• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    Eliminar Rootkit TDSS TDL4/TDL3/TDL2/TDL1/Tdl

    Guía de cómo eliminar el Rootkit TDSS (TDL4) Nombre: Rootkit.Win32.TDSS.tdl Tipo: Rootkit, Bootkit, Malware, BotNet Alias: Rootkit.Win32.TDSS, TDL1 , TDL2, TDL3, TDL4, TDL5, Tidserv, TDSServ, TDSS, MBR Rootkit, Alureon, Mal/TDSSPack, Mal/TDSSPk, Packed.Win32.TDSS, Rootkit Hidden, W32.Tidserv, ...

          
    1. #1
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.917

      Investigación Eliminar Rootkit TDSS TDL4/TDL3/TDL2/TDL1/Tdl

      Guía de cómo eliminar el Rootkit TDSS (TDL4)


      Nombre: Rootkit.Win32.TDSS.tdl
      Tipo: Rootkit, Bootkit, Malware, BotNet
      Alias:Rootkit.Win32.TDSS, TDL1 , TDL2, TDL3, TDL4, TDL5, Tidserv, TDSServ, TDSS, MBR Rootkit, Alureon, Mal/TDSSPack, Mal/TDSSPk, Packed.Win32.TDSS, Rootkit Hidden, W32.Tidserv, Backdoor.Tidserv, Rootkit.Win32.TDSS.tdl3, Generic Rootkit.d, Rootkit.Win32.BackBoot.gen, Trojan.TDSS, BKDR_TDSS, Rorpian, Backdoor:W32/TDSS, Trojan.Agent, Trojan:Win32/Alureon, Bootkit TDL4, Net-Worm.Win32.Rorpian.


      La familia de Rootkits TDSS ha estado en continua evolución desde su aparición en el año 2008 y haciéndose cada vez más popular y efectivo para el uso de los ciberdelincuentes cuyo objetivo principal es el de hacerse con el control total de los PCs infectados y utilizarlos como zombis para su red de bots (BotNet).

      Aprovechándose de diferentes artimañas en sus últimas variantes este es capaz de poder infectar todos los sistemas de Windows XP, Windows Vista y Windows 7 en 32bit y 64bit respectivamente, al trabajar también como Bootkit (MBR Rootkit) infecta el sector de arranque del disco duro, lo que hace que se cargue un código malicioso antes del inicio del sistema operativo. TDSS utiliza una función de infección de drivers que garantiza su inicio y funcionamiento en las etapas más tempranas del funcionamiento del sistema operativo.

      Como consecuencia, es muy difícil identificar una infección del rootkit TDSS en el sistema y su tratamiento es un problema serio. A Lo que la mayoría de los Antivirus tradicionales no funcionan ante este y es por eso que desde Infospyware les compartimos esta guía de eliminación de TDSS.



      Uno de los métodos de infección es por medio de un falso códec para ver un vídeo


      Los principales síntomas de "TDSS TDL" son:

      Antivirus informando de un Virus en Svchost.
      Errores en el inicio de Windows por la kdcom.dll
      Navegadores web (IE, Firefox, Chrome) Secuestrados.
      Blue-Screen al intentar ejecutar alguna herramienta de desinfección.
      Instalación de sus malwares asociados: Oferbox, PriceGong, AutocompletePro
      Problemas y errores varios a la hora de querer formatear o luego de.
      Los resultados de las búsquedas de Google redireccionan a sitios nocivos.
      Bloqueo al intentar ejecutar un Antivirus u otra herramientas de desinfección.
      Detección constante de URL maliciosas por parte del Antivirus local que utilicemos.
      Bloqueo del acceso a sitios webs relacionados a la seguridad informática por ej: InfoSpyware.com.
      Algunas herramientas de sistema de Windows están desactivadas. Administrador de Tareas, el Editor del Registro y otros.





      .

    2. #2
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.917

      Investigación Cómo eliminar Rootkit TDSS (TDL4)

      Cómo eliminar Rootkit TDSS (TDL4)




      Herramientas necesarias:
      Existen algunas variantes del Rootkit TDSS documentadas en casos en el Foro de InfoSpyware, que tras un intento fallido de desinfección del equipo por parte de un Antivirus tradicional o con alguna otra herramienta, donde el sistema queda prácticamente muerto sin posibilidad de acceder normalmente a este y tirando continuamente pantallazos de la muerte (Blue-Screen).


      Para estos casos extremos es necesario utilizar la: Consola de Recuperación de Windows.

      Una vez dentro de la consola de Win 7 o Vista, escribir uno a uno tal cual:
      • bootrec.exe /fixmbr >>> Presionar enter.
      • bootrec.exe /fixboot >>> Presionar enter.
      • bootrec.exe /rebuildbcd >>> Presionar enter, exit.
        Reiniciar el sistema.






      Pasos para la eliminación:

      1.- Imprima estas instrucciones ya que es necesario continuar con todos los programas y ventanas cerradas.


      2.- Desconecte o desenchufe la conexión de internet de su equipo completamente. Esto es debido que algunas variantes de TDSS se comunican a un servidor exterior para auto infectarse al detectar que van a ser eliminadas.


      3.- Descomprima en su escritorio y ejecute el Antirootkit TDSSKiller presionando en "Start scan"


      *Nota* En algunas ocasiones es necesario renombrar el archivo TDSSKiller.exe por otro nombre por ej 123456.com o similar. Ver el manual para más detalles.



      4.- En caso de ser detectado algún Rootkit como TDL4, aplicarle "Cure"






      5.- Presionar en "Reboot now" para reiniciar el sistema y terminar con la desinfección de TDSS.



      6.- Ejecute MalwareBytes' Antimalware previamente actualizado, realizando un "escaneo completo" para eliminar todos los malwares asociados que se hayan podido descargar con TDSS.




      7.- Reiniciar el equipo, comprobar los resultados y pegar los reportes generados por MBAM y TDSSKiller en el post del foro en donde lo estén ayudando.



      Para más información:

      ¿Qué son los Rootkits?

      Whistler Bootkit un nuevo ejemplar de la evolución de los Rootkits.

      Eliminar MBR Rootkit/Mebroot/Sinowal (Malwares del sector de arranque).








      ________________________________________________

      Esto es una guía de esfuerzo personal. Úsela bajo su propio riesgo.

      Forospyware.com no se hace responsable de los problemas que pueden ocurrir usando esta información. Si necesita ayuda personalizada, puede pegar su log de HijackThis en el
      Foro Oficial de HijackThis en español


      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.