En los sistemas operativos Windows, un rootkit es un programa que penetra al sistema e intercepta las funciones del sistema (Windows API). Un rootkit puede esconder su presencia en el sistema con éxito interceptando y modificando las funciones del API de nivel bajo. Además un rootkit suele ocultar ciertos procesos, directorios, archivos, y claves de registro. Muchos rootkits instalan sus driver y servicios (son “invisibles” también) al sistema.
Kaspersky Lab ha desarrollado la herramienta TDSSKiller que puede eliminar los rootkit conocidos (TDSS, Sinowal, Whistler, Phanta, Trup, Stoned) y desconocidos.
La herramienta tiene la interfaz gráfica. Soporta los sistema operativos de 32 y 64 bit.
Cómo desinfectar el sistema infectado
Descargar el archivo TDSSKiller.zip y extraer sus contenidos en una carpeta en el equipo infectado (o sospechado) mediante WinZip, por ejemplo;
Ejecutar el archivo TDSSKiller.exe;
La herramienta comienza buscar los objetos maliciosos/sospechosos en el sistema cuando hace un clic en el botón Start scan.
La herramienta detecta los siguientes objetos sospechosos:
Hidden service – una llave de registro escondida del listado estándar;
Blocked service – una llave de registro que no se puede abrir por los medios estándar;
Hidden file – un archivo en el disco duro escondido del listado estándar;
Blocked file – un archivo en el disco duro que no se puede abrir por los medios estándar;
Forged file – un intento de leer por los medios estándar devuelve el contenido original en cambio del actual.
Rootkit.Win32.BackBoot.gen – un MBR sospechado de contener un bootkit desconocido.
Es muy probable que tales anomalías en el sistema son el resultado de la actividad de un rootkit. Todavía puede ser unas trazas de algún software legítimo.
Para realizar un análisis más profundo es necesario copiar el objeto detectado a la cuarentena por medio de la opción Copy to quarantine. El archivo no se eliminará en este caso!
Enviar los archivos guardados al Virus Lab o al VirusTotal.com.
Si el análisis profundo determina que los objetos son maliciosos en realidad, va a tener las siguientes opciones:
eliminar los objetos mediante la opción Delete;
restaurar el MBR (si el MBR es el problema) mediante la opción Restore.
Puede ser necesario reiniciar el equipo después de desinfectarlo.
No hay comentarios:
Publicar un comentario