Pesquisar
Faça uma pergunta »

Suprimir o rootkit : W32/TDSS - Alureon

Março 2015




Suprimir o rootkit : W32/TDSS - Alureon
O que é rootkit W32/TDSS?

Um rootkit é um "kit" para tornar-se "root" (administrador) de uma máquina. Este é um código malicioso realmente complexo que se liga a uma máquina, e às vezes no próprio núcleo do sistema operacional. É, portanto, capaz de assumir o controle total de um PC, sem deixar vestígios. Sua detecção é difícil, às vezes impossível. Em outras palavras, uma série de programas que permitem que hackers se instalem em uma máquina (já infectadas, ou operar uma falha de segurança) para evitar a sua detecção. Uma vez instalado, o rootkit é realmente o mestre do sistema. Como todos os programas, incluindo antivírus e anti-spyware devem percorrer antes de qualquer coisa. Eles não podem confiar em qualquer informação coletada no sistema. O crescimento do rootkit é favorecido pelo fato de que a maioria dos usuários do Windows trabalham com os direitos de um administrador, o que facilita, em muito a instalação de rootkit nos computadores.

Este rootkit é, as vezes, nomeado Tidserv, TDSServ, Alureon, TDL3, TDL4,...

Exemplos de sintomas : Redirecionamento Google, softwares de seguranças bloqueados...

Lista não exaustiva de Rootkit TDSSserv :

C:\WINDOWS\system32\tdssadw.dll
C:\WINDOWS\system32\tdssinit.dll
C:\WINDOWS\system32\tdssl.dll
C:\WINDOWS\system32\tdsslog.dll
C:\WINDOWS\system32\tdssmain.dll
C:\WINDOWS\system32\tdssservers.da
C:\WINDOWS\system32\drivers\tdssserv.sys
c:\windows\system32\TDSSblat.dat
c:\windows\system32\TDSSqoaa.log

Eis aqui um estudo sobre o Rootkit TDSS.

As últimas variantes , reconhecíveis com sua série de letras kizeuiqjdjqklmhehujdk > (aleatória) ...

c:\windows\system32\drivers\kbiwkm(aleatória).sys
c:\windows\system32\kbiwkm(aleatória).dat
c:\windows\system32\kbiwkm(aleatória).dll

c:\windows\system32\drivers\UAC(aleatória).sys
c:\windows\system32\UAC(aleatória).dll
c:\windows\system32\UAC(aleatória).dat

c:\windows\system32\drivers\seneka.sys
c:\windows\system32\seneka(aleatória).dll
c:\windows\system32\seneka(aleatória).dat

c:\windows\system32\drivers\ESQUL(aleatória).sys
c:\windows\system32\ESQUL(aleatória).dll
c:\windows\system32\ESQUL(aleatória).dat

c:\windows\system32\drivers\geyek(aleatória).sys
c:\windows\system32\geyek(aleatória).dll
c:\windows\system32\geyek(aleatória).dat

C:\windows\system32\drivers\hjgrui(aleatória).sys
c:\windows\system32\hjgrui(aleatória).dll
c:\windows\system32\hjgrui(aleatória).dat

c:\windows\system32\drivers\gxvxc(aleatória).sys
c:\windowssystem32\gxvxc(aleatória).dll
c:\windowssystem32\gxvxc(aleatória).dat

c:\windows\system32\drivers\MSIVX(aleatória).sys
c:\windows\system32\MSIVX(aleatória).dll
c:\windows\system32\MSIVX(aleatória).dat

c:\windows\system32\drivers\SKYNET(aleatória).sys
c:\windows\system32\SKYNET(aleatória).dll
c:\windows\system32\SKYNET(aleatória).dat

c:\windows\system32\drivers\kungsf(aleatória).sys
c:\windows\system32\kungsf(aleatória).dll
c:\windows\system32\kungsf(aleatória).dat

Infelizmente, a lista seria muito longa para enumerar aqui, mas esta uma boa parte de Rootkits, os mais usuais atualmente e as últimas variantes conhecidas...

Mais informações aqui



Preliminar


1) Desativar o residente de Spybot.
  • Importante : Se você tiver TeaTimer (residente Spybot), desative-o, caso contrário ele irá interferir na desinfecção por impedir a modificação de BHO e reparar o Registro.
    • Iniciar Spybot, clique em "Mode", marque "Modo Avançado"
    • À esquerda, clique em "Ferramentas" e "Resident"
    • Desmarque a caixa de Residente "TeaTimer" saia Spybot:




Nota Importante:
No final da desinfecção (e não antes), reative o "TeaTimer".
Mas atenção:, o "TeaTimer" Spybot propõe múltiplas pop-up, para aceitar ou rejeitar alterações do registro (que ocorreu durante a desinfecção) =>, Você deverá aceitar todas, sem exceção!

Em seguida, eventualmente, ele permanecerá vigilante quando "TeaTimer" der alertas: aceite uma mudança apenas se você estiver seguro.

2) Desative o User Account Control para os usários de Windows Vista ou Seven (UAC).
Como desativar o UAC ?
Reative-o em fim de desativação (e não antes).

Métodos de detecção


A ferramenta de diagnóstico não detecta a infecção TDSS Hijackthis.

Você deve usar uma ferramenta de diagnóstico, tal como o Sistema de Informação Aleatório Tool (RSIT) ZHPDiag ou usar GMER.

GMER é compatível com o Windows XP, Vista 7 e 8.



Com RSIT :
Baixe Random's System Information Tool (RSIT) (par random/random) no seu Desktop.
  • Duplo-clique sobre RSIT.exe para lançar o programa (No Vista e Seven, é preciso clicar direito sobre RSIT.exe e escolher Executar como administrador).
  • Clique em Continue na Tema Disclaimer.
  • Se a ferramenta HijackThis (versão atualizada) não estiver presente ou não for detectada no computador. RSIT o baixará (autorizar o acesso no firewall, se for solicitado) e você deverá aceitar a licença.
  • Quando a análise estiver terminada, dois arquivos texto se abrirão. Postar o contudo de log.txt (é aquele que aparece na tela) bem como do info.txt fórum Kioskea.


Com Gmer:

Baixe Gmer. (Przemyslaw Gmerek) em seu desktop.

  • Descompacte em uma pasta dedicada, ou em seu desktop.
  • Desconecte-se da internet depois feche todos os programas.
  • Duplo clique em Gmer.exe "Executar como administrador " (para Vista).
  • Clique na guia "Rootkit".
  • À direita, marque somente Files, Services & Registry.
  • Clique agora em "Scan".
  • Quando o escan estiver terminado, clique em "Copy".
  • Abra o Bloco de Notas depois clique em menu Edição / Colar.
  • O relatório deve aparecer.
  • Registre o arquivo em seu Desktop e poste-o no fórum Kioskea.


Com ZHPDiag :
Com ZHPDiag, a infecção se detecta, geralmente, simplesmente, graças aos módulos 080 e 081 :

---\\ Internet Feature Controls (O81)          
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe


---\\ Busca Master Boot Record Infection (MBR)(O80)
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Run by Holbecq Ludovic at 08/05/2011 13:35:08

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x86AB36F0]<<
1 nt!IofCallDriver[0x804E13B9] -> \Device\Harddisk0\DR0[0x86B83198]
3 CLASSPNP[0xF7536FD7] -> nt!IofCallDriver[0x804E13B9] -> \Device\00000080[0x86B479E8]
5 ACPI[0xF748C620] -> nt!IofCallDriver[0x804E13B9] -> [0x86B01940]
\Driver\atapi[0x86AF7270] -> IRP_MJ_CREATE -> 0x86AB36F0
error: Read Un périphérique attaché au système ne fonctionne pas correctement.
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\atapi DriverStartIo -> 0x86AB353B
user & kernel MBR OK
Warning: possible TDL3 rootkit infection !
Outras ferramentas de diagnóstico podem ser utilizadas para descobrir esta infecção.

Métodos de desinfecção


Diversas ferramentas suportam esta infecção. Também é recomendado passar pelo menos duas ferramentas e uma ferramenta de re-verificação de diagnóstico, se a infecção estiver sempre presente.

Também é possível que você não possa baixar diretamente as ferramentas em casa.

Para fazer isso basta renomear as ferramentas ao fazer o download. Se você for incapaz de fazê-lo, recomenda-se que você peça ajuda no fórum Segurança do kioskea.

Primeira ferramenta : TDSSKiller de Kaspersky

  • Baixe TDSSKiller em seu desktop

http://support.kaspersky.com/downloads/utils/tdsskiller.zip
  • Crie uma nova pasta em seu desktop, depois descompacte o arquivo ali dentro.
  • Lance o programa clicando em TDSSKiller.exe, a análise se faz automaticamente, se a infecção for detectada, elementos escondidos (=hidden) serão então exibidos.

Marque-os e clique em "Delete/Repair Selected".
  • Uma mensagem pode em seguida aparecer solicitando a reinicializarão do PC (reboot) para termina a limpeza. Digite "Y" para reinicializar o PC (« close all programs and choose Y to restart").


Informação complementar sobre esta ferramenta :
http://support.kaspersky.com/viruses/solutions?qid=208280684

Segunda ferramenta : Combofix

  • baixe ComboFix (de sUBs) no seu Desktop.
  • /!\Desative temporariamente toda proteção residente /!\ (Antivirus, Antispywares...)
  • Duplo clique em ComboFix.exe. (No Vista e Seven, é preciso clicar direito em Combofix.exe e escolher "Executar como administrador").
  • Aceite a licença clicando em "Sim".
  • O programa vai lhe perguntar se você deseja instalar o Console de recuperação. É uma precaução, no caso de pane do computador. Recomenda-se instalar, não custa nada, e isto poderia servir potencialmente!
  • Quando a operação estiver terminada, um relatório aparecerá. Poste-o na sua próxima resposta no fórum.
  • O relatório encontra-se: no %SystemDrive%ComboFix.txt (%systemdrive% sendo a partição onde for instaldo Windows ; C: em geral)
  • Ajuda :Como utilizar ComboFix.

Terceira ferramenta : TDSS Remover

  • Baixe TDSS Remover no seu Desktop

http://www.esagelab.com/files/tdss_remover_latest.rar
  • Crie uma nova pasta em seu desktop depois descompacte o arquivo dentro.
  • Lance o programa clicando em "Remover.exe", a análise se faz automaticamente, se a infecção for detectada, elementos escondidos (=hidden) serão exibidos.

Marque-os e clique em "Delete/Repair Selected".
  • Uma mensagem em seguida aparece solicitando reiniciar o PC (reboot) para terminar a limpeza, pressione em "YES".

Quarta ferramenta: Malwarebytes'Anti-Malware


  • Instale o software.
  • /!\Usuários do Vista e Windows 7 : Clique direito em logo de Malwarebytes' Anti-Malware, « execute como administrador »
  • Se faltar o arquivo COMCTL32.OCX, você poderá baixar aqui
  • Faça as atualizações (Clique Atualizações depois Busca de atualização).
  • Lance MalwareBytes' Anti-Malware, clique em "Execute um exame completo" depois "Busca", selecione todos os discos rígidos e clique em "Lançar o exame".
  • Depois da analise terminada, clique em "Resultados" depois clique em "Suprimir a seleção" (Se uma mensagem solicitar a inicialização do PC, aceite!)


NOTA: Se isto não acontecer em modo de segurança depois re-lance o procedimento acima.

Quinta ferramenta : Norman TDSS Cleaner

  • Baixe Norman Tdss Cleaner a partir deste link :

http://download.norman.no/public/Norman_TDSS_Cleaner.exe
  • Lance o software que vai efetuar automaticamente a desinfecção.
  • Reinicie o PC para terminar se isto lhe será solicitado.

ESET


ESET propõe dois softwares que permitem erradicar TDSS

Para a versão TDL 4:

Para a versão TDL3:

Bitdefender


BitDefender proposta de desinfecção contra rootkit TDL4/ TDSS:

FixTDSS de Symanec


Outro método


Ir os arquivos legítimos por arquivos infectados, a reparação de Windows pode reparar isto e colocar os arquivos legítimos no lugar :

Reparar Windows XP
Reparar o arranque do Vista

Verificação


É recomendado fazer um scan online para verificar que não restou nada das aplicações infestadas.
  • Acesse os site do scan en ligne Kaspersky (Com Internet Explorer).
  • Abaixo à direita, clique em Iniciar Online-scanner.
  • Na nova janela que se afixa, clique em « Eu aceito ».
  • Aceite os Controles ActiveX.
  • Escolha « Desktop » para o scan.


Lve (escolha « Arquivo Texto) o relatório em seu Desktop.

Utilização do scan online : ajuda

Note bem: Se você receber a mensagem "A licença do Kaspersky On-line scanner está desatualizada", vá para Adicionar / Remover Programas e desinstale On-Line Scanner, log no site da Kaspersky para tentar novamente a varredura.

Se o panda scan online da Kaspersky estiver indisponível, use o BitDefender:
/ www.pandasecurity.com/france/homeusers/solutions/activescan/
BitDefender

Desativar/reativar a Restauração do Sistema


É necessário desativar e depois reativar a restauração do sistema para limpar pois os pontos de restauração podem estar infectados:

Outras informações:
http://forum.malekal.com/trojan-alureon-trojan-tdss-t21456.html
http://www.drweb.com/...
http://www.sophos.fr/support/knowledgebase/article/55430.html
http://www.malekal.com/TDSS_patch_atapi_tdlcmd.dll.php

Tradução feita por Ana Spadari
Para uma leitura offline, é possível baixar gratuitamente este artigo no formato PDF:
Suprimir-o-rootkit-w32-tdss-alureon.pdf

A ver igualmente

Cómo eliminar el rootkit W32.TDSS
Por Carlos-vialfa em 14 de julho de 2009
Supprimer le rootkit : W32/TDSS - Alureon
Por V-X em 2 de julho de 2009
Artigo original publicado por V-X. Tradução feita por ninha25.
Este documento, intitulado « Suprimir o rootkit : W32/TDSS - Alureon »a partir de Kioskea (pt.kioskea.net) está disponibilizado sob a licença Creative Commons. Você pode copiar, modificar cópias desta página, nas condições estipuladas pela licença, como esta nota aparece claramente.