Cómo detectar y eliminar un rootkit desconocido

 

 

Seguridad 101: Virus y Soluciones

 
 
 

Cómo detectar y eliminar un rootkit desconocido

← Volver a la sección "Virus y Soluciones"
2014 ene 15 ID Artículo: : 5353
 
 
 
 
Un rootkit es un programa que oculta la presencia de malware en el sistema.

En los sistemas operativos Windowsun rootkit es un programa que penetra al sistema e intercepta las funciones del sistema (Windows API). Un rootkit puede esconder su presencia en el sistema con éxito interceptando y modificando las funciones del API de nivel bajo. Además un rootkit suele ocultar ciertos procesos, directorios, archivos, y claves de registro. Muchos rootkits instalan sus driver y servicios (son “invisibles” también) al sistema.

Kaspersky Lab ha desarrollado la herramienta TDSSKiller que puede eliminar los rootkit conocidos (TDSS, Sinowal, Whistler, Phanta, Trup, Stoned) y desconocidos.

La herramienta tiene la interfaz gráfica. Soporta los sistema operativos de 32 y 64 bit

Cómo desinfectar el sistema infectado
  • Descargar el archivo TDSSKiller.zip y extraer sus contenidos en una carpeta en el equipo infectado (o sospechado) mediante WinZip, por ejemplo;
  • Ejecutar el archivo TDSSKiller.exe;
  • La herramienta comienza buscar los objetos maliciosos/sospechosos en el sistema cuando hace un clic en el botón Start scan.
  • La herramienta detecta los siguientes objetos sospechosos:
    • Hidden service – una llave de registro escondida del listado estándar;
    • Blocked service – una llave de registro que no se puede abrir por los medios estándar;
    • Hidden file – un archivo en el disco duro escondido del listado estándar;
    • Blocked file – un archivo en el disco duro que no se puede abrir por los medios estándar;
    • Forged file – un intento de leer por los medios estándar devuelve el contenido original en cambio del actual.
    • Rootkit.Win32.BackBoot.gen – un MBR sospechado de contener un bootkit desconocido.



Es muy probable que tales anomalías en el sistema son el resultado de la actividad de un rootkit. Todavía puede ser unas trazas de algún software legítimo.

  • Para realizar un análisis más profundo es necesario copiar el objeto detectado a la cuarentena por medio de la opción Copy to quarantine. El archivo no se eliminará en este caso!
  • Enviar los archivos guardados al Virus Lab o al VirusTotal.com.
  • Si el análisis profundo determina que los objetos son maliciosos en realidad, va a tener las siguientes opciones:

    • eliminar los objetos mediante la opción Delete;
    • restaurar el MBR (si el MBR es el problema) mediante la opción Restore.
Puede ser necesario reiniciar el equipo después de desinfectarlo.

Los argumentos de la línea de comandos de la herramienta TDSSKiller.exe:

-l <nombre_del_archivo> - guardar un registro al archivo;
-qpath <ruta_de_la_carpeta> - la ruta de la carpeta de cuarentena (creada de forma automática si no existe);
-h – la ayuda;
-sigcheck – detectar todos los drivers sin firma como sospechosos;
-tdlfs – detectar el sistema de archivos TDLFS creado por TDL 3 / 4 rootkit en los últimos sectores del disco duro para almacenar sus archivos. Es posible copiar a la cuarentena todos esos archivos.

Los siguientes argumentos permiten ejecutar la herramienta en el modo silencioso;

-qall – copiar todos los archivos a la cuarentena (no infectados también);
-qsus – copiar solo los archivos sospechosos a la cuarentena;
-qboot – copiar a cuarentena todos los bloques de arranque;
-qmbr – copiar todos los MBR a la cuarentena;
-qcsvc <nombre_del_servicio> - copiar el servicio a la cuarentena;
-dcsvc <nombre_del_servicio> - eliminar el servicio;
-silent – escanear en modo silencioso (no mostrar ningunos diálogos) para poder ejecutar la utilidad en la red de manera centralizada;
-dcexact – detectar / desinfectar las amenazas conocidas automáticamente.
Por ejemplo, el siguiente comando hace la herramienta escanear el equipo y guardar el registro completo al archivo report.txt (creado en la carpeta de la herramienta TDSSKiller.exe):
TDSSKiller.exe -l report.txt

 
 
 
 
¿Le ha sido útil esta información?
No
 

 
 

Su comentario acerca del sitio de Soporte técnico.

Exprese su opinión sobre el diseño de este portal y páginas que podrían ser mejoradas o infórmenos de un error.

Enviar mis comentarios Enviar mis comentarios

¡Gracias por su colaboración!

Kaspersky Lab aprecia cada opinión. Nos ayudará a mejorar el sitio web de Soporte técnico.