Как обнаружить и удалить неизвестные руткиты?

 

 

О вирусах: Борьба с вирусами

 
 
 

Как обнаружить и удалить неизвестные руткиты?

К разделу "Борьба с вирусами"
2016 авг 12 ID: 5353
 
 
 
 

Rootkit (по-русски, "руткит") — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе. 

В системах Windows под rootkit принято подразумевать программу, которая внедряется в систему и перехватывает системные функции (Windows API). Перехват и модификация низкоуровневых API-функций, в первую очередь, позволяет такой программе достаточно качественно маскировать свое присутствие в системе. Кроме того, как правило, rootkit может маскировать присутствие в системе любых описанных в его конфигурации процессов, каталогов и файлов на диске, ключей в реестре. Многие rootkit устанавливают в систему свои драйверы и службы (они также являются "невидимыми").

Диагностика и лечение систем, зараженных как известными руткитами (TDSS, Sinowal, Whistler, Phanta, Trup, Stoned), так и неизвестными, производится с помощью утилиты TDSSKiller. 

 Список вредоносных программ

Backdoor.Win32.Phanta.a,b; Backdoor.Win32.Sinowal.knf,kmy; Backdoor.Win32.Trup.a,b; Rootkit.Boot.Aeon.a; Rootkit.Boot.Backboot.a; Rootkit.Boot.Batan.a; Rootkit.Boot.Bootkor.a; Rootkit.Boot.Cidox.a,b; Rootkit.Boot.Clones.a; Rootkit.Boot.CPD.a,b; Rootkit.Boot.Fisp.a; Rootkit.Boot.Geth.a; Rootkit.Boot.Goodkit.a; Rootkit.Boot.Harbinger.a; Rootkit.Boot.Krogan.a; Rootkit.Boot.Lapka.a; Rootkit.Boot.MyBios.b; Rootkit.Boot.Nimnul.a; Rootkit.Boot.Pihar.a,b,c; Rootkit.Boot.Plite.a; Rootkit.Boot.Prothean.a; Rootkit.Boot.Qvod.a; Rootkit.Boot.Smitnyl.a; Rootkit.Boot.SST.a,b; Rootkit.Boot.SST.b; Rootkit.Boot.Wistler.a; Rootkit.Boot.Xpaj.a; Rootkit.Boot.Yurn.a; Rootkit.Win32.PMax.gen; Rootkit.Win32.Stoned.d; Rootkit.Win32.TDSS; Rootkit.Win32.TDSS.mbr; Rootkit.Win32.ZAccess.aml,c,e,f,g,h,i,j,k; Trojan-Clicker.Win32.Wistler.a,b,c; Trojan-Dropper.Boot.Niwa.a; Trojan-Ransom.Boot.Mbro.d,e; Trojan-Ransom.Boot.Mbro.f; Trojan-Ransom.Boot.Siob.a; Virus.Win32.Cmoser.a; Virus.Win32.Rloader.a; Virus.Win32.TDSS.a,b,c,d,e; Virus.Win32.Volus.a; Virus.Win32.ZAccess.k; Virus.Win32.Zhaba.a,b,c.

Лечение зараженной системы 

  • Скачайте файл TDSSKiller.exe; 
  • Запустите файл TDSSKiller.exe на зараженной (или потенциально зараженной) машине;  
  • Дождитесь окончания сканирования и лечения. После лечения может потребоваться перезагрузка.  

Важно! 

  • Утилита имеет свой графический интерфейс.  
  • Утилита поддерживает 
    32-разрядные операционные системы: MS Windows XP SP2, MS Windows XP SP3, MS Windows Vista, MS Windows Vista SP1, MS Windows Vista SP2, MS Windows 7, MS Windows 7 SP1,  Microsoft Windows Server 2003 R2 Standard / Enterprise SP2, Microsoft Windows Server 2003 Standard / Enterprise SP2, Microsoft Windows Server 2008 Standard / Enterprise SP2. 
     и 
    64-разрядные операционные системы
    : MS Windows XP SP2, MS Windows XP SP3, MS Windows Vista, MS Windows Vista SP1, MS Windows Vista SP2, MS Windows 7, MS Windows 7 SP1, Microsoft Windows Server 2008 Standard / Enterprise x64 Edition SP2, Microsoft Windows Server 2003 R2 Standard / Enterprise x64 Edition SP2, Microsoft Windows Server 2003 Standard / Enterprise x64 Edition SP2, Microsoft Windows Server 2008 R2 Standard / Enterprise x64 Edition SP0 и выше.
  • Утилиту можно запускать в Обычном и в Безопасном режиме.

Работа с утилитой 

  • Работа утилиты начинается при нажатии на кнопку Начать проверку. Производится поиск вредоносных и подозрительных объектов;
  • Утилита может детектировать наличие следующих подозрительных объектов:
    • Скрытый сервис - ключ в реестре скрыт при перечислении стандартным способом;
    • Заблокированный сервис - ключ в реестре недоступен на открытие стандартным способом;
    • Скрытый файл - файл на диске скрыт при перечислении стандартным способом;
    • Заблокированный файл - файл на диске недоступен на открытие стандартным способом;
    • Подмененный файл - при чтении файла стандартным способом возвращается не то содержимое, которое есть на самом деле;
    • Rootkit.Win32.BackBoot.gen - подозрение на MBR, зараженную неизвестным буткитом.


С большой вероятностью подобные аномалии являются следствием активности руткита в системе. Но также могут быть следствием работы легитимных приложений.

  • Для подробного анализа необходимо скопировать обнаруженные объекты в карантин, выбрав действие Скопировать в карантин.
    Файл при этом удален не будет!
  • И далее отправить файлы в Вирусную Лабораторию или на сканирование VirusTotal.com.
  • Если в результате анализа будет точно установлено, что объекты зловредные, то их можно:
    • удалить, выбрав действие Удалить
    • восстановить (в случае MBR), выбрав действие Восстановить.

Параметры запуска утилиты TDSSKiller.exe из командной строки

-l <имя_файла> - запись отчета в файл. Можно указывать несуществующие на момент запуска пути. Необходимые папки будут созданы автоматически.
-qpath <путь_к_папке> - выбрать расположение папки с карантином (если она не существует, то будет создана);
-h - вывести справку по ключам;
-sigcheck - детектировать все драйвера без цифровой подписи как подозрительные;

ЗамечаниеУтилита будет детектировать драйвера без цифровых подписей или с недействительными подписями. Эти файлы не обязательно заражены! Такие драйвера детектируется как «неподписанный файл». Если Вы подозреваете, что это вредоносный файл, то отправьте его в Вирусную Лабораторию на проверку.

 
-tdlfs - детектировать наличие файловой системы TDLFS, создаваемой руткитами TDL 3/4 в последних секторах жесткого диска для хранения своих файлов. Поддерживается возможность копирования в карантин всех этих файлов.

При использовании следующих ключей действия запрашиваться не будут:

-qall - скопировать в карантин все объекты (в том числе и чистые);
-qsus - скопировать в карантин только подозрительные объекты;
-qboot - копировать в карантин все загрузочные сектора;
-qmbr - скопировать в карантин все MBR;
-qcsvc <имя_сервиса> - скопировать указанный сервис в карантин;
-dcsvc <имя_сервиса> - удалить указанный сервис;
-silent – тихий режим проверки (без показа пользователю каких-либо окон), для возможности централизованного запуска утилиты по сети;
-dcexact - лечение/удаление известных угроз автоматически (полезно в сочетании с ключом «-silent» при лечении множества компьютеров в сети).


Например
, для проверки компьютера с записью подробного отчета в файл report.txt (который создастся в папке, где находится утилита TDSSKiller.exe) используйте следующую команду:

TDSSKiller.exe -l report.txt 

 
 
 
 
Была ли информация полезна?
Да Нет
 

 
 

Отзыв о сайте

Напишите нам, если не нашли нужную информацию на странице, или оставьте отзыв о работе сайта, чтобы мы сделали его лучше.

Отправить Отправить

Спасибо за отзыв!

Лаборатория Касперского ценит каждое мнение.
Ваш отзыв будет принят во внимание