Cómo eliminar malware de la familia Rootkit.Win32.TDSS (aka Tidserv, TDSServ, Alureon)

 

Safety 101: Consejos de seguridad

 
 
 

Cómo eliminar malware de la familia Rootkit.Win32.TDSS (aka Tidserv, TDSServ, Alureon)

ID Artículo: : 2663
Complejidad
2012 ago 15
 
 
 
 

Un rootkit es una herramienta o un grupo de herramientas que sirve para ocultar las trazas de presencia del intruso, de otros programas maliciosos o sí misma en el sistema operativo.

En los sistemas operativos Windows, un rootkit es un programa que penetra el sistema y intercepta las funciones del sistema (Windows API). Un rootkit puede esconder su presencia en el sistema con éxito interceptando y modificando las funciones del API de nivel bajo. Además un rootkit suele ocultar ciertos procesos, directorios, archivos, y claves de registro. Muchos rootkits instalan sus controladores y servicios (son “invisibles” también) al sistema.

La herramienta TDSSKiller.exe ha sido diseñada para desinfectar los sistemas infectados con malware de la familia Rootkit.Win32.TDSS.

Desinfección del sistema infectado

  • Descargar el archivo TDSSKiller.zip y extraer (usando WinZip, por ejemplo) su contenido en una carpeta en el equipo (potencialmente) infectado.
  • Lanzar el archivo TDSSKiller.exe.
  • Esperar el fin de escaneo y desinfección. Es necesario reiniciar el equipo después de desinfectarlo.

Cómo utilizar la herramienta:

  • Haga clic en el botón Start scan para iniciar el análisis;
    La herramienta buscará los objetos maliciosos y sospechosos.



  • El análisis puede revelar dos tipos de objetos:

    • objetos maliciosos (ha sido identificado el programa malicioso que infectó el objeto);
    • objetos sospechosos (es imposible definitivamente identificar el programa malicioso).

  • Al terminar el análisis, la herramienta sale una lista de objetos detectados con detalles.
    La herramienta decide que acción aplicar a los objetos maliciosos de forma automática: Desinfectar (Cure)Eliminar (Delete).
    El usuario selecciona qué hacer con los objetos sospechosos. Ppor defecto - Ignorar (Skip).

  • Seleccione la acción Cuarentena (Quarantine) para añadir los objetos detectados a la cuarentena.
    Por defecto, la carpeta de cuarentena se ubica en el directorio raíz del disco de sistema, p.e. C:\TDSSKiller_Quarantine\23.07.2010_15.31.43.



  • Haga clic en el botón Next para aplicar las acciones seleccionadas y salir el resultado.

  • Se puede necesitar reiniciar el equipo después de la desinfección.



  • Por defecto, la herramienta sale el reporte al directorio raíz del disco de sistema (el disco donde está instalado el sistema operativo – C:\ en el caso general). 
    El nombre del fichero de reporte es como Nombre_de_la_herramienta.Versión_Fecha_Tiempo_log.txt

    Por ejemplo, C:\TDSSKiller.2.4.0_23.17.2010_15.31.43_log.txt.

Los argumentos de la línea de comandos para ejecutar la herramienta TDSSKiller.exe:

-l <nombre_del_archivo> - nombre del archivo log;
-qpath <ruta_de_la_carpeta> - la carpeta de cuarentena (será creada de no existir);
-h - ver la lista de argumentos posibles.
-sigcheck - detectar todos los driver sin la signatura digital como sospechosos.
-tdlfs - permite detectar el sistema de archivos TDLFS creado por el rootkit TDL 3/4 en los últimos sectores del disco duro para guardar sus archivos. Es capaz de mover todos esos archivos a la cuarentena.


Use los siguientes argumentos para cancelar las preguntas sobre acciones:


-qall – copiar todos los archivos a la cuarentena (no infectados también);
-qsus – copiar solo los archivos sospechosos a la cuarentena;
-qboot – copiar a cuarentena todos los bloques de arranque;
-qmbr – copiar todos los MBR a la cuarentena;
-qcsvc <nombre_del_servicio> - copiar el servicio a la cuarentena;
-dcsvc <nombre_del_servicio> - eliminar el servicio;
-silent – escanear en modo silencioso (no mostrar ningunos diálogos) para poder ejecutar la utilidad en la red de manera centralizada;
-dcexact – detectar / desinfectar las amenazas conocidas automáticamente.


Por ejemplo, si desea escanear un equipo y guardar un log detallado al archivo report.txt (será guardado en el directorio de la herramienta TDSSKiller.exe), use el siguiente comando:

TDSSKiller.exe -l report.txt 


Síntomas de la infección

  • Los síntomas de la infección con malware de la familia Rootkit.Win32.TDSS generación primera/segunda (TDL1, TDL2)

    Los usuarios avanzados pueden monitorizar la intercepción de las siguientes funciones en el kernel:

    • IofCallDriver;
    • IofCompleteRequest;
    • NtFlushInstructionCache;
    • NtEnumerateKey;
    • NtSaveKey;
    • NtSaveKeyEx.

Usando el programa Gmer, por ejemplo:

  • Los síntomas de que el sistema está infectado con el programa malicioso Rootkit.Win32. TDSS de la generación tercera (TDL3)

    Es posible detectar la infección con el programa malicioso Rootkit.Win32.TDSS de la generación tercera (TDL3) usando la herramienta Gmer. Esta herramienta detecta la sustitución del objeto “dispositivo” del controlador de sistema atapi.sys.




 
 
 
 
¿Le ha sido útil esta información?
No
Muchas gracias por responder!
 

 
 

¿Cómo podemos mejorar este artículo?

Su comentario solo se utilizará para mejorar este artículo. Si tiene un problema con nuestros productos, póngase en contacto con el soporte técnico de Kaspersky.

Enviar Enviar

¡Gracias por su comentario!

Sus comentarios nos ayudarán a mejorar este artículo.

Aceptar