Únete
a la comunidad
Inscríbete
Haz una pregunta »

Eliminar el rootkit W32/TDSS

Eliminar el rootkit W32/TDSSESSupprimer le rootkit : W32/TDSS - AlureonFRSuprimir o rootkit : W32/TDSS - AlureonBR
Mayo 2013


El rootkit W32/TDSS


Un rootkit es un conjunto de programas que tienen por finalidad tomar el control de un PC como root. Es un programa malicioso muy complejo que se instala en el PC, e incluso a veces en el mismo núcleo del sistema. De este modo es capaz de tomar el control del PC sin ser detectado. Dicho de otro modo, es un conjunto de programas que permiten a los hackers instalarse en un PC (ya infectada o explotando una falla de seguridad) e impedir su detección. Una vez instalado el rootkit se convertirá en el administrador del sistema. Todos los programas, incluidos los antivirus y anti-spywares deben pasar por él antes de realizar cualquier acción. La expansión de los rootkits se ve favorecida por el hecho que la mayoría de usuarios de Windows trabajan con los derechos de administrador, lo que facilita la instalación de los rootkits.
Para mayor información haz clic aquí

Este rootkit también es llamado: Tidserv, TDSServ, Alureon, TDL3...

Ejemplo de síntomas : Redirección de páginas, bloqueo de programas de seguridad, ...

Lista no exhaustiva de Rootkit TDSSserv :

C:\WINDOWS\system32\tdssadw.dll
C:\WINDOWS\system32\tdssinit.dll
C:\WINDOWS\system32\tdssl.dll
C:\WINDOWS\system32\tdsslog.dll
C:\WINDOWS\system32\tdssmain.dll
C:\WINDOWS\system32\tdssservers.da
C:\WINDOWS\system32\drivers\tdssserv.sys
c:\windows\system32\TDSSblat.dat
c:\windows\system32\TDSSqoaa.log

Las últimas variantes , reconocidas por una serie de letras kizeuiqjdjqklmhehujdk > (aleatorio) ...

c:\windows\system32\drivers\kbiwkm(aleatorio).sys
c:\windows\system32\kbiwkm(aleatorio).dat
c:\windows\system32\kbiwkm(aleatorio).dll

c:\windows\system32\drivers\UAC(aleatorio).sys
c:\windows\system32\UAC(aleatorio).dll
c:\windows\system32\UAC(aleatorio).dat

c:\windows\system32\drivers\seneka.sys
c:\windows\system32\seneka(aleatorio).dll
c:\windows\system32\seneka(aleatorio).dat

c:\windows\system32\drivers\ESQUL(aleatorio).sys
c:\windows\system32\ESQUL(aleatorio).dll
c:\windows\system32\ESQUL(aleatorio).dat

c:\windows\system32\drivers\geyek(aleatorio).sys
c:\windows\system32\geyek(aleatorio).dll
c:\windows\system32\geyek(aleatorio).dat

C:\windows\system32\drivers\hjgrui(aleatorio).sys
c:\windows\system32\hjgrui(aleatorio).dll
c:\windows\system32\hjgrui(aleatorio).dat

c:\windows\system32\drivers\gxvxc(aleatorio).sys
c:\windowssystem32\gxvxc(aleatorio).dll
c:\windowssystem32\gxvxc(aleatorio).dat

c:\windows\system32\drivers\MSIVX(aleatorio).sys
c:\windows\system32\MSIVX(aleatorio).dll
c:\windows\system32\MSIVX(aleatorio).dat

c:\windows\system32\drivers\SKYNET(aleatorio).sys
c:\windows\system32\SKYNET(aleatorio).dll
c:\windows\system32\SKYNET(aleatorio).dat

c:\windows\system32\drivers\kungsf(aleatorio).sys
c:\windows\system32\kungsf(aleatorio).dll
c:\windows\system32\kungsf(aleatorio).dat

Lamentablemente la lista sería demasiado larga para enumerarla aquí, pero estos son una buena parte de los Rootkits más comunes en la actualidad y las últimas variantes conocidas....


Pasos previos


I)
  • Desactiva el residente de Spybot
  • Si tienes TeaTimer (el residente de Spybot), desactívalo de lo contrario obstaculizará la desinfección, impidiendo la modificación de las BHO y la reparación del registro.
  • Ejecuta Spybot, luego haz clic en Modo y selecciona Modo avanzado
  • En la columna de la izquierda, haz clic en Herramientas, luego en Residente.
    • Desmarca la casilla delante de Resident "TeaTimer"




Importante:
Una vez terminada la desinfección, vuelve a activar "TeaTimer".
Pero atención:
"TeaTimer" te solicitará, mediante pop ups, aceptar o no las modificaciones del registro (hechas durante la desinfección), acéptalas todas sin excepción.

Luego, deberás permanecer atento cuando "TeaTimer" muestre alertas: acepta una modificación únicamente si conoces de donde proviene.

II)
Bajo Vista: Desactiva el UAC durante la desinfección. Luego vuelve a activarlo.

Cómo detectarlo


Hijackthis no detecta la infección TDSS.

Será necesario utilizar una herramienta de diagnostico como: Random's System Information Tool (RSIT) o Gmer.(Por el momento Gmer no es compatible con Windows 7)

Random's System Information Tool (RSIT)

  • Descarga Random's System Information Tool (RSIT) en el Escritorio.
  • Haz doble clic en RSIT.exe para ejecutar el programa (Bajo Vista y 7, haz clic derecho sobre RSIT.exe y selecciona "Ejecutar como administrador").
  • En la ventana que se abre, haz clic en Continue
  • Si HijackThis (versión actualizada) no se encuentra o no es detectado en el PC, RSIT lo descargará (si el cortafuegos te solicita permiso, acepta), deberás aceptar la licencia.
  • Al terminar el análisis se abrirán dos archivos de texto. Postea el contenido de log.txt (el que aparece en pantalla) y de info.txt (que aparece en la barra de tareas) en el foro de Virus y seguridad de Kioskea.

Gmer

  • Descarga Gmer en tu Escritorio.
  • Descomprímelo en una carpeta especial o en tu Escritorio.
  • Desconéctate de Internet y cierra todos los programas.
  • Haz doble clic en Gmer.exe (o clic derecho y selecciona "Ejecutar como administrador"). Te aparecera:


  • Haz clic en la pestaña Rootkit, luego marca únicamente las casillas Files, Services y Registry y haz clic en Scan.
  • Cuando termine el scan, haz clic en Copy.
  • Abre el bloc de notas, luego haz clic en el menú Edición y selecciona Pegar.
  • El reporte será copiado al bloc de notas.
  • Guarda el archivo en tu Escritorio y postea el contenido en el foro de Virus y seguridad de Kioskea.


También puedes utilizar otras herramientas de diagnostico para detectar esta infección.

Métodos de desinfección


Varias herramientas pueden ser utilizadas para erradicar esta infección. Lo recomendado es pasar como mínimo dos herramientas y luego ver con una programa de diagnostico si la infección está aun presente.
Puede darse el caso que no puedas descargar directamente las herramientas en tu equipo. En este caso lo que tienes que hacer es cambiarles el nombre al momento de descargarlos. Si aun asi no consigues descargar los programas, te recomiendo que solicites ayuda en el foro de Virus y seguridad.

1er método: Combofix

  • Descarga Combofix (de sUBs) en tu Escritorio.
  • Desactiva temporalmente cualquier protección residente (Antivirus, anti-spywares, etc.)
  • Haz doble clic en ComboFix.exe (bajo Vista, haz clic derecho sobre ComboFix.exe y selecciona Ejecutar como administrador).
  • Acepta la licencia.
  • El programa te preguntará si deseas instalar la Consola de recuperación. Es por precaución en caso de que tengas algún problema con tu sistema. Te recomiendo instalarla.
  • Cuando la operación haya terminado, aparecerá un reporte. Postea ese reporte en tu próxima respuesta del foro.
  • El reporte se encuentra en: %SystemDrive%\ComboFix.txt (%systemdrive% es la partición donde esta instalado Windows; por lo general C:\ )
  • Ver también: Cómo utilizar Combofix

2do método: Malwarebytes'Anti-Malware

  • Descarga MalwareBytes' Anti-Malware en el Escritorio.
  • Instala MalwareBytes' Anti-Malware
    • Si falta el archivo COMCTL32.OCX, puedes descargarlo de aquí.
  • Actualiza el programa (En la interfaz del programa haz clic en la pestaña Actualizar y dale clic a Buscar Actualizaciones)
  • Una vez terminada la actualización, haz clic en la pestaña Escáner, marca la casilla Realizar un examen completo y haz clic en Examinar. En la ventana que aparece selecciona todos los discos duros y haz clic en Examinar
  • Una vez terminado el análisis, se abre una ventana indicando que el examen ha terminado con éxito, dale clic a Aceptar
  • Si MalwareByte's no detecto nada, haz clic en Aceptar. Aparece un reporte, ciérralo.
  • Si MalwareByte's encontro alguna infección, haz clic en Mostrar los resultados, luego haz clic en Eliminar Seleccionados.
  • Nota: reinicia el PC si MalwareByte's necesita reiniciar para terminar la eliminación.

3er método: TDSS Remover

  • Descarga TDSS Remover en el Escritorio
  • Crea una nueva carpeta en el Escritorio y descomprime el archivo allí
  • Ejecuta el programa haciendo doble clic en "Remover.exe", el análisis se hace de manera automática, si la infección es detectada, los elementos ocultos (hidden) serán mostrados.
  • Luego seleccionalos y haz clic en "Delete/Repair Selected".
  • Aparecerá un mensaje solicitándote reiniciar el PC (reboot) para terminar la eliminación, pulsa '"YES".

4to método: TDSSKiller de Kaspersky

  • Descarga TDSSKiller en el Escritorio
  • Crea una nueva carpeta en el Escritorio y descomprime el archivo allí
  • Ejecuta el programa haciendo doble clic en "TDSSKiller.exe", el análisis se hace de manera automática, si la infección es detectada, los elementos ocultos (hidden) serán mostrados.
  • Luego seleccionalos y haz clic en "Delete/Repair Selected".
  • Puede aparecer un mensaje solicitándote reiniciar el PC (reboot) para terminar la limpieza, pulsa "Y" para reiniciar el PC ("close all programs and choose Y to restart").


Información adicional sobre esta herramienta Aquí

===Otro método==
Este rootkit puede reemplazar archivos legitimos por archivos infectados, en este caso la reparación de Windows puede poner el archivo original en su lugar:

Reparar Windows XP
[ Reparar el inicio de Vista]

Verificar si se ha eliminado la infección


Se recomienda hacer un análisis en línea para comprobar que no existan aplicaciones infectadas.
  • Entra a la página del escáner Kaspersky en línea (con Internet Explorer)
  • Haz clic en Kaspersky Online Scanner
  • En la ventana que aparece, haz clic en Aceptar
  • Acepta los Controles ActiveX
  • Selecciona Mi PC para el análisis.
  • Una vez terminado el análisis, guarda el reporte en tu Escritorio.


Si necesitas ayuda, ver. Cómo escanear tu PC en línea con Kaspersky

Nota: Si te aparece el mensaje La licencia de Kaspersky On-line Scanner ha expirado, dirígete a Agregar o quitar programas y desinstala On-line Scanner, entra nuevamente a la página de Kaspersky y vuelve a intentar hacer el análisis en línea.

Si el análisis en línea de Kaspersky no está disponible puedes utilizar Panda en línea o BitDefender:

Panda en línea
BitDefender en línea

Desactivar / Reactivar Restaurar sistema


Es necesario desactivar y luego reactivar Restaurar sistema para purgarla, ya que los puntos de restauración pueden estar infectados:

Véase también

Comunidad de asistencia y consejos.

Supprimer le rootkit : W32/TDSS - Alureon
Supprimer le rootkit : W32/TDSS - Alureon
Por V-X el 3 de julio de 2009
Suprimir o rootkit : W32/TDSS - Alureon
Suprimir o rootkit : W32/TDSS - Alureon
Por ninha25 el 14 de julio de 2011
El artículo original fue escrito por V-X. Traducido por Carlos-vialfa.
Este documento intitulado « Eliminar el rootkit W32/TDSS » de Kioskea (es.kioskea.net) esta puesto a diposición bajo la licencia Creative Commons. Puede copiar, modificar bajo las condiciones puestas por la licencia, siempre que esta nota sea visible.
Tutorial de MalwareBytes' Anti-Malware Eliminar Navipromo / Magic.Control / Instant Access / EgdAccess
Entrevista exclusiva para Kioskea
Kevin Turner
Recibe nuestro newsletter

salud.kioskea.net

Tutorial de MalwareBytes' Anti-Malware
Eliminar Navipromo / Magic.Control / Instant Access / EgdAccess