos/sospechosos en el sistema cuando hace un clic en el botón Start scan.



  • Cuando la herramienta detecta una infección con un bootkit MBR, reporta que ha detectado un ibjeto tipo “Physical drive” y propone seleccionar una acción:

    • Cure. Esta acción está disponible solo si la herramienta ha detectado un bootkit conocido. En el caso de detectar un bootkit desconocido lo reporta como Rootkit.Win32.BackBoot.gen.
    • Skip. Ignorar.
    • Copy to Quarantine. La herramienta copia el MBR infectado a la cuarentena.
    • Restore. La herramienta restaura un MBR estándar.


  • Puede ser necesario reiniciar el equipo después de desinfectarlo.



    Los argumentos de la línea de comandos de la herramienta TDSSKiller.exe:

-l <nombre_del_archivo> - guardar un registro al archivo;
-qpath <ruta_de_la_carpeta> - la ruta de la carpeta de cuarentena (creada de forma automática si no existe);
-h – la ayuda;
-sigcheck – detectar todos los drivers sin firma como sospechosos;
-tdlfs – detectar el sistema de archivos TDLFS creado por TDL 3 / 4 rootkit en los últimos sectores del disco duro para almacenar sus archivos. Es posible copiar a la cuarentena todos esos archivos.

Los siguientes argumentos permiten ejecutar la herramienta en el modo silencioso;

-qall – copiar todos los archivos a la cuarentena (no infectados también);
-qsus – copiar solo los archivos sospechosos a la cuarentena;
-qboot – copiar a cuarentena todos los bloques de arranque;
-qmbr – copiar todos los MBR a la cuarentena;
-qcsvc <nombre_del_servicio> - copiar el servicio a la cuarentena;
-dcsvc <nombre_del_servicio> - eliminar el servicio;
-silent – escanear en modo silencioso (no mostrar ningunos diálogos) para poder ejecutar la utilidad en la red de manera centralizada;
-dcexact – detectar / desinfectar las amenazas conocidas automáticamente.


Por ejemplo, el siguiente comando hace la herramienta escanear el equipo y guardar el registro completo al archivo report.txt (creado en la carpeta de la herramienta TDSSKiller.exe):

TDSSKiller.exe -l report.txt

 
 
 
 
¿Le ha sido de ayuda nuestra información?
No