BackDoor.Tdss.565 – Infecteaza Atapi.sys (Solutie pentru devirusare)

atapi.sys infectedIn ultima saptamana am fost confruntat (si cred ca nu doar eu) cu un nou virus deosebit de periculos. Caracteristica sa cea mai evidenta si care-l face dificil de indepartat este infectarea fisierului atapi.sys, localizat in C:\Windows\system32\drivers.

Aceasta face ca PC-ul sa nu mai porneasca in anumite cazuri, rezultand un frumos BSOD (Blue Screen of Death) sau restartarea PC-ului la cateva minute dupa pornire. Aceste doua situatii apar atunci cand aveti nefericita ideea de a sterge fisierul, pe care antivirusul l-a catalogat in mod corect, de altfel, ca fiind infectat.
De cele mai multe ori insa, PC-ul va functiona, dar cu o performanta mult scazuta.

Este vorba de noul BackDoor.Tdss.565 (si posibil alte variante) care folosindeste tehnica backdoor pentru a permite controlarea PC-ului de la distanta de catre un atacator.
Specificul lui, este folosirea unei tehnici rootkit prin care-si mascheaza prezenta in sistem infectand un driver, de cele mai multe ori atapi.sys.

Inainte de a continua articolul, ca regula generala, NU stergeti niciodata un fisier infectat a carui extenise este .sys, inainte de a verifica cu atentie pe internet ca nu este un fisier legitim al Windows-ului. In caz contrar PC-ul va refuza sa mai porneasca.

BackDoor.Tdss.565 isi injecteaza codul in procesul sistemului la instalare si apoi il foloseste pentru a crea si porni un serviciu temporar – tdlserv:

[HKLM\system\currentcontrolset\services\tdlserv]
Imagepath=” \??\C:\DOCUME~1\\LOCALS~1\Temp\3.tmp”
Type=1

Pentru a-si asigura incarcarea viitoare in mod automat, driver-ul infecteaza driverele de sistem pe drive-ul fizic unde se afla localizat sistemul de operare (spre exemplu, atapi.sys). Bitsii originali ai driver-ului infectat si ai codului rootkit-ului sunt pastrate in ultimele sectoare ale discului. De asemenea, ultimele sectoare ale discului servesc drept partitie criptate ascunsa, folosita pentru a stoca componentele tdlcmd.dll si tdlwsp.dll si de asemenea fisierul de configurare config.ini.
Rootkit-ul ascunde modificarile aduse sistemului de operare si implementeaza injectarea celor doua biblioteci de date amintite (.dll-uri) in acord cu instructiunile fisierului de configurare.


Daca doriti o descriere completa si toate detaliile tehnice accesati acest link.

Trecand la lucrurile practice si anume DEVIRUSAREA, se poate face in cel putin 3 moduri:

1. Descarcati Dr.Web CureIT, scanati complet PC-ul si curatati toate fisierele infectate gasite.

2. Descarcati Dr.Web LiveCD, scrieti imaginea pe un disc (CD\DVD), bootati de pe el si scanati, iar apoi curatati toate infectiile gasite – metoda recomandata


3. Daca primele doua metode nu functioneaza dintr-un motiv sau altul, sau functioneaza partial, descarcati ComboFix de aici: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Apoi asigurati-va ca ati inchis toate programele care ruleaza (yahoo messenger, firefox, etc) si rulati ComboFix. Va va intreba daca sa inceapa curatirea. Confirmati cu Yes de fiecare data. Nu-l opriti in timp ce scaneaza si dezinfecteaza sistemul. E posibil ca in timpul rularii lui desktop-ul sa dispara, dar nu va ingrijorati.
La sfarsit va afisa rezultatele scanarii. Mi le puteti trimite prin e-mail.

Succes!

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

19 responses to “BackDoor.Tdss.565 – Infecteaza Atapi.sys (Solutie pentru devirusare)”

  1. yo9fah

    Salut Radu.

    Saptamana asta am avut parte si eu de o restartare a PC-ului, inexplicabila. Ca sa detaliez, … am HDD-ul in doua: Windows 7 si Linux Mandriva. Windows 7 aveam o versiune de la MS, build 7.260. Bineinteles ca avand dual boot, aveam acel grub, creat de Mandriva. Am hotarat sa fac upgrade la buid 7.600. Misiune indeplinita ! Normal, facand upgrade, grubul a fost sters, cu aceasta ocazie. Am stat o buna perioada asa, adica fara sa mai refac grubul. Zilele trecute, am fost surprins de o restartare a PC-ului, pe care chiar nu am reusit sa mi-o explic. Am incercat mai multe variante ca sa pot scapa de acest lucru, in fine … nu mai detaliez, fara sorti de izbanda, insa … !
    Acum, revin la Grub. Am hotarat sa refac Grub-ul. Creat fara probleme cu DVD-ul de la Mandriva. Misiune indeplinita. Rezultatul: NU se mai restarteaza PC-ul !
    Inca nu pot fi sigur daca a fost un virus sau altceva, … chestia este ca am scapat de acel restart, suparator !

  2. mike

    Buna

    mi s-a intamplat si mie chestia asta , se poate sa am virusul ???
    si cum se poate remedia ?

    Problem signature:
    Problem Event Name: BlueScreen
    OS Version: 6.1.7600.2.0.0.768.3
    Locale ID: 1033

    Additional information about the problem:
    BCCode: 50
    BCP1: 9EC7007F
    BCP2: 00000000
    BCP3: 8FF83C1A
    BCP4: 00000000
    OS Version: 6_1_7600
    Service Pack: 0_0
    Product: 768_1

    Files that help describe the problem:
    C:\Windows\Minidump\120109-12760-02.dmp
    C:\Users\MiKe\AppData\Local\Temp\WER-31574-0.sysdata.xml

    Read our privacy statement online:
    http://go.microsoft.com/fwlink/?linkid=104288&clcid=0x0409

    If the online privacy statement is not available, please read our privacy statement offline:
    C:\Windows\system32\en-US\erofflps.txt

    Problem signature:
    Problem Event Name: BlueScreen
    OS Version: 6.1.7600.2.0.0.768.3
    Locale ID: 1033

    Additional information about the problem:
    BCCode: 50
    BCP1: 9EC4007F
    BCP2: 00000000
    BCP3: 909AFC1A
    BCP4: 00000000
    OS Version: 6_1_7600
    Service Pack: 0_0
    Product: 768_1

    Files that help describe the problem:
    C:\Windows\Minidump\120209-12916-01.dmp
    C:\Users\MiKe\AppData\Local\Temp\WER-28657-0.sysdata.xml

    Read our privacy statement online:
    http://go.microsoft.com/fwlink/?linkid=104288&clcid=0x0409

    If the online privacy statement is not available, please read our privacy statement offline:
    C:\Windows\system32\en-US\erofflps.txt

  3. Tweets that mention FaraVirusi.com » BackDoor.Tdss.565 – Infecteaza Atapi.sys (Solutie pentru devirusare) -- Topsy.com

    […] This post was mentioned on Twitter by Radu, andrei. andrei said: RT: @faravirusi: BackDoor.Tdss.565 – Infecteaza Atapi.sys (Solutie pentru devirusare) http://bit.ly/5tM8qh […]

  4. Edward

    @mike Trebuie sa ne trimiti acel minidump pe care-l gasesti aici:
    Files that help describe the problem:
    C:\Windows\Minidump\120209-12916-01.dmp
    C:\Users\MiKe\AppData\Local\Temp\WER-28657-0.sysdata.xml

    la adresa: faravirusicom@gmail.com si ma voi uita pe el pentru a-ti da un rezultat concludent.

    Have a nice day !

  5. yo9fah

    Hmmmm … să mă scuzați, dar aici “miroase”, a Windows crack-uit … 😉

  6. Edward

    Nu, chiar deloc, miroase a tcpip.sys cu probleme (mai ales daca cel ce relateaza problema are o placa de baza cu chipset intel sau o placa wireless intel), dar trebuie sa fiu sigur. Vrem sa aflam daca e virus sau nu :).

  7. mike

    bun

    am scanat cu dr.cureit si a gasit ceva dump trojan in system32.( nu mai stiu exact cum ii zicea, ca l-am scanat inainte de a citi raspunsurile voastre) si i am dat sa curete si sa l stearga .

    @Eduard mersi de raspuns , cum pot sa ajung la fisier si sa-l copiez ca sa pot sa ti l trimit ??? te rog ecplica mi.

  8. Mikay

    @ mike, folderul “AppData” e un folder ascuns, probabbil la fel si folderul “Minidump”
    intra in Control Panel -> Apperance and Personalization -> Folder Oprions, mergi la tab-ul View si bifezi Show hidden files, folders and drives si dai Ok. Acum ar trebui sa le gasesti.

  9. mike

    L am gasit dar cum il trimit sau copiez???
    mersi

  10. oolivian

    Am patit si eu joi asa ceva. Mi-a aratat ca driver.sys e infectat, avira a tipat imediat, l-am bagat in carantina si vineri dimineata nu a mai pornit. se tot restarta inainte sa intre in windows. apareau liniutele de incarcare si apoi se restarta. A trebuit sa reinstalez xp-ul daca nu am fost destul de intelegent sa imi fac backup la C.

  11. Edward

    Il trimiti ca atasament intr-un mail. Daca e prea mare pentru mail, il pui pe rapidshare.com, rapidshare.de, sau transfer.ro si in mail imi dai doar link-ul pe care ti-l da unul dintre site-urile enumerate mai sus. O sa ma uit pe el cat de repede pot.

  12. jabiilord

    As avea si eu o intrebare legata de securitatea folderului drivers din system32:

    Sincer deocamdata nu am testat asa ceva cu toate ca aveam in plan, dar ma gandesc ca poate tu ai incercat:

    Daca schimbi permisiunile folderului si a fisierelor existente in el si anume:
    system – full control si administrators – read si read + execute fara modify sau delete

    Acest lucru nu confera “100%” protectie impotriva rootkit-urilor (adica nu mai pot modifica sau pune fisiere in drivers)?

    Nu de alta dar din cate e logic orice virus care intra in calculator intra cu anumite drepturi cel mult administrator si cel mai des intalnit, deci nu are drepturi de system pentru a face ce e programat acel rootkit?

    Eu unul nu am vazut si nici nu am auzit sau citit pe undeva ca vrun virus/trojan sau rootkit sa foloseasca drepturi de system, poate gresesc ….

    Nu stiu daca anumite programe vor avea de suferit ca de exemplu antivirusi care isi creeaza aceste drivere.

    1. edward

      @jabiilord

      Nu, nu vei putea instala aplicatii ca Adobe premiere, Codecuri, Update-uri la directX si unele jocuri. Permisiunile de la folderele de system sunt bine studiate de cei de la Microsoft si sunt configurate optim. Garantez ca ceea ce propui tu iti va aduce inconveniente mari la instalarea anumitor aplicatii/drivere/update-uri si la stabilitatea sistemului.

      Virusii cei mai smecheri se infiltreaza la boot cu permisiune de ring-0 (Kernel drivers) sau pornesc ca serviciu. Daca ai UAC activ ai fi protejat doar de virusii ce se instaleaza atata timp cat utilizatorul lucreaza. Practic pe vista si pe seven, userul chiar daca are cont de admin, nu este admin decat dupa ce a trecut de confirmarile UAC solicitate de aplicatiile ce au nevoie de ele. Dar sunt virusii de care ziceam mai sus … pe care nu prea ai cum sa-i opresti fara un antivirus.

      Ca sa trag o concluzie: permisiunile System sunt DOAR pentru nucleul sistemului de operare. Toate programele ce se instaleaza sau ruleaza folosesc cel mult permisiunile de Administrator.

  13. jabiilord

    Da, ce zici u stiam destul de bine, eu ma refeream in cazul in care ti-ai instalat sistemul, ai instalat cam tot ce trebuie programe, jocuri, etc. nu ar conferi o securitate in plus in fata multor rootkit-uri, plus ca ar mai fi o restrictie care se poate pune pe cheile de registri de startup atat HKLM\… cat si HKLU\….

    Si cum marea majoritate a noastra folosesc calculatorul doar la chestii destul de simple ca navigat pe internet, office, unele jocuri, mess, etc eventual alte chestii care nu necesita atatea drepturi pe folderul drivers, nu as vedea de ce nu ar merge chestia asta.

    Ca idee ai si tu dreptatea ta, vroiam doar sa stiu doar daca ai incercat vreo data asa ceva pe mai multe calculatoare cu diverse aplicatii instalate si diversi utilizatori (si aici ma gandeam ca administrator de retea cu mai multe calculatoare unde stii destul de bine cam ce face fiecare pe calculatoare, ce drepturi au in folosirea lor si ce softuri folosesc – in cazul meu).

    Si stii cum se zice in general “lucrurile care ti se par cele mai grele de multe ori au rezolvari cat se poate de simple”.

    Ps: – antivirusul nu intra in discutie pentru ca e necesar, dar am vazut si calculatoare facut zob cu tot cu antivirus, update-uri de windows + antivirus, etc (ca exemplu avg 7.5, 8, nod32 si bitdefender 9).

    1. edward

      Eu am incercat si nu merge. De asemenea, subiectul a fost dezbatut pe MSDN si nimeni nu a reusit sa faca ce vrei tu. Aplicatiile rulau instabil si driverele nu puteau sa initieze componentele. In orice caz, esti liber sa incerci, dar ca admin de retea ar trebui sa stii ca nu tot ce auzi sau iti trece prin cap e sigur sa-l incerci.

      Administratorii de retea folosesc back-up-uri si sisteme gen GO-BACK ca Faronics DeepFreeze sau altele asemenea, care sunt virus-proof deocamdata. Eu iti spun asta din experienta, am administrat computerele unei universitati (vreo 120 in total), si toate au mers bine pentru ca nu am incercat pe ele tot ce mi-a trecut prin cap.

      Dar daca esti in continuare curios, si nu-mi crezi sfatul de membru silver MSDN … poti incerca. Sa nu te superi daca nu va merge si va trebui sa dai un system restore.

  14. jabiilord

    Asa cum ti am zis eram doar curios daca a incercat cineva pana acum si in nici un caz nu as fi incercat asa fara sa testez pe o masina virtuala cu diverse soft-uri instalate.
    Oricum merci de raspunsuri.

  15. mike

    @edward
    nu am primit nici un raspuns,
    se poate sa am infectat si e-mailul?

Leave a Reply