lunes, julio 04, 2011

detectar si estas infectado por el virus TDL4



NOTICIA:

TDL-4, una botnet que podría ser indestructible
La empresa de seguridad Kaspersky ha estudiado la cuarta generación de una botnet, TDL, que asegura que establecer comunicaciones cifradas y se convierte en un antivirus para impedir su detección.



Ha sido un investigador de la empresa de seguridad Kaspersky quien ha dicho que la botnet TDL-4 podría ser “indestructible”. Como muestra decir que el nombre, TDL-4, no hace sino demostrar que es la cuarta generación de la botnet, que se ha estado alterando en los últimos años. Según Kaspersky, TDL-4 es un ejemplo de cómo los creadores de malware han mejorado drásticamente la botnet respecto a sus predecesores.
“Los escritores de malware han extendido la funcionalidad de la programación, cambiando los algoritmos utilizados para cifrar los protocolos de comunicación entre los bots y los servidores de comando y control de la botnet, e intentando asegurarse de que tienen acceso a los ordenadores infectados incluso en los casos en los que los centros de control de la botnet están cerrados”, escribía Kaspersky en su blog SecureList. Esencialmente, los propietarios de TDL están intentando crear una botnet ‘indestructible’ que esté protegida contra ataques, competidores y compañías antivirus”, afirmaba la compañía de seguridad.
Clave en los algoritmos de TDL-4 es un algoritmo mejorado que cifra las comunicaciones entre los ordenadores infectados y las órdenes de la botnet. Una vez que la conexión entre el comando y el ordenador está activado, las órdenes son transmitidas a través de una conexión HTTPS, lo que impide que cualquiera tome el control.
Para impedir que la eliminen, TDL-4 infecta el ordenador de forma que la botnet arranca antes que el propio sistema operativo y se mantiene alejado de los programas antimalware. Es más, la botnet elimina otros archivos maliciosos que podrían ser detectados por herramientas de seguridad para poder mantenerse en los ordenadores de los usuarios.




Cómo eliminar malware de la familia Rootkit.Win32.TDSS (aka Tidserv, TDSServ, Alureon)


Esta sección explica los métodos de eliminación de malware complicado, cuando el usuario tiene que participar en el proceso de desinfección. Por ejemplo, cuando se requiere modificar el registro del sistema o ejecutar una herramienta especial. Si no ha encontrado la información buscada en esta sección, por favor someta una solicitud al Soporte Técnico de Kaspersky Lab.

Un rootkit es una herramienta o un grupo de herramientas que sirve para ocultar las trazas de presencia del intruso, de otros programas maliciosos o sí misma en el sistema operativo.

En los sistemas operativos Windows, un rootkit es un programa que penetra el sistema y intercepta las funciones del sistema (Windows API). Un rootkit puede esconder su presencia en el sistema con éxito interceptando y modificando las funciones del API de nivel bajo. Además un rootkit suele ocultar ciertos procesos, directorios, archivos, y claves de registro. Muchos rootkits instalan sus controladores y servicios (son “invisibles” también) al sistema.

La herramienta TDSSKiller.exe ha sido diseñada para desinfectar los sistemas infectados con malware de la familia Rootkit.Win32.TDSS.

Desinfección del sistema infectado

Descargar el archivo TDSSKiller.zip y extraer (usando WinZip, por ejemplo) su contenido en una carpeta en el equipo (potencialmente) infectado.
Lanzar el archivo TDSSKiller.exe.
Esperar el fin de escaneo y desinfección. Es necesario reiniciar el equipo después de desinfectarlo.

Cómo utilizar la herramienta:

Haga clic en el botón Start scan para iniciar el análisis;
La herramienta buscará los objetos maliciosos y sospechosos.



El análisis puede revelar dos tipos de objetos:

objetos maliciosos (ha sido identificado el programa malicioso que infectó el objeto);
objetos sospechosos (es imposible definitivamente identificar el programa malicioso).

Al terminar el análisis, la herramienta sale una lista de objetos detectados con detalles.
La herramienta decide que acción aplicar a los objetos maliciosos de forma automática: Desinfectar (Cure) o Eliminar (Delete).
El usuario selecciona qué hacer con los objetos sospechosos. Ppor defecto - Ignorar (Skip).

Seleccione la acción Cuarentena (Quarantine) para añadir los objetos detectados a la cuarentena.
Por defecto, la carpeta de cuarentena se ubica en el directorio raíz del disco de sistema, p.e. C:TDSSKiller_Quarantine23.07.2010_15.31.43.



Haga clic en el botón Next para aplicar las acciones seleccionadas y salir el resultado.

Se puede necesitar reiniciar el equipo después de la desinfección.



Por defecto, la herramienta sale el reporte al directorio raíz del disco de sistema (el disco donde está instalado el sistema operativo – C: en el caso general).
El nombre del fichero de reporte es como Nombre_de_la_herramienta.Versión_Fecha_Tiempo_log.txt

Por ejemplo, C:TDSSKiller.2.4.0_23.17.2010_15.31.43_log.txt.

Los argumentos de la línea de comandos para ejecutar la herramienta TDSSKiller.exe:

-l - nombre del archivo log;
-qpath - la carpeta de cuarentena (será creada de no existir);
-h - ver la lista de argumentos posibles.
-sigcheck - detectar todos los driver sin la signatura digital como sospechosos.
-tdlfs - permite detectar el sistema de archivos TDLFS creado por el rootkit TDL 3/4 en los últimos sectores del disco duro para guardar sus archivos. Es capaz de mover todos esos archivos a la cuarentena.


Use los siguientes argumentos para cancelar las preguntas sobre acciones:

-qall - copiar todos los objetos a la cuarentena (inclusive los no infectados);
-qsus - copiar sólo los objetos sospechosos a la cuarentena;
-qmbr - copiar todos los MBR a la cuarentena;
-qcsvc - copiar el servicio a la cuarentena;
-dcsvc - eliminar el servicio.

Por ejemplo, si desea escanear un equipo y guardar un log detallado al archivo report.txt (será guardado en el directorio de la herramienta TDSSKiller.exe), use el siguiente comando:

TDSSKiller.exe -l report.txt


Síntomas de la infección


Los síntomas de la infección con malware de la familia Rootkit.Win32.TDSS generación primera/segunda (TDL1, TDL2)

Los usuarios avanzados pueden monitorizar la intercepción de las siguientes funciones en el kernel:

IofCallDriver;
IofCompleteRequest;
NtFlushInstructionCache;
NtEnumerateKey;
NtSaveKey;
NtSaveKeyEx.



Los síntomas de que el sistema está infectado con el programa malicioso Rootkit.Win32. TDSS de la generación tercera (TDL3)

Es posible detectar la infección con el programa malicioso Rootkit.Win32.TDSS de la generación tercera (TDL3) usando la herramienta Gmer. Esta herramienta detecta la sustitución del objeto “dispositivo” del controlador de sistema atapi.sys.



herramientas de detección y desinfección

herramienta TDSSKiller.exe http://support.kaspersky.com/sp/downloads/utils/tdsskiller.zip

herramienta Gmer Gmer

FUENTES: http://www.itespresso.es/tdl-4-una-botnet-que-podria-ser-indestructible-51760.html

http://support.kaspersky.com/sp/faq/?qid=208280686

No hay comentarios.: