Microsoft recomanda reinstalarea Windows din cauza unui rootkit

Rootkitul TDSS (cunoscut si sub numele de Alureon, Trojan:Win32/Popureb sau TLD4) a revenit in forta cu abilitatea de a strica MBR-ul harddiskului si de a preveni orice incercare ulterioara de rescriere a acestuia.
Anul trecut acelasi rootkit a devenit primul capabil sa infecteze sistemele Windows 64-bit.

Rootkitul infecteaza MBR-ul si apoi prin intermediul unei rutine DriverStartIo inlocuieste operatiunea de scriere cu cea de citire.

Initial Microsoft a recomandat reinstalarea sistemului de operare dar apoi s-a razgandit si a publicat o metoda de reparare a MBR prin intermediul Windows Recovery Console (ce presupune tot boot-area de pe CD de Windows) urmata de comanda
bootrec.exe /fixmbr

Am intrat si eu in posesia rootkitului si iata ce a iesit (click pe FullScreen):

Rootkitul ascunde fisierele hidden si extensiile fisierelor, creeaza niste drivere infectate si un shortcut al IExplorer pe Desktop spre o adresa ciudata.
Dupa reboot, ecranul ramane complet negru.
Am bootat de pe CD cu Windowx XP si Windows 7 si niciuna nu a dat roade.
In masina virtuala lucrurile nu merg in totalitate ca pe un sistem real deci exista sansa ca in realitate metoda sa functioneze.

In cazul ‘fericit’ in care te-ai infectat dar nu ai dat inca restart la PC, faravirusi.com iti prezinta urmatoarea metoda de devirusare:

Descarca TDSS Killer.exe, executa-l si apasa Start Scan

La sfarsitul scanarii selecteaza Restore si apasa Continue

Microsoft recomanda reinstalarea Windows

Apasa Reboot Now.

Reinstalare Windows virusi format

Dupa restart descarca Malwarebytes Anti-Malware, scaneaza complet PC-ul si elimina infectiile gasite.
Malwarebytes Anti-Malware

Security Evangelist

17 responses to “Microsoft recomanda reinstalarea Windows din cauza unui rootkit”

  1. calin

    o intrebare ca nu am inteles clar daca formatezi pcu si reinstalezi windousu se instaleza iar? daca teai infectat cu acest virus?

  2. pigulici

    nu scapi prin formatare, tre sa resestezi mbr(se poate face cu un hiren boot cd), dar oricum opierzi datele ca la formatare

  3. Catalin

    Cred ca in acest caz, ThreatFire ar fi potrivit sa-l aveti instalat, pentru ca ar putea detecta acel virus datorita comportamentului suspect, pe baza comportamentului, fara descarcarea semnaturilor sau cum se numesc, asa cum face un antivirus obijnuit.

  4. Silviu C.

    Sfatul celor de la MS este corect. Un sistem odata compromis nu mai poate fi “trusted”, oricat l-ai pieptana cu antivirusi, antimalware antirootkit etc…

    Ce nu mentioneaza articolul este ca in lumea normala nu se face “re-install” ci “re-imaging” si se scot fisierele de lucru ale utilizatorului din backup-uri.

  5. Costin@2011Blog

    @Sliviu C.
    Mi-ai luat cuvintele din gura … iti dau dreptate si sustin 100% afirmatiile pe care le-ai publicat.

    Ca sa nu mai stam cu griji ca vom fi infectati cu virusi, ca din intamplare am sters ceva foarte important, etc. cel mai bine e sa efectuam cate un backup la fiecare 2 saptamani. Poate e prea mult spus ” 2 saptamani “, dar cel putin la o saptamana … depinde cat de mult se lucreaza la respectivul PC si cate date sunt stocate in acest interval.

    @Gigi,
    Felicitari pentru articol !!! Foarte importanta aceasta atentionare.

  6. calin

    sau fara sa mai repari mbr cand formatezi stergi partiile si le refaci si ati scapat. eu asa zic decat sa complici cu programe ce repara mbr si cum a zis un coment de mai sus reparare mbr= pierderea tutoror partiilor deci e tot cam acolo format si refaci partiile sau repari mbr cu programe . daca stie gigi sau radu altceva care ar face sa nu pierzi partiile daca ai acest virus si sa rezolvi sa se repare mbr sa zica iei:)

  7. calin

    a da am uitat sa zoic ca eiu ma gandesc ca daca se strica mbr si dupa formatare tot s-ar putea sa ai erori la restu partiilor nerefacute . ca din cate stiu eu mbr e memoria care e responsabile pt partionarea hardului si o data stricata tre refacut tot

  8. Silviu C.

    In mod normal un bootrec.exe /fixmbr va crea un nou mbr *pastrand intacta* tabela de partitii.

  9. bogo

    @calin: de ce ai luat in calcul si posibilitatea rescrierii manuala mbr-ului (aviz cunoscatorilor – NERECOMANDAT CELOR NEAVIZATI!)? 🙂 works like a charm – daca stii ce faci… 🙂

    @gigi: ai luat in calcul si posibilitatea da v4 are “support” pe multiple arhitecturi (printre care si linux) nu? 🙂 PS: o analiza a codului sursa ar fi de nepretuit daca poti sa faci asta…daca nu, sunt multi care ar dori sa puna mana pe un dump al codului sursa 😀

  10. calin

    @bogo pt ca sa nu ai surprize neplacute am zis mai bine razi tot si repartitionezi hardu. asta e parerea mea ce poti face. si pt cei care au date importante in pc gen programe poze etc sa le puna pe un stik sau dv-duri ce e importat . bine acuma nu ziceti ca aveti x GB de muzica si XGB de filme jocuri etc ca alea le mai puteti lua eu ma refeream la poze anumite programe documente etc ce nu se mai pot lua de pe net. eu unul asa am

  11. bogo

    un backup poate sa-ti salveze viata de dureri de cap…sfatul meu (slightly off topic) e sa va luati un san sau chiar un hdd extern dublu capacitatii voastre totale de stocare si efectuati-va backup-urile cu recurenta la 1/5-1 saptamani…

    @calin da….ca sa scapi de dureri de cap, dar nu este batut in cui ca ai sa scapi si atunci. TLDv5 va veni cu niste abilitati impresionante…printre care si morphic adaptiveness (capacitate de split-uire continua si reintregirea lui din bucatele care si le lasa prin sectoare)…in alte cuvinte…we’re &^%$ :)…

  12. bogo

    @Admin fa ceva sa primesc si eu mail-urile de atentionare de noi comentarii… nu stiu daca altcineva ti-a spus-o…daca nu…iti zic eu…daca da…iti mai zic si eu 😀 spor!

  13. daniel

    niciodata nu e prea tarziu sa va faceti un backup la mbr cu mbrwizard sau altele …
    astfel se poate face restore

    sau daca exista info cu md5 si lista fisiere (fingerprint al sistemului) gen OSforensics (freeware cit e beta) stergi / inlocuiesti modificarile

    in plus softurile de imaging la partitii salveaza si mbr daca e vorba de prima partitie in mod automat …

  14. bogo

    @daniel

    si ce te faci daca din intamplare (care este! :D) ti se corupe imaginea? 🙂
    bine ar fi sa calculezi spatiul pe care vrei sa-l ocupi doar cu fisierele importante si pe care vrei sa ti le salvezi pe un drive extern. Ex: din cei 500 de gb ai ocupati doar 250Gb dar din acestia ai numai 100Gb de fisiere importante; asa ca un hdd de 500Gb ar trebuie sa fie mai mult decat suficient pentru un an in ideea in care backup-ul este redundat la 1 saptamana si volumul de informatii noi nu depaste 700Mb pe zi. “NU” faceti ca mine sa va luati un SAN de 10Tb 😀 pentru full backup de pe 5 pc-uri din retea! 😀 in conditiile care volumul de informatii noi nu trebuie sa depaseasca 3gb/zi/an si in conditiile in care doar ultimele 7 backup-uri se pastreaza la un interval de 1 saptamana 😀

    …paranoia…stiu… 😀

  15. sphetnik

    Datorita articolului tau am stiut cum sa procedez dupa ce mi-a aparut ecranul negru la repornire. A mers cu fixarea mbr-ului prin folosirea dvd-ului de windows si l-am curatat cu superantispyware.

  16. zod

    SCAPI de ROOTKIT foarte usor, deconectezi PC-ul de la NET, adica scoti afara mufa de la cablul de Net din PC, apoi mergi la antivirus, dai SCANARE in BOOT, asta e optiune a antivirusului (eu o am la avast), apoi dai start scan.

    Calculatorul se va restarta si va incepe scanarea sistemului in BOOT pe ecran albastru, va dura ceva timp ~ 1 ora. La un moment dat va apare sa iei o actiune pt. fisierele infectate, eu am ales 1. ce inseamna stergere, apoi dupa un timp va gasi alte fisiere infectate si-ti va cere din nou o actiune, eu am dat tot sterge1., … in final se termina scanarea si totul este OK, il poti conecta la Net si nu va mai apare acest virus, eu de cateva zile bune nu mai am aceasta problema.

    Probabil un specialist iti poate spune daca optiunea de a sterge este cea mai buna, insa la mine a fost OK, poate mai intai incerci sa le muti in carantina, ori sa le redenumesti si daca virusul persista la o noua bootare poti incerca altfel prin a sterge fisierele infestate … ?!

Leave a Reply