Bellissimo,mi son trovato per le mani un PC dall'apparenza normale con solo un errorino di sistema dopo il caricamento del sistema,poi guardando bene,vado su proprietà Risorse di Rete e voilà pagina bianca,nessuna Scheda di Rete,vado in Gestione Disco voilà nessun Disco Rigido ritrovato.A questo punto decido di lanciare Malwarebytes,che mi trova qualche Trojan e un Rootkit che non sarà mai capace di togliere.Decido di fixare la connessione per poter andare su Internet,che non andava più, eseguo la bella utilities
Winsockfix,che mi ripara la connessione,praticamente navigavo senza avere alcuna Scheda di Rete in Gestione di Rete.Scarico subito Combofix lo lancio ed ecco che mi ritrova il Rootkit TDL3 e lo stradica,sembrava il solito Rootkit,invece sentite sentite cosa combina sto Virus .......
TDL3 Rootkit: spettatori di un gioco a senso unico (citazione completa)
Il rootkit si diffonde attraverso siti di crack o attraverso le reti peer to peer. Gli aggiornamenti giornalieri fanno sì che il dropper del rootkit sia in grado di evadere agevolmente le signature dei software antivirus.
Una volta eseguito il dropper necessita dei privilegi di amministratore per poter installare il rootkit tenta di evadere il controllo di alcuni basilari software HIPS e carica in memoria il driver del rootkit.
Da questo momento in poi,il rootkit diventa letteralmente invisibile.Se l’UAC è disabilitato o si danno i diritti di amministratore manualmente il rootkit è in grado di infettare anche Windows Vista e Windows 7.
I file che compongono l’infezione – il driver, due librerie dll e file di configurazione – vengono scritti negli ultimi settori del disco rigido, fuori dal file system del sistema.
Seppure i file, in questa maniera, siano già invisibili a qualsiasi software antivirus, il rootkit applica un’altra tecnica particolarmente interessante ed avanzata: il rootkit utilizza un file system proprietario e crittografato, con una propria MFT e sistemazione dei file al suo interno.
La conseguenza è che leggendo gli ultimi settori del disco rigido ci si trova davanti solo dei byte casuali apparentemente senza senso, perché crittografati.
Rootkit TDL3: Windows x64 non più immune (citazione completa)
In questi ultimi giorni le aziende attive nel settore della sicurezza hanno riscontrato che anche i sistemi Windows a 64 bit non risultano più immuni ai rootkit, a quanto pare gli autori del più conosciuto rootkit TDL3 (alias: Alureon o TDSS) dopo un periodo di calma piatta sono riusciti tramite uno stratagemma ad eludere le protezioni dei sistemi a x64bit.
Da quanto possiamo apprendere in rete le software house operanti nel settore della sicurezza hanno già iniziato a dotare i loro prodotti delle firme virali necessare al fine di limitare o tentare di rilevare tale variazione del rootkit, ma solo il tempo potrà darci conferma sulla effettiva efficacia. Ad oggi apprendiamo che questa nuova versione si sta diffondendo in modo rapido.
La rete mette a disposizione un metodo alquanto semplice al fine di fare una autodiagnosi
I sistemi a 64bit di XP e Windows 2003 x64 con questa prima versione del rootkit non dovrebbero riavviarsi, mentre per gli utenti Vista e 7 dovrebbero rilevarne la presenza attraverso questa semplice procedura:
* Aprire il prompt dei comandi (start esegui / cerca e lanciare il comando CMD)
* Una volta aperto il prompt lanciare il comando diskpart, il comando avvia l’utility gestione partizioni
* digitare il comando list disk,se il risultato è l’assenza di dischi fissi il vostro pc risulta essere infetto da TDL3; nel caso
contrario il TDL3 non è presente.
