Информационная безопасность компьютерных систем и защита конфиденциальных данных
SecuRRity.Ru » Софт » Бесплатные программы для удаления новых модификаций BackDoor.Tdss
Софт

Бесплатные программы для удаления новых модификаций BackDoor.Tdss

автор: Administrator | 17 марта 2010, 00:16 | Просмотров: 15435
теги: Софт, руткит, BackDoor.Tdss, угрозы безопасности, TDL3, программы, защита компьютера



Хорошо известно, что в большинстве случаев, вирусописатели, идут, как минимум, на один шаг впереди своих "врагов" — разработчики и производители антивирусных программ. И в этом нет ничего сверхъестественно: сначала, вирусописатели составляют совсем не легкие "загадки", и только после этого, специалисты должны разгадывать их.

А по мнению экспертов из области информационной безопасности, автор руткита TDSS, является одним из лучших профессионалов в своей области, который может перевернуть вверх дном все старания антивирусных компании. Так как, автор работает постоянно над руткитом, "улучшает" его код и добавляет новые возможности — таким образом, делая почти невозможным обнаружение присутствия BackDoor.Tdss на зараженной системе.

И как только какой-нибудь антивирус начинает обнаружить руткит — автор, изменяет "тактику"; короче говоря: кошки-мышки... Об этой игре, можно прочитать здесь: Rootkit TDL 3 (на английском).

Ниже, хочу представить Вашему вниманию, программы, с помощью которых можно обнаружить и удалить новые модификаций бэкдора TDSS:
» TDSS Remover от eSage Lab:
размер: 497 kB
ссылка: tdss_remover_latest.rar

» TDSS Cleaner от Norman:
размер: 3.7 MB
ссылка: Norman_TDSS_Cleaner.exe

» TDSS Killer RC3 от SecureBlog:
размер: 109 kB
ссылка: TDSSKiller.rar

» Anti-malware (MBAM) от MalwareBytes:
размер: 4.9 MB
ссылка: mbam-setup.exe

» TDSSKiller от Kaspersky Lab:
размер: 152 kB
ссылка: tdsskiller.zip

» Hitman Pro от SurfRight:
размер: 5.4 MB
ссылка: HitmanPro35.exe

» CureIt! от Dr.Web:
размер: 32.3 MB
ссылка: setup.exe

» Vba Antirootkit от VirusBlokAda:
размер: 1.5 MB
ссылка: Vba32arkit_beta.rar


Важно: Вы должны знать что, ни одна из этих программ не гарантируют обнаружения или успешное удаление руткита BackDoor.Tdss!

UPD: Постарайтесь сохранить файлы программ, под другим именем, используя комбинации из разных букв и цифр.


Симптомы заражения:
Как сказали эксперты Dr.Web, обнаружить данный руткит — "очень сложная задача". Именно для этого я и добавил все эти программы, а не только одну, так как, именно"они", (были) в силе обнаружить модификаций TDSS. Но, тем не менее, полагаться только на возможности одной программы — нельзя.

Насчёт симптомов, "ситуация" не лучше, разве что зараженный компьютер работает медленнее, или, как утверждают некоторые пользователи с инфицированным компьютером, они не могут попасти на странице сайта Google, так как идёт перенаправление на другой сайт. Помимо этого, не исключено что зловред будет блокировать доступ пользователя к антивирусным сайтам.

Также, были версии TDSS, которые конфликтовали с ОС (читайте комментарий Zorro).

Помимо этого, для тех, кто хотят проверить вручную если компьютер заражен, используя онлайновые антивирусы, могут проверить следующие драйверы:
atapi.sys
iaStor.sys
nvstor32.sys
nvata.sys
nvstor.sys
nvgts.sys
nvatabus.sys
iaStorV.sys
ahcix86s.sys
viamraid.sys
lsi_scsi.sys
vmscsi.sys
IdeChnDr.sys
jraid.sys
si3112r.sys
lsi_sas.sys
ahcix86.sys
si3112.sys
viasraid.sys
nvrd32.sys
fasttx2k.sys
nvraid.sys
SiSRaid.sys
adpu160m.sys
nvidesm.sys
UlSata.sys
Si3114r5.sys
vsmraid.sys
iteraid.sys
ftsata2.sys
adpu320.sys
iteatapi.sys
Fasttrak.sys

@ Гуляющий_во_Тьме
17 марта 2010, 06:48 | |  
Аватар пользователя Гуляющий_во_Тьме
карма: +108.02
комментариев: 15
новостей: 0
группа: Посетители
может ещё расскажешь полный симптомокоплекс, как по поведению ОС определить, есть ли в ней этот самый BD.TDSS? думаю, это было бы полезно)))
@ Administrator
17 марта 2010, 17:54 | |  
Аватар пользователя Administrator
карма: +4676.166
комментариев: 239
новостей: 1005
группа: SysOp
Гуляющий_во_Тьме,
Я обновлил пост и добавил немного информации о симптомов.
@ Ulster
26 марта 2010, 19:40 | |  
Аватар пользователя Ulster
карма:
комментариев: 0
новостей: 0
группа: Гости
Ещё симптом - невозможно зайти ни на один антивирусный сайт и соответственно обновить антивирус. У стоявшего drweb сразу истек срок лицензионного ключа.
@ Administrator
26 марта 2010, 22:50 | |  
Аватар пользователя Administrator
карма: +4676.166
комментариев: 239
новостей: 1005
группа: SysOp
Ulster,
Спасибо за информацию. А насчёт лицензионного ключа, Вы обратились в саппорт?
@ Ulster
27 марта 2010, 08:57 | |  
Аватар пользователя Ulster
карма:
комментариев: 0
новостей: 0
группа: Гости
Имелся ввиду drweb curiet! Пришлось качать последнюю версию по локалке так как все антивирусные сайты блокируются. Не помог, вирус Вackdoor.tdss.565 детектируется но не удаляеться.
@ Zorro
28 марта 2010, 18:23 | |  
Аватар пользователя Zorro
карма:
комментариев: 0
новостей: 0
группа: Гости
1.
Обнаружить заражение вредоносной программой Rootkit.Win32. TDSS третьего поколения (TDL3) можно с помощью программы Gmer, которая детектирует подмену объекта “устройство” системного драйвера atapi.sys.

2.
Лечение систем, зараженных вредоносными программами семейства Rootkit.Win32.TDSS, производится с помощью утилиты TDSSKiller.exe.

Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку на зараженной (или потенциально зараженной) машине, используя программу-архиватор (например, WinZip).
Запустите файл TDSSKiller.exe.
Дождитесь окончания сканирования и лечения. Перезагрузка компьютера после лечения требуется.

В ходе своей работы утилита при запуске без параметров:
Ищет в реестре сервисы с именами:
UACd.sys;
MSIVXserv.sys;
TDSSserv.sys;
gaopdxserv.sys;
gxvxcserv.sys.

В случае их обнаружения утилита удаляет сервис и файл, на который он ссылается, при следующей перезагрузке системы;
Утилита выполняет сканирование памяти ядра с целью обнаружения и снятия перехватов, выставленных руткитом.
Проверяются системные драйверы на предмет наличия их заражения, в случае обнаружения заражения утилита выполняет их лечение.

По окончании работы, в случае обнаружения зловредных сервисов или файлов, утилита предлагает выполнить перезагрузку для завершения лечения. При загрузке системы драйвер выполнит удаление зловредных ключей реестра и файлов, после чего удалит себя из списка сервисов.
@ Administrator
29 марта 2010, 16:27 | |  
Аватар пользователя Administrator
карма: +4676.166
комментариев: 239
новостей: 1005
группа: SysOp
Ulster,
А если не секрет, каким образом Вы его удалили?

Zorro,
Большое спасибо за дополнительную информацию. Насчёт Gmer'а, где-то читал, что не может обнаружить последних версий руткита. Надеюсь, что это не так.
@ Zorro
30 марта 2010, 09:24 | |  
Аватар пользователя Zorro
карма:
комментариев: 0
новостей: 0
группа: Гости
B7ackAnge7z

Как бороться с вредоносными программами семейства Rootkit.Win32.TDSS

http://support.kaspersky.ru/faq/?qid=208636926


@ Administrator
30 марта 2010, 19:50 | |  
Аватар пользователя Administrator
карма: +4676.166
комментариев: 239
новостей: 1005
группа: SysOp
Zorro,
Gmer действительно хорошая программа, только проблема в том, что автор TDL3 постоянно обновляет его, пытаясь обходить защиту различных антируткит-утилит. По поводу вышесказанно мною, рекомендую прочитать про analysis of TDL rootkit 3rd generation
(пароль от архива: tdl3_analysis).
@ Zorro
31 марта 2010, 00:19 | |  
Аватар пользователя Zorro
карма: +713.764
комментариев: 39
новостей: 117
группа: Посетители
analysis of TDL rootkit 3rd generation

Thank very_good You
Обратная связь

Информация


Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.