Una de las familias de rootkit más notorio en la Internet de hoy es la familia TDSS Rootkit que se conoce como Rootkit.Win32.TDSS, Tidserv, TDSServ o Alureon. El rootkit comenzó a difundirse en 2008 y es una de las causas de [no autorizada Redirecciones de Google: http://www.astuces.net/2010/01/15/another-fix-for-unauthorized-google-redirects-security/] que los usuarios experimentan cuando el rootkit está activo en su sistema de PC.
Uno de los instrumentos diseñados para detectar y eliminar rootkits TDSS familia es TDSSKiller Kaspersky, que recientemente fue lanzado en una nueva versión.
La herramienta no sólo para detectar y eliminar rootkits de la familia, sino también TDSS rootkits conocidos como Sinowa, Whistler, Phanta, RTU y Empedrado. Además, puede ser capaz de utilizar la heurística para detectar rootkits desconocidos que se activa o se instalen en el sistema.
Descripción detallada de los objetos sospechosos que se encuentran
- servicio oculto - una clave de registro que se oculta de la lista estándar;
- servicio bloqueado - una clave de registro que no se puede abrir mediante norma;
- archivo oculto - un archivo en el disco que está oculto de la lista estándar;
- archivo bloqueado - un archivo en el disco que no se puede abrir mediante norma;
- Forjado archivo - cuando se lee en la normamedios, el contenido original se devuelve en lugar de la real;
- Rootkit.Win32.BackBoot.gen - una infección MBR sospecha bootkit con un desconocido.
[ 
La aplicación es un software portable para Windows que puede ser ejecutado desde cualquier lugar después de que se ha descargado y descomprimido. Se analizará tanto los servicios y controladores, así como los sectores de arranque por defecto. Es posible eliminar cualquiera de los servicios y los conductores o los objetos de arranque sectores de la exploración.
Un clic en Inicio Scan se ejecuta el sistema de exploración que tuvo menos de un minuto en un rápido sistema Windows 7. Posibles archivos peligrosos se muestran después de la exploración en la página de resultados.
[ 
Es generalmente una buena idea de la búsqueda Bing o Google por el nombre de archivoantes de mover el rootkit para poner en cuarentena para desinfectar un sistema comprometido. Otra opción es enviar el archivo sospechoso a un servicio como [Laboratorio de Virus: http://support.kaspersky.com/virlab/helpdesk.html] o [Virus Total: http://www.virustotal.com/] para escanear que hay una segunda opinión.
TDSSKiller tiene varios modificadores de línea de comando:
- -L-guardar un registro en el archivo;
- carpeta de cuarentena qpath ruta (se crea automáticamente si no existe);
- -H - esta ayuda;
- -Sigcheck - detectar todos los controladores no firmados como sospechoso;
- -Tdlfs - detectar el sistema de archivos TDLFS, que el TDL 3.4 rootkits crear en los últimos sectores de un disco duro para almacenar sus archivos. Es posible poner en cuarentena todos los archivos.
Las siguientes teclas permiten ejecutar la utilidad en el modo silencioso:
- -QALL - cuarentena todos los objetos (incluidos los limpios);
- -QSUS - cuarentena de objetos sospechosos solamente;
- -Qmbr - cuarentena todos los MBR;
- -Qcsvc de cuarentena del servicio;
- -Dcsvc-eliminar el servicio.
- -Silencio - exploración en el modo silencioso (no muestra ninguna ventana) para poder ejecutar la utilidad de una manera centralizada en la red.
El rootkit libreremovedor soporta 32 bits y Windows de 64 bits. Una descarga es [ofrecido en: http://support.kaspersky.com/viruses/solutions?qid=208280684] Base de Conocimiento de Kaspersky.
Aucun commentaire:
Enregistrer un commentaire