Archivio

Posts Tagged ‘tdl3’

Virus MBR, a volte ritornarno…

15 Febbraio 2011 2 commenti

Tanti tanti anni fa, si parla di quando ero un ragazzo e avevo il 486, andavano di moda i virus MBR… virus minuscoli che si insidiavano nel Master Boot Record degli HardDisk, e da li facevano i loro comodi. Poi, vuoi per la loro crescente complessita’, vuoi perche’ era facile, allora, trovarli, i virus si sono evoluti e sono andati a insidiare altre parti del disco.

Mi e’ capitato recentemente di dover “ripulire” un paio di portatili. Di solito me la cavo con qualche scan di antivirus, e qualche operazione “manuale”. Invece questa volta, dopo giorni e giorni di pulizie, non riuscivo ad avere un sistema operativo totalmente stabile e funzionale. Ogni tanto mi tornava fuori qualche Trojan qua e la… avevo un errore ricorrente nel svchost.exe… ma gli antivirus (Avg, Spybot S&D, Trojan Remover) non trovavano nulla di particolare. Allora mi sono deciso a indagare piu’ a fondo.

E sono venuto cosi’ a conoscenza del TDL3 (o TDSS, dipende come sempre dall’antivirus) e dei suoi compagni di merende, i rootkit MBR.

Come funziona il TDL3? Beh, e’ molto, molto sagace. Prima di tutto, non e’ un virus nuovo.. e’ in giro da fine 2009, e nonostante questo, non viene tutt’ora rilevato dagli Antivirus (da qui, AV).
E’ un rootkit kernel mode, capace di nascondersi, appunto, nel kernel, cosi’ da eludere gli AV. Ad aggravare la cosa, il team che lo ha programmato, almeno agli inizi del 2010, era costantemente attento alle tecniche sviluppate dagli AV per trovarlo e rimuoverlo, tanto da arrivare ad aggiornare il TDL anche piu’ di una volta al giorno. Il dropper del TDL3, quando viene eseguito, necessita dei privilegi di amministratore, carica in memoria il diriver del rootkit, e se ci riesce diventa impossibile da rilevare. Se l’UAC e’ disabilitato, il dropper e’ in grado di infettare anche Vista e Seven.

I vari files del TDL3, ossia il driver, 2 librerie e 1 files di configurazione, sebbene gia’ non rilevabili, vengono poi messi in una filesystem proprietario e criptato con tanto di MFT, negli ultimi settori del disco fisso. La lettura/scrittura dei dati criptati in questo FS avvene on-the-fly da parte del virus stesso.

Il rootkit poi infetta un driver di sistema (ad esempio atapi.sys), aggiungendo 824 Bytes del suo loader nella sezione del file dedicata alle risorse, e reindirizza l’entry point del file per fare eseguire questo loader, che poi si incarichera’ di far partire il rootkit dal file system criptato. Il driver originale pero’ non viene alterato di dimensioni, e per fare si che non si notino differenze nemmeno con un hash del driver stesso, il rootkit applica dei filtri a livello di I/O per impedire agli AV di leggere il vero contenuto del disco, nascondendo il driver infetto e gli ultimi settori del disco.

Il computer, una volta infettato, diventa uno zombie in attesa di comandi da parte dei programmatori. Comandi che vengono trasferiti ciptati per mezzo di SSL (tanto per non lasciarsi scappare nulla ad un eventuale sniffer). Il rootkit poi inietta all’interno dei processi, specialmente dei browser, le proprie dell (tdlcmd.dll e tdlwsp.dll, che risiedono nel filesystem criptato), e reindirizzano la navigazione degli utenti simulando i click (probabilmente per l’online advertising). Questo almeno a gennaio 2010. +

E ora, come liberarsi di questa bestia nera? Beh, i Kaspersky Lab hanno rilasciato TDSSKiller.exe, un programmino in grado di rilevare e rimuoverere il TDL3, e magari anche qualche suo parente rootkit MBR. Lo potete trovare, free, a questa pagina con le relative istruzioni in inglese.

Altra utility un po piu’ generica, utile per trovare un po tutti i virus MBR, e’ MBRCheck.exe. E’ in grado di riparare e correggere MBR corrotti/infettati in pochi step. La potete trovare a questa pagina, sempre con istruzioni in inglese.

Una ultima utility, ancora piu’ da “smanettoni”, e’ GMER, a questo indirizzo.

Bad Behavior has blocked 139 access attempts in the last 7 days.

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. maggiori informazioni

Questo sito utilizza i cookie per fonire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o clicchi su "Accetta" permetti al loro utilizzo.

Chiudi