Suprimir o rootkit : W32/TDSS - Alureon

Suprimir o rootkit : W32/TDSS - Alureon
O que é rootkit W32/TDSS?

Um rootkit é um "kit" para tornar-se "root" (administrador) de uma máquina. Este é um código malicioso realmente complexo que se liga a uma máquina, e às vezes no próprio núcleo do sistema operacional. É, portanto, capaz de assumir o controle total de um PC sem deixar vestígios. Sua detecção é difícil, às vezes impossível, como o sistema funciona. Em outras palavras, uma série de programas que permitem que hackers se instalem em uma máquina (já infectadas ou operar uma falha de segurança) para evitar a sua detecção. Uma vez instalado, o rootkit é realmente o mestre do sistema. Como todos os programas, incluindo antivírus e anti-spyware devem percorrer antes de qualquer coisa. Eles não podem confiar em qualquer informação coletada no sistema. O crescimento do rootkit é favorecido pelo fato de que a maioria dos usuários do Windows trabalham sob os direitos de um administrador, o que facilita muito a instalação de rootkit nos computadores.

Este rootkit é as vezes nomeado Tidserv, TDSServ, Alureon, TDL3, TDL4,...

Exemplos de sintomas : Redireção Google, softwares de seguranças bloqueados...

Lista não exautiva de Rootkit TDSSserv :

C:\WINDOWS\system32\tdssadw.dll
C:\WINDOWS\system32\tdssinit.dll
C:\WINDOWS\system32\tdssl.dll
C:\WINDOWS\system32\tdsslog.dll
C:\WINDOWS\system32\tdssmain.dll
C:\WINDOWS\system32\tdssservers.da
C:\WINDOWS\system32\drivers\tdssserv.sys
c:\windows\system32\TDSSblat.dat
c:\windows\system32\TDSSqoaa.log

Eis um estudo sobre o Rootkit TDSS.

As últimas variantes , reconhecíveis com sua série de letras kizeuiqjdjqklmhehujdk > (aleatória) ...

c:\windows\system32\drivers\kbiwkm(aleatória).sys
c:\windows\system32\kbiwkm(aleatória).dat
c:\windows\system32\kbiwkm(aleatória).dll

c:\windows\system32\drivers\UAC(aleatória).sys
c:\windows\system32\UAC(aleatória).dll
c:\windows\system32\UAC(aleatória).dat

c:\windows\system32\drivers\seneka.sys
c:\windows\system32\seneka(aleatória).dll
c:\windows\system32\seneka(aleatória).dat

c:\windows\system32\drivers\ESQUL(aleatória).sys
c:\windows\system32\ESQUL(aleatória).dll
c:\windows\system32\ESQUL(aleatória).dat

c:\windows\system32\drivers\geyek(aleatória).sys
c:\windows\system32\geyek(aleatória).dll
c:\windows\system32\geyek(aleatória).dat

C:\windows\system32\drivers\hjgrui(aleatória).sys
c:\windows\system32\hjgrui(aleatória).dll
c:\windows\system32\hjgrui(aleatória).dat

c:\windows\system32\drivers\gxvxc(aleatória).sys
c:\windowssystem32\gxvxc(aleatória).dll
c:\windowssystem32\gxvxc(aleatória).dat

c:\windows\system32\drivers\MSIVX(aleatória).sys
c:\windows\system32\MSIVX(aleatória).dll
c:\windows\system32\MSIVX(aleatória).dat

c:\windows\system32\drivers\SKYNET(aleatória).sys
c:\windows\system32\SKYNET(aleatória).dll
c:\windows\system32\SKYNET(aleatória).dat

c:\windows\system32\drivers\kungsf(aleatória).sys
c:\windows\system32\kungsf(aleatória).dll
c:\windows\system32\kungsf(aleatória).dat

Infelizmente a lista seria muito longa para enumerar aqui, mas eis uma boa parte de Rootkits os mais usuais atualmente e as últimas variantes conhecidas...

Mais informação aqui

Preliminar

1) Desativar o residente de Spybot.

• Importante : Se você tiver TeaTimer (residente Spybot), desative-o caso contrário ele irá interferir na desinfecção por impedir a modificação de BHO e reparar o Registro.
  • Iniciar Spybot, clique em "Mode", marque "Modo Avançado"
  • À esquerda, clique em "Ferramentas" e "Resident"
  • Desmarque a caixa de Residente "TeaTimer" saia Spybot:

Nota Importante:
No final da desinfecção (e não antes), reativar o "TeaTimer".
Mas atenção:, o "TeaTimer" Spybot propõe múltiplas pop-up, para aceitar ou rejeitar alterações do registro (que ocorreu durante a desinfecção) =>, Você deverí aceitar todas sem exceção!

Em seguida, eventualmente, ele permanecerá vigilante quando "TeaTimer" der alertas: aceite uma mudança apenas se você estiver seguro.

2) Desative o User Account Control para os susários de Windows Vista ou Seven (UAC).
Como desativar o UAC ?
Reative-o em fim de desativação (e não antes).


Métodos de detecção == ==

A ferramenta de diagnóstico não detecta a infecção TDSS Hijackthis.

Você deve usar uma ferramenta de diagnóstico, tal como o Sistema de Informação Aleatório Tool (RSIT) ZHPDiag ou usar GMER.

GMER não é compatível com o Windows 7 até o momento. ([/ Faq/26484-desinfection-compatiblite-des-outils Compatibility Tool]).



Com RSIT :
Baixe Random's System Information Tool (RSIT) (par random/random) no seu Desktop.

• Duplo-clique sobre RSIT.exe para lançar o programa (No Vista e Seven, é preciso clicar direito sobre RSIT.exe e escolher Executar como administrador).
• Clique em Continue na Tema Disclaimer.
• Se a ferramenta HijackThis (versão atualizada) não estiver presente ou não for detectada no computador. RSIT o baixará (autorizar o acesso no firewall, se for solicitado) e você deverá aceitar a licença.
• Quando a análise estiver terminada, dois arquivos texto se abrirão. Postar o contudo de log.txt (é aquele que aparece na tela) bem como do info.txt fórum Kioskea.

Com Gmer :

Baixe Gmer. (Przemyslaw Gmerek) em seu desktop.

• Descompacte em uma pasta dedicada ou em seu desktop.
• Desconecte-se da internet depois feche todos os programas.
• Duplo clique em Gmer.exe "Executar como administrador " para Vista).
• Cliquez sur l'onglet "Rootkit".
• A droite, cochez seulement Files, Services & Registry.
• Clique agora em "Scan".
• Quando o escan estiver terminado, clique em "Copy".
• Abra o Bloco de Notas depois clique em menu Edição / Colar.
• O relatório deve aparecer.
• Registre o arquivo em seu Desktop e poste-o no fórum Kioskea.

Com ZHPDiag :
Com ZHPDiag, a infecção se detecta geralmente muito simplesmente, graças aos módulos 080 e 081 :

---\\ Internet Feature Controls (O81)          
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe          
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe          

---\\ Busca  Master Boot Record Infection (MBR)(O80)          
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net          
Run by Holbecq Ludovic at 08/05/2011 13:35:08          

device: opened successfully          
user: MBR read successfully          

Disk trace:          
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x86AB36F0]<<           
1 nt!IofCallDriver[0x804E13B9] -> \Device\Harddisk0\DR0[0x86B83198]          
3 CLASSPNP[0xF7536FD7] -> nt!IofCallDriver[0x804E13B9] -> \Device\00000080[0x86B479E8]          
5 ACPI[0xF748C620] -> nt!IofCallDriver[0x804E13B9] -> [0x86B01940]          
\Driver\atapi[0x86AF7270] -> IRP_MJ_CREATE -> 0x86AB36F0          
error: Read  Un périphérique attaché au système ne fonctionne pas correctement.          
kernel: MBR read successfully          
detected disk devices:          
detected hooks:          
\Driver\atapi DriverStartIo -> 0x86AB353B          
user & kernel MBR OK           
Warning: possible TDL3 rootkit infection !

Outras ferramentas de diagnóstico podem ser utilizadas para descobrir esta infecção.

Métodos de desinfecção

Diversas ferramentas suportam esta infecção. Também é recomendado passar pelo menos duas ferramentas e uma ferramenta de re-verificação de diagnóstico, se a infecção estiver sempre presente.

Também é possível que você não possa baixar diretamente as ferramentas em casa.

Para fazer isso basta renomear as ferramentas ao fazer o download. Se você é incapaz de fazê-lo, eu recomendo que você peça ajuda no fórum Segurança do kioskea.

Primeira ferramenta : TDSSKiller de Kaspersky

• Baixe TDSSKiller em seu desktop

http://support.kaspersky.com/downloads/utils/tdsskiller.zip

• Crie uma nova pasta em seu desktop depois descompacte o arquivo dentro.
• Lance o programa clicando em TDSSKiller.exe, a análise se faz automaticamente, se a infecção é detectada, elementos escondidos (=hidden) serão então afixados.

Marque-os e clique em "Delete/Repair Selected".

• Uma mensagem pode em seguida aparecer solicitando a reinicializarão do PC (reboot) para termina a limpeza. Digite "Y" para reinicializar o PC (« close all programs and choose Y to restart").

Informação complementar sobre esta ferramenta :
http://support.kaspersky.com/viruses/solutions?qid=208280684

Segunda ferramenta : Combofix

• baixe ComboFix (de sUBs) no seu Desktop.
• /!\Desative temporariamente toda proteção residente /!\ (Antivirus, Antispywares...)
• Duplo clique em ComboFix.exe. (No Vista e Seven, é preciso clicar direito em Combofix.exe e escolher "Executar como administrador").
• Aceite a licença clicando em "Sim".
• O programa vai lhe perguntar se você deseja instalar o Console de recuperação. É uma precaução, no caso de pane do computador. Eu o aconselho então de instalá-lo, não custa nada, e isto poderia servir potencialmente !
• Quando a operação estiver terminada, um relatório aparecerá. Poste-o na sua próxima resposta no fórum.
• O relatório encontra-se: %SystemDrive%ComboFix.txt (%systemdrive% sendo a partição onde for instaldo Windows ; C: em geral)
• Ajuda :Como utilizar ComboFix.

Terceira ferramenta : TDSS Remover

• Baixe TDSS Remover no seu Desktop

http://www.esagelab.com/files/tdss_remover_latest.rar

• Crie uma nova pasta em seu desktop depois descompacte o arquivo dentro.
• Lance o programa clicando em "Remover.exe", a análise se faz automaticamente, se a infecção for detectada, elementos escondidos (=hidden) serão afixados.

Marque-os e clique em "Delete/Repair Selected".

• Uma mensagem em seguida aparece solicitando reiniciar o PC (reboot) para terminar a limpeza, pressione em "YES".

Quarta ferramenta: Malwarebytes'Anti-Malware

• Baixe MalwareBytes' Anti-Malware (by RubbeR DuckY) em seu desktop.
• Instale o software.
  • Se faltar o arquivo COMCTL32.OCX, você poderá baixá-lo aqui.
• Faça as atualizações (Clique em "Atualizações" depois "Busca de atualizações").
• Lance MalwareBytes' Anti-Malware, clique em "Executar um exame completo » depois « Busca » e selecione todos os discos.
• depois que a verificação for concluída, uma janela se abre, clique em "Ok".

Se Malwarebytes *não detectou nada, clique em Ok. Um Relatório aparecerá. Fechá-o.

• Se a infecção foi detectada por Malwarebytes, clique em Exibir os resultados, em seguida, clique no botão Remover.
• Nota: Se Malwarebytes tem necessidade de reiniciar para concluir a remoção, aceite clicando em "Ok".

Quinta ferramenta : Norman TDSS Cleaner

• Baixe Norman Tdss Cleaner a partir deste link :

http://download.norman.no/public/Norman_TDSS_Cleaner.exe

• Lance o software que vai efetuar automaticamente a desinfecção.
• Reinicie o PC para terminar se isto lhe será solicitado.

ESET

ESET propõe dois softwares que permitem erradicar TDSS

Para a versão TDL 4:

• http://download.eset.com/special/EOlmarikTdl4Cleaner.exe

Para a versão TDL3:

• http://download.eset.com/special/EOlmarikRemover.exe

Bitdefender

BitDefender proposta de desinfecção contra rootkit TDL4/ TDSS:

• http://www.bitdefender.fr/NW2150-fr--BitDefender-Releases-Free-Removal-Tool-for-TDL4.html

FixTDSS de Symanec

• http://www.symantec.com/security_response/writeup.jsp?docid=2010-090608-3309-99

Outro método

Ir os arquivos legítimos por arquivos infectados, a reparação de Windows pode reparar isto e colocar os arquivos legítimos no lugar :

Reparar Windows XP
Reparar o arranque do Vista

Verificação

É recomendado fazer um scan em linha para verificar que não restou nada das aplicações infestadas.

• Acesse os site do scan en ligne Kaspersky (Com Internet Explorer).
• Abaixo à direita, clique em Iniciar Online-scanner.
• Na nova janela que se afixa, clique em « Eu aceito ».
• Aceite os Controles ActiveX.
• Escolha « Desktop » para o scan.

Lve (escolha « Arquivo Texto) o relatório em seu Desktop.

Utilização do scan online : ajuda

Note : Se você receber a mensagem "A licença do Kaspersky On-line scanner está desatualizado", vá para Adicionar / Remover Programas e desinstale On-Line Scanner, log no site da Kaspersky para tentar novamente a linha de varredura.

Se o panda scan online da Kaspersky está indisponíveis online use o BitDefender:
[Http: / Panda / www.pandasecurity.com/france/homeusers/solutions/activescan/]
[Http: / / www.bitdefender.com/scan8/ie.html BitDefender]

Desativar / reativar a Restauração do Sistema

É necessário desativar e depois reativar a restauração do sistema para limpar pois os pontos de restauração podem estar infectados:

• Para XP.
• Para Vista et Seven.

Autres informations:
http://forum.malekal.com/trojan-alureon-trojan-tdss-t21456.html
http://www.drweb.com/...
http://www.sophos.fr/support/knowledgebase/article/55430.html
http://www.malekal.com/TDSS_patch_atapi_tdlcmd.dll.php

Tradução feita por Ana Spadari

A ver igualmente

Comunidade de assistência e de conselho.

• Fórum

Este documento, intitulado « Suprimir o rootkit : W32/TDSS - Alureon »a partir de Kioskea (pt.kioskea.net) está disponibilizado sob a licença Creative Commons. Você pode copiar, modificar cópias desta página, nas condições estipuladas pela licença, como esta nota aparece claramente.