Browse: Home / , , , / Troianul TDSS\TDL3\Alureon – Devirusare + Informatii detaliate

Troianul TDSS\TDL3\Alureon – Devirusare + Informatii detaliate

By Radu FaraVirusi(com) on July 21, 2010

devirusare tdssTDSS (Alureon sau TDL3) este un troian ce contine o componenta rootkit si una de tip bot. Rootkit-ul este responsabil de ascunderea troianului pe disc si ofera gazduire criptata componentei bot.

De asemenea descarca si alti virusi in PC-ul infectat.

Este unul din virusii care dau probleme destul de mari in devirusare, de aceea am decis sa postez aici un ghid pentru devirusare completa si corecta.

Troianul creeaza urmatoarele fisiere:

  • C:\WINDOWS\_VOID\
  • C:\WINDOWS\_VOID\_VOIDd.sys
  • C:\WINDOWS\system32\UAC.dll
  • C:\WINDOWS\system32\uacinit.dll
  • C:\WINDOWS\system32\UAC.db
  • C:\WINDOWS\system32\UAC.dat
  • C:\WINDOWS\system32\uactmp.db
  • C:\WINDOWS\system32\_VOID.dll
  • C:\WINDOWS\system32\_VOID.dat
  • C:\WINDOWS\SYSTEM32\4DW4R3c.dll
  • C:\WINDOWS\SYSTEM32\4DW4R3sv.dat
  • C:\WINDOWS\SYSTEM32\4DW4R3.dll
  • C:\WINDOWS\system32\drivers\_VOID.sys
  • C:\WINDOWS\system32\drivers\UAC.sys
  • C:\WINDOWS\SYSTEM32\DRIVERS\4DW4R3.sys
  • C:\WINDOWS\SYSTEM32\DRIVERS\4DW4R3.sys
  • C:\WINDOWS\Temp\_VOIDtmp
  • C:\WINDOWS\Temp\UAC.tmp
  • %Temp%\UAC.tmp
  • %Temp%\_VOID.tmp
  • C:\Documents and Settings\All Users\Application Data\_VOIDmainqt.dll



Ii sunt asociate de asemenea cheile registry:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_VOIDd.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_VOID
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UACd.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\4DW4R3

Pentru devirusare exista un utilitar extrem de eficient de la Kaspersky, denumit TDSSKiller.
Il puteti descarca de la adresa:
http://support.kaspersky.com/downloads/utils/tdsskiller.exe

kaspersky tdsskiller

Odata rulat va scana automat sistemul si va solicita la final restartarea PC-ului.
Este recomandata la final o scanare completa si cu Dr.Web CureIT


Pentru cei care vor sa citeasca o analiza exhaustiva asupra virusului (cu multe detalii tehnice, scheme, grafice, etc), F-Secure a pus la dispozitia un PDF:
http://www.f-secure.com/weblog/archives/The_Case_of__TDL3.pdf

Posted in , , , | 4 Responses

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

4 responses to “Troianul TDSS\TDL3\Alureon – Devirusare + Informatii detaliate”

  1. Tweets that mention Troianul TDSSTDL3Alureon – Devirusare + Informatii detaliate -- Topsy.com
    Tweets that mention Troianul TDSSTDL3Alureon – Devirusare + Informatii detaliate -- Topsy.com
    July 21, 2010 at 12:44 PM |

    [...] This post was mentioned on Twitter by IT Stiri.ro, Radu. Radu said: Troianul TDSSTDL3Alureon – Devirusare + Informatii detaliate: TDSS (Alureon sau TDL3) este un troian ce contine … http://bit.ly/dq29Nn [...]

  2. Costin
    Costin
    July 21, 2010 at 5:37 PM | | Reply

    @Radu
    Salut! De vreo cateva zile ma atentioneaza Avira premium security suite 10 ca mi-a expirat licenta (am facut rost de o licenta pe 3 luni de la un prieten) si mai am 2 zile .Vreau si eu parerea ta : ce antivirus crezi ca ar fi o alternativa sau l-ar putea inlocui pe avira?
    Astept un raspuns … Multumesc!

    1. Radu FaraVirusi(com)
      Radu FaraVirusi(com)
      July 21, 2010 at 5:45 PM | | Reply

      @Costin: Tot Avira :)
      Gasesti aici o promotie inca valida: http://www.faravirusi.com/2010/05/11/avira-premium-security-suite-10-3-luni-licenta-gratuita/
      Poti folosi alt e-mail pentru inregistrare.

  3. Costin
    Costin
    July 22, 2010 at 10:36 PM | | Reply

    @Radu
    Mulrumesc foarte mult! Daca nu erai tu trebuia sa-mi cumpar un antivirus , inca o data multumesc !

Leave a Reply