Двадцатигранник | Дата: Среда, 11.03.2020, 13:05 | Сообщение # 1 |
Сержант
Группа: Проверенные
Сообщений: 35
Награды: 0
Репутация: 0
Статус: Offline
| Necurs Rootkit как удалить
Своё название этот вирус получил от своего самого первого образца - TDSServ. Но настоящее имя этого руткита - TDL (имеются также другие названия - Necurs Rootkit, Alureon, TDSServ.) Детектируется антивирусами под именами:
Trojan.Win32.DNSChanger, Trojan.FakeAlert, BackDoor.Tdss.565. Necurs Rootkit По этой ссылке можно посмотреть на то, как какой из ныне существующих антивирусов, детектирует этот класс вирусов. Нужно отметить, что в примере детект производится над вирусом третьего поколения TDL3, который осуществляет подмену atapi.sys. В настоящее время существует насчитывается три поколения этого вируса: TDL, TDL2, TDL3
Поведение
После заражения системы, вирус блокирует загрузку и\или обновление антивирусных программ. Также в некоторых случаях, некоторые модификации блокируют Safe Mode. Происходит это за счёт того что вирус модифицирует ключ реестра: Код: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\aliserv3.sys HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aliserv3.sys или Код: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\clbdriver.sys HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\clbdriver.sys В двух примерах показаны случаи с блокировкой для разновидностей - aliserv и clb. Создаёт этот вирус записи в реестре с нижеследующими именами. Приведена таблица масок вирусов этого класса. (Возможно она не полная, поэтому по мере узнавания новымх масок, она будет пополняться). Символы **** - это любое чередование\последовательность цифр и символов латинского алфавита. Например: ESQULwgndckayvvbwntaknkvujqunwkitljqs.sys Как видно по таблице в имени вируса есть первые пять символов характеризующие его маску.
Маски вируса TDSS|Поколение вируса
clb****| seneka****| UAC****| qaopdx****| tdss****|TDL MSIVX****| qxvxc****| qasfky****| kbiwkm****| hjqrui****| qeyekr****| msliksurcr****| SKYNET****| aliserv****| ovfsth****| msqpdx****| kungsf****| ESQUL****| vsfoce****| H8SRT***| rotscx****| quadra****| dgm****| tdl****|TDL3 ytasfw****|TDL3 WZSZX****| _VOID****| 4DW4R3****| PRAGMA****|
Имена файлов от этого вируса также можно определить по маске. Расширения файлов бывают следующие: *.sys, *.dll, *.dat, *.ocx, *.db, *.log.
Удаление Necurs Rootkit
Удалить вирус можно несколькими способами, мы рассмотрим наиболее простые и распространённые.
1. Открываем Диспетчер Устройств - Вид - Показать скрытые устройства. В списке Драйвера устройств не Plug and Play можно найти драйвер такого устройства имя которого характерно только для вируса TDSS. Правой кнопкой мыши(ПКМ)по такому устройству - Отключить. И после чего можно удалить (ПКМ - Удалить) 2. Можно воспользоваться утилитой для удаления руткита TDSS TDSS remover. Скачайте архив, запустите, после сканирования, если вирус есть, нужно выделить галочками пункты относящиеся к вирусу. !!!Будьте внимательны, в некоторых случаях утилита может выдавать на удаление файлы антивирусов. 3. Также можно воспользоваться сканированем антируткита GMER, по окончанию сканирования утилита создаст лог, который можно проанализировать и составить скрипт для выполнения и удаления вредоносных записей. Анализировать лог GMER можно как вручную, так и с помощью автоматического анализатора для этого лога - Парсер логов GMER 4. Обнаружить и удалить вирус можно с помощью альтернативных утилит, используемых в лечении: ComboFix. "Руководство по применению." 5. И наконец можно удалить вирус с помощью консольной утилиты касперского TDSSKiller.zip. Производит поиск скрытых сервисов в реестре. Если утилита смогла определить скрытые сервисы как принадлежащие TDSS, она производит их удаление. Иначе, пользователю выдается запрос на удаление сервиса. Удаление производится при перезагрузке. Проверяются системные драйверы на предмет наличия их заражения, в случае обнаружения заражения утилита выполняет поиск резервной копии зараженного файла. Если копия обнаружена, то файл восстанавливается из этой копии. Иначе, выполняется лечение. По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\). Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt Например, C:\TDSSKiller.2.2.0_20.12.2009_15.31.43_log.txt По окончании работы утилита предлагает выполнить перезагрузку для завершения лечения. При следующей загрузке системы драйвер выполнит все запланированные операции и удалит себя. Параметры запуска утилиты TDSSKiller.exe из командной строки:
-l <имя_файла> - запись отчета в файл. -v - ведение подробного отчета (необходимо вводить вместе с параметром -l). -d <имя_сервиса> - принудительное задание имени зловредного сервиса для поиска. -o <имя_файла> - сохранить в заданный файл дамп, необходимый для анализа в случае проблем с детектированием.
Например, для сканирования компьютера с записью подробного отчета в файл report.txt (который создастся в папке, где находится утилита TDSSKiller.exe) используйте следующую команду: Код: TDSSKiller.exe -l report.txt -v По этой ссылке - утилиты для борьбы с вирусами - можно узнать больше об утилите TDSSKiller.
P.S. Для автоматизации запуска консольной утилиты, можно воспользоваться GUI-интерфейсом - Quick Killer
Надеемся что эта информация поможет быть вам во всеоружии перед незванными гостями на вашем компьютере. Успехов в лечении.
Necurs Rootkit как удалить
|
|
| |