Wykrywanie i usuwanie rootkitów

Rootkit to aplikacja, która ukrywa obecność zagrożenia w systemie metodą przechwytywania funkcji systemu (Windows API). Może ukryć samego siebie, uruchomione procesy, pliki i klucze rejestru. Do wykrywania rootkitów stosuje się najczęściej technikę porównania krzyżowego (ang. cross-checking), w którym porównujemy listę plików w katalogu zwróconą przez API systemu operacyjnego oraz odczytaną bezpośrednio z systemu plików. W zdrowym systemie oba wyniki powinny być identyczne, rekordy istniejące na drugiej liście a nie zwrócone przez API są prawdopodobnie ukrywane przez rootkita.

Uwaga: po aktualne instrukcje oraz pomoc w usuwaniu malware odsyłam na forum www.fixitpc.pl

Przygotowanie systemu przed wykonaniem skanowania
uruchomienie przedstawionych poniżej aplikacji może wejść w kolizje z innymi aplikacjami posługującymi się techniką niskopoziomowego dostępu / rootkit-podobną. Objawia się to zawieszeniem aplikacji, natychmiastowym zamknięciem lub ekranem śmierci (BSOD). Dlatego przed uruchomieniem wyłączamy wszystkie uruchomione aplikacje, w tym oprogramowanie zabezpieczające typu antywirus / firewall. Jednak najważniejsze jest wyłączenie / usunięcie aplikacji emulujących wirtualne napędy:

Tutorial: wyłączanie i usuwanie sterownika SPTD napędów wirtualnych

Oprogramowanie to posługuje się sterownikiem działającym techniką rootkit-podobną i fałszuje wyniki pracy >>> sugeruje infekcję gdy jej naprawdę nie ma oraz zaciemnia obraz gdy ona rzeczywiście jest.

Gmer

Licencja: freeware
Platforma: Windows NT4 /2000/XP/Vista/7 32-bit

Opis
aplikacja polskiego autora wykrywająca rootkity. Okno aplikacji dzieli się na kilka zakładek:

• Procesy: pozwala na podgląd i edycję procesów – zamknięcie (Zabij proces), zamknięcie wszystkich z pozostawieniem tylko jednego systemowego i potrzebnych dla Gmera (Zabij wszystko), restart komputera (Restart), polecenie Uruchom, podgląd bibliotek 
• Moduły: podgląd załadowanych modułów
• Usługi: pozwala na podgląd i edycję usług np. zmiana typu uruchamiania
• Pliki: przeglądarka plików na dysku, pozwala na usunięcie / skopiowanie / zabicie pliku
• Rejestr: przeglądarka rejestru, pozwala na eksport / modyfikację; wykrywa również ukryte klucze i wartości
• Rootkit/Malware: pozwala na wygenerowanie loga na obecność rootkitów. Możemy wybrać elementy do skanowania
• Autostart: podgląd elementów uruchamianych razem z systemem, z możliwością skopiowania do pliku tekstowego
• CMD: pozwala wydawać polecenia DOS-owe / wpisywać fixy do rejestru Przykładowo można usuwać elementy: najpierw wpisujemy polecenie zamykające wszystkie otwarte procesy (Zabij Wszystko).

  gmer -killall

  Następnie wpisujemy formuły usuwające gmer -del [file ścieżka do pliku] / [service nazwa usługi]

  gmer -del file C:Windowssystem32plik.exe  gmer -del service nazwa usługi

  Kończymy wpisując

  gmer -reboot

  Restart po wykonaniu zadania. Całość:

  gmer -killall  gmer -del file C:Windowssystem32plik.exe  gmer -del service nazwa usługi  gmer -reboot

Używanie:

• przed uruchomieniem wyłączamy / usuwamy aplikacje emulujące wirtualne napędy. Sterownik SPTD bowiem fałszuje wyniki skanowania. 
• aplikacja uruchamia się automatycznie w karcie Rootkit/Malware i inicjowane jest szybkie Pre-skanowanie, które nie przerywamy i czekamy na zakończenie. Wynik tego skanowanie nie bierzemy pod uwagę, ponieważ musimy wykonać pełne skanowanie, którego wynik może się znacznie różnić.
• wykonujemy pełne skanowanie na domyślnej konfiguracji >>> zaznaczone wszystkie pozycje od „System” do „Pliki” + „ADS”, odznaczona „Pokaż wszystko”, w sekcji dysków twardych pozostawić domyślną opcję wyboru tylko dysku systemowego
• klikamy „Szukaj” – skanowanie może trwać nawet kilka godzin, a kończy zmianą „Stop” w „Szukaj”; jeśli wystąpią elementy rootkit oznaczone zostaną na czerwono
• po ukończeniu skanu należy wybrać Kopiuj i wkleić log do notatnika

Download

• najnowsza wersja (nie wymaga instalacji, ściąganie losowo nazywanego EXE)

 

Zrzut ekranu:

IceSword
pokazuje wszystkie uruchomione procesy, usługi, otwarte porty, załadowane moduły, autostart. Elementy ukryte wyświetla na czerwono. Dodatkowo wbudowana przeglądarka rejestru, pokazująca ukryte klucze oraz przeglądarka plików, pokazująca ukryte pliki i mogąca skopiować zablokowane / systemowe pliki np. pliki rejestru, co normalnie nie jest możliwe.

Kaspersky TDSSKiller

Licencja: freeware
Platforma: Windows 2000/XP/Vista/7 (32-bit i 64-bit)

Opis
aplikacja umożliwia wykrywanie oraz usuwanie rootkitów TDL we wszystkich wariantach:

• TDL2: infekcja z własnym, dodatkowym sterownikiem 
• TDL3: infekcja w sterownikach systemowych
• TDL4: infekcja w Master Boot Record (MBR). Rootkity tego typu zwane są bootkitami. Szkodliwe działania wykonywane są jeszcze przed uruchomieniem systemu, a jego wykrycie jest utrudnione, z uwagi, że jego komponenty znajdują się poza systemem plików.
• wykrywa następujące znane bootkity: TDSS TDL4; Sinowal (Mebroot, MaosBoot); Phanta (Phantom, Mebratix); Trup (Alipop); Whistler; Stoned oraz nieznane bootkity bazując na analizie heurystycznej.

Używanie:

• przed uruchomieniem wyłączamy / usuwamy aplikacje emulujące wirtualne napędy. TDDSKiller bowiem wykryje sterownik sptd.sys jako podejrzany, a plik określi jako zablokowany. 
• po uruchomieniu klikamy w przycisk Start scan w celu rozpoczęcia skanowania usług, sterowników oraz boot sektorów. W przypadku problemów z uruchomieniem zmieniamy nazwę pliku na inną z rozszerzeniem .com np. 6j8e.com
• po ukończeniu skanowania wyświetlona zostanie lista wykrytych obiektów. W zależności od wykrytego wariantu rootkita, aplikacja sama wybiera akcje, którą wykona: Cure (Lecz) dla TDL3 i TDL4; Delete(Usuń) dla TDL2; Skip (Pomiń) dla obiektów podejrzanych, nie zidentyfikowanych precyzyjnie (plik zablokowany / plik sfałszowany). W przypadku wykrycia infekcji w MBR dostępne sa dodatkowe opcje: Copy to quarantine (Kopiuj do kwarantanny) – narzędzie poddaje kwarantannie zainfekowany MBR, oraz Restore (Przywróć) – narzędzie przywraca standardowy MBR.
• po kliknięciu na Continue (Dalej), narzędzie wykonuje wybrane działania i wyświetla ich wynik. Po zakończeniu leczenia może być konieczne ponowne uruchomienie systemu.
• po restarcie generowany jest log z całej operacji w głównym folderze na dysku systemowym

Download

• najnowsza wersja (zip), najnowsza wersja (exe) (nie wymaga instalacji)

Zrzut ekranu:

aswMBR

Licencja: freeware
Platforma: Windows NT4 /2000/XP/Vista/7 32-bit

Opis
aplikacja od Gmera, wykrywa i usuwa rootkity TDL4/3, MBRoot (Sinowal) oraz Whistler.

Używanie:

• przed uruchomieniem wyłączamy / usuwamy aplikacje emulujące wirtualne napędy. Aplikacja bowiem określi sterownik jako podejrzaną aktywność, co sfałszuje wyniki (zrzut ekranu na dole przedstawia sfałszowane wyniki przez aktywność sterownika SPTD) 
• po uruchomieniu aplikacja klikamy Scan w celu przeprowadzenia skanowania. Zaznaczając opcję „Trace disk IO calls”, w raporcie uzyskamy pozycje z podejrzaną aktywnością.
• w przypadku wykrycia infekcji pojawią się pozycje zakreślone na czerwono. W celu zapisania loga wybieramy button Save log (jednocześnie wykona się kopia MBR do pliku MBR.dat)
• usuwanie: w zależności od wariantu wykrytej infekcji aktywny będzie jeden z buttonów: Fix dla TDL4 (MBRoot) lub FixMBR dla infekcji Whistler
• zazwyczaj wymagany będzie restart w celu ukończenia operacji

Download

• najnowsza wersja (nie wymaga instalacji)

 

Zrzut ekranu:

MBRCheck

Licencja: freeware
Platforma: Windows XP/2003/Vista/2008/7 32-bit i 64-bit

Opis
aplikacja do wykrywania i usuwania bootkitów, czyli rootkitów infekujących MBR dysku.

Używanie:

• po uruchomieniu aplikacja automatycznie zeskanuje MBR dysku i wyświetli wyniki oraz zapisze raport na Pulpicie.
  Dla analizowanego dysku mogą wystąpić 3 statusy:
  – Windows (wersja) MBR code detected: kod MBR zdefiniowany jako standardowy
  – Unknown MBR code: kod MBR zmodyfikowany. Modyfikacja może być od rootkita lub zupełnie nieszkodliwa np. niedomyślny bootmanager, komputery OEM czy na Vista/7 w przypadku użycia aktywatorów MBR. Naprawa spowoduje utratę tych dodatkowych danych startowych.
  – Known-bad MBR code detected / MBR Code Faked!: wykryty został rootkit w kodzie MBR 
• w przypadku wykrycia infekcji uaktywnią się opcje służące usuwaniu. Wpisujemy Y i klikamy Enter.
• wybieramy opcję Restore the MBR of a physical disk with a standard boot code wpisując 2 z klawiatury.
• wpisujemy numer dysku fizycznego – wpisujemy 0, gdy mamy tylko jeden dysk.
• z listy kodów MBR wybieramy ten zgodny z naszym systemem
• ostatecznie potwierdzamy nadpisanie kodu wpisując YES
• teraz tylko restart, a po nim sprawdzamy status kodu MBR, który powinien być już poprawny

Metody awaryjnej naprawy MBR: zarządzanie partycjami i MBR z boot płyty

Download

• najnowsza wersja, mirror1, mirror2 (nie wymaga instalacji)

Zrzut ekranu:

eSage Lab Bootkit Remover download: najnowsza wersja
bardzo podobna aplikacja. Nadpisanie MBR: wypakowujemy aplikację do folderu c:windows. Uruchamiamy Wiersz polecenia jako Administrator. Wpisujemy polecenie w formie:
remover fix .PhysicalDriveX
zamiast X wpisujemy nr dysku fizycznego. Po tej operacji zamykamy okno narzędzia i resetujemy komputer.