|
Rootkit (по-русски, "руткит") — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.
В системах Windows под rootkit принято подразумевать программу, которая внедряется в систему и перехватывает системные функции (Windows API). Перехват и модификация низкоуровневых API-функций, в первую очередь, позволяет такой программе достаточно качественно маскировать свое присутствие в системе. Кроме того, как правило, rootkit может маскировать присутствие в системе любых описанных в его конфигурации процессов, каталогов и файлов на диске, ключей в реестре. Многие rootkit устанавливают в систему свои драйверы и службы (они также являются "невидимыми").
Лечение систем, зараженных вредоносными программами семейства Rootkit.Win32.TDSS, производится с помощью утилиты TDSSKiller.exe.
Лечение зараженной системы
- Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку на зараженной (или потенциально зараженной) машине, используя программу-архиватор (например, WinZip).
- Запустите файл TDSSKiller.exe.
- Дождитесь окончания сканирования и лечения. Перезагрузка компьютера после лечения требуется.
В ходе своей работы утилита при запуске без параметров:
- Производит поиск скрытых сервисов в реестре. Если утилита смогла определить скрытые сервисы как принадлежащие TDSS, она производит их удаление.
Иначе, пользователю выдается запрос на удаление сервиса.
Удаление производится при перезагрузке.
- Проверяются системные драйверы на предмет наличия их заражения, в случае обнаружения заражения утилита выполняет поиск резервной копии зараженного файла.
Если копия обнаружена, то файл восстанавливается из этой копии. Иначе, выполняется лечение.
- По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.2.0_20.12.2009_15.31.43_log.txt
- По окончании работы утилита предлагает выполнить перезагрузку для завершения лечения.
При следующей загрузке системы драйвер выполнит все запланированные операции и удалит себя.
Параметры запуска утилиты TDSSKiller.exe из командной строки
-l <имя_файла> - запись отчета в файл.
-v - ведение подробного отчета (необходимо вводить вместе с параметром -l).
-d <имя_сервиса> - принудительное задание имени зловредного сервиса для поиска.
-o <имя_файла> - сохранить в заданный файл дамп, необходимый для анализа в случае проблем с детектированием.
Например, для сканирования компьютера с записью подробного отчета в файл report.txt (который создастся в папке, где находится утилита TDSSKiller.exe) используйте следующую команду:
TDSSKiller.exe -l report.txt
Признаки заражения
- Признаки заражения системы вредоносной программой Rootkit.Win32. TDSS первого и второго поколения (TDL1, TDL2)
Для опытных пользователей, можно отследить перехваты следующих функций в ядре:
- IofCallDriver;
- IofCompleteRequest;
- NtFlushInstructionCache;
- NtEnumerateKey;
- NtSaveKey;
- NtSaveKeyEx.
Используя, например, программу Gmer:
- Признаки заражения системы вредоносной программой Rootkit.Win32. TDSS третьего поколения (TDL3)
Обнаружить заражение вредоносной программой Rootkit.Win32. TDSS третьего поколения (TDL3) можно с помощью программы Gmer, которая детектирует подмену объекта "устройство" системного драйвера atapi.sys.
|
1 029 
08.02.2010 13:32
