Wykrywanie i usuwanie rootkitów


Rootkit to aplikacja, która ukrywa obecność zagrożenia w systemie metodą przechwytywania funkcji systemu (Windows API). Może ukryć samego siebie, uruchomione procesy, pliki i klucze rejestru. Do wykrywania rootkitów stosuje się najczęściej technikę porównania krzyżowego (ang. cross-checking), w którym porównujemy listę plików w katalogu zwróconą przez API systemu operacyjnego oraz odczytaną bezpośrednio z systemu plików. W zdrowym systemie oba wyniki powinny być identyczne, rekordy istniejące na drugiej liście a nie zwrócone przez API są prawdopodobnie ukrywane przez rootkita.

Uwaga: po aktualne instrukcje oraz pomoc w usuwaniu malware odsyłam na forum www.fixitpc.pl

Przygotowanie systemu przed wykonaniem skanowania
uruchomienie przedstawionych poniżej aplikacji może wejść w kolizje z innymi aplikacjami posługującymi się techniką niskopoziomowego dostępu / rootkit-podobną. Objawia się to zawieszeniem aplikacji, natychmiastowym zamknięciem lub ekranem śmierci (BSOD). Dlatego przed uruchomieniem wyłączamy wszystkie uruchomione aplikacje, w tym oprogramowanie zabezpieczające typu antywirus / firewall. Jednak najważniejsze jest wyłączenie / usunięcie aplikacji emulujących wirtualne napędy:

Tutorial: wyłączanie i usuwanie sterownika SPTD napędów wirtualnych

Oprogramowanie to posługuje się sterownikiem działającym techniką rootkit-podobną i fałszuje wyniki pracy >>> sugeruje infekcję gdy jej naprawdę nie ma oraz zaciemnia obraz gdy ona rzeczywiście jest.

Gmer

Licencja: freeware
Platforma: Windows NT4 /2000/XP/Vista/7 32-bit

Opis
aplikacja polskiego autora wykrywająca rootkity. Okno aplikacji dzieli się na kilka zakładek:

  • Procesy: pozwala na podgląd i edycję procesów – zamknięcie (Zabij proces), zamknięcie wszystkich z pozostawieniem tylko jednego systemowego i potrzebnych dla Gmera (Zabij wszystko), restart komputera (Restart), polecenie Uruchom, podgląd bibliotek 
  • Moduły: podgląd załadowanych modułów
  • Usługi: pozwala na podgląd i edycję usług np. zmiana typu uruchamiania
  • Pliki: przeglądarka plików na dysku, pozwala na usunięcie / skopiowanie / zabicie pliku
  • Rejestr: przeglądarka rejestru, pozwala na eksport / modyfikację; wykrywa również ukryte klucze i wartości
  • Rootkit/Malware: pozwala na wygenerowanie loga na obecność rootkitów. Możemy wybrać elementy do skanowania
  • Autostart: podgląd elementów uruchamianych razem z systemem, z możliwością skopiowania do pliku tekstowego
  • CMD: pozwala wydawać polecenia DOS-owe / wpisywać fixy do rejestru Przykładowo można usuwać elementy: najpierw wpisujemy polecenie zamykające wszystkie otwarte procesy (Zabij Wszystko).
    gmer -killall

    Następnie wpisujemy formuły usuwające gmer -del [file ścieżka do pliku] / [service nazwa usługi]

    gmer -del file C:Windowssystem32plik.exe  gmer -del service nazwa usługi

    Kończymy wpisując

    gmer -reboot

    Restart po wykonaniu zadania. Całość:

    gmer -killall  gmer -del file C:Windowssystem32plik.exe  gmer -del service nazwa usługi  gmer -reboot

Używanie:

  • przed uruchomieniem wyłączamy / usuwamy aplikacje emulujące wirtualne napędy. Sterownik SPTD bowiem fałszuje wyniki skanowania. 
  • aplikacja uruchamia się automatycznie w karcie Rootkit/Malware i inicjowane jest szybkie Pre-skanowanie, które nie przerywamy i czekamy na zakończenie. Wynik tego skanowanie nie bierzemy pod uwagę, ponieważ musimy wykonać pełne skanowanie, którego wynik może się znacznie różnić.
  • wykonujemy pełne skanowanie na domyślnej konfiguracji >>> zaznaczone wszystkie pozycje od „System” do „Pliki” + „ADS”, odznaczona „Pokaż wszystko”, w sekcji dysków twardych pozostawić domyślną opcję wyboru tylko dysku systemowego
  • klikamy „Szukaj” – skanowanie może trwać nawet kilka godzin, a kończy zmianą „Stop” w „Szukaj”; jeśli wystąpią elementy rootkit oznaczone zostaną na czerwono
  • po ukończeniu skanu należy wybrać Kopiuj i wkleić log do notatnika

Download

 

Zrzut ekranu:
gmer.jpg

alternatywy.png

IceSword
pokazuje wszystkie uruchomione procesy, usługi, otwarte porty, załadowane moduły, autostart. Elementy ukryte wyświetla na czerwono. Dodatkowo wbudowana przeglądarka rejestru, pokazująca ukryte klucze oraz przeglądarka plików, pokazująca ukryte pliki i mogąca skopiować zablokowane / systemowe pliki np. pliki rejestru, co normalnie nie jest możliwe.

Kaspersky TDSSKiller

Licencja: freeware
Platforma: Windows 2000/XP/Vista/7 (32-bit i 64-bit)

Opis
aplikacja umożliwia wykrywanie oraz usuwanie rootkitów TDL we wszystkich wariantach:

  • TDL2: infekcja z własnym, dodatkowym sterownikiem 
  • TDL3: infekcja w sterownikach systemowych
  • TDL4: infekcja w Master Boot Record (MBR). Rootkity tego typu zwane są bootkitami. Szkodliwe działania wykonywane są jeszcze przed uruchomieniem systemu, a jego wykrycie jest utrudnione, z uwagi, że jego komponenty znajdują się poza systemem plików.
  • wykrywa następujące znane bootkity: TDSS TDL4; Sinowal (Mebroot, MaosBoot); Phanta (Phantom, Mebratix); Trup (Alipop); Whistler; Stoned oraz nieznane bootkity bazując na analizie heurystycznej.

Używanie:

  • przed uruchomieniem wyłączamy / usuwamy aplikacje emulujące wirtualne napędy. TDDSKiller bowiem wykryje sterownik sptd.sys jako podejrzany, a plik określi jako zablokowany. 
  • po uruchomieniu klikamy w przycisk Start scan w celu rozpoczęcia skanowania usług, sterowników oraz boot sektorów. W przypadku problemów z uruchomieniem zmieniamy nazwę pliku na inną z rozszerzeniem .com np. 6j8e.com
  • po ukończeniu skanowania wyświetlona zostanie lista wykrytych obiektów. W zależności od wykrytego wariantu rootkita, aplikacja sama wybiera akcje, którą wykona: Cure (Lecz) dla TDL3 i TDL4; Delete(Usuń) dla TDL2; Skip (Pomiń) dla obiektów podejrzanych, nie zidentyfikowanych precyzyjnie (plik zablokowany / plik sfałszowany). W przypadku wykrycia infekcji w MBR dostępne sa dodatkowe opcje: Copy to quarantine (Kopiuj do kwarantanny) – narzędzie poddaje kwarantannie zainfekowany MBR, oraz Restore (Przywróć) – narzędzie przywraca standardowy MBR.
  • po kliknięciu na Continue (Dalej), narzędzie wykonuje wybrane działania i wyświetla ich wynik. Po zakończeniu leczenia może być konieczne ponowne uruchomienie systemu.
  • po restarcie generowany jest log z całej operacji w głównym folderze na dysku systemowym

Download

Zrzut ekranu:
tdsskiller.jpg

tdsskiller1.jpg

aswMBR

Licencja: freeware
Platforma: Windows NT4 /2000/XP/Vista/7 32-bit

Opis
aplikacja od Gmera, wykrywa i usuwa rootkity TDL4/3, MBRoot (Sinowal) oraz Whistler.

Używanie:

  • przed uruchomieniem wyłączamy / usuwamy aplikacje emulujące wirtualne napędy. Aplikacja bowiem określi sterownik jako podejrzaną aktywność, co sfałszuje wyniki (zrzut ekranu na dole przedstawia sfałszowane wyniki przez aktywność sterownika SPTD) 
  • po uruchomieniu aplikacja klikamy Scan w celu przeprowadzenia skanowania. Zaznaczając opcję „Trace disk IO calls”, w raporcie uzyskamy pozycje z podejrzaną aktywnością.
  • w przypadku wykrycia infekcji pojawią się pozycje zakreślone na czerwono. W celu zapisania loga wybieramy button Save log (jednocześnie wykona się kopia MBR do pliku MBR.dat)
  • usuwanie: w zależności od wariantu wykrytej infekcji aktywny będzie jeden z buttonów: Fix dla TDL4 (MBRoot) lub FixMBR dla infekcji Whistler
  • zazwyczaj wymagany będzie restart w celu ukończenia operacji

Download

 

Zrzut ekranu:
aswmbr.jpg

MBRCheck

Licencja: freeware
Platforma: Windows XP/2003/Vista/2008/7 32-bit i 64-bit

Opis
aplikacja do wykrywania i usuwania bootkitów, czyli rootkitów infekujących MBR dysku.

Używanie:

  • po uruchomieniu aplikacja automatycznie zeskanuje MBR dysku i wyświetli wyniki oraz zapisze raport na Pulpicie.
    Dla analizowanego dysku mogą wystąpić 3 statusy:
    Windows (wersja) MBR code detected: kod MBR zdefiniowany jako standardowy
    Unknown MBR code: kod MBR zmodyfikowany. Modyfikacja może być od rootkita lub zupełnie nieszkodliwa np. niedomyślny bootmanager, komputery OEM czy na Vista/7 w przypadku użycia aktywatorów MBR. Naprawa spowoduje utratę tych dodatkowych danych startowych.
    Known-bad MBR code detected / MBR Code Faked!: wykryty został rootkit w kodzie MBR 
  • w przypadku wykrycia infekcji uaktywnią się opcje służące usuwaniu. Wpisujemy Y i klikamy Enter.
  • wybieramy opcję Restore the MBR of a physical disk with a standard boot code wpisując 2 z klawiatury.
  • wpisujemy numer dysku fizycznego – wpisujemy 0, gdy mamy tylko jeden dysk.
  • z listy kodów MBR wybieramy ten zgodny z naszym systemem
  • ostatecznie potwierdzamy nadpisanie kodu wpisując YES
  • teraz tylko restart, a po nim sprawdzamy status kodu MBR, który powinien być już poprawny

Metody awaryjnej naprawy MBR: zarządzanie partycjami i MBR z boot płyty

Download

Zrzut ekranu:
mbrcheck.jpg

alternatywy.png

eSage Lab Bootkit Remover download: najnowsza wersja
bardzo podobna aplikacja. Nadpisanie MBR: wypakowujemy aplikację do folderu c:windows. Uruchamiamy Wiersz polecenia jako Administrator. Wpisujemy polecenie w formie:
remover fix .PhysicalDriveX
zamiast X wpisujemy nr dysku fizycznego. Po tej operacji zamykamy okno narzędzia i resetujemy komputer.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *