TDSSKiller, Kaspersky TDSS Rootkit Remover
- Kategorya: Seguridad
Ang isa sa mga pinaka kilalang pamilyang rootkit sa Internet ngayon ay ang pamilyang TDSS Rootkit na kilala bilang Rootkit.Win32.TDSS, Tidserv, TDSServ o Alureon. Ang rootkit ay nagsimulang kumalat noong 2008 at isa sa mga sanhi ng hindi awtorisadong Google Redirect na ang mga gumagamit ay nakakaranas kapag ang rootkit ay aktibo sa kanilang PC system.
Ang isa sa mga tool na idinisenyo upang makita at alisin ang mga rootkit ng pamilya ng TDSS ay ang TDSSKiller ng Kaspersky na kamakailan ay pinakawalan sa isang bagong bersyon.
Ang tool ay hindi lamang makakapansin at mag-aalis ng mga rootkit ng pamilya TDSS ngunit din ang mga rootkits na kilala bilang Sinowa, Whistler, Phanta, Trup at Binato. Dagdag pa rito ay maaaring gumamit ng heuristik upang makita ang mga hindi kilalang mga rootkits na aktibo o naka-install sa system.
Detalyadong pangkalahatang-ideya ng mga kahina-hinalang bagay na mahahanap nito
- Nakatagong serbisyo - isang registry key na nakatago mula sa karaniwang listahan;
- Naka-block na serbisyo - isang registry key na hindi mabubuksan ng karaniwang paraan;
- Nakatagong file - isang file sa disk na nakatago mula sa karaniwang listahan;
- Na-block ang file - isang file sa disk na hindi mabubuksan ng karaniwang paraan;
- Puwersa na file - kapag binabasa ng karaniwang paraan, ang orihinal na nilalaman ay ibabalik sa halip na aktwal na;
- Rootkit.Win32.BackBoot.gen - isang pinaghihinalaang impeksyon sa MBR na may hindi kilalang bootkit.
Ang application ay isang portable software para sa Windows na maaaring maisagawa mula sa anumang lokasyon matapos itong ma-download at ma-unpack. Ito ay i-scan ang parehong mga serbisyo at mga driver pati na rin ang mga sektor ng boot nang default. Posible na alisin ang alinman sa mga serbisyo at driver o mga object ng mga sektor ng boot mula sa pag-scan.
Ang isang pag-click sa Start Scan ay nagpapatakbo ng system scan na kinuha ng mas mababa sa isang minuto sa isang mabilis na Windows 7 system. Ang mga posibleng mapanganib na mga file ay ipinapakita pagkatapos ng pag-scan sa pahina ng mga resulta.
Karaniwan na magandang ideya na maghanap sa Bing o Google para sa pangalan ng file bago ilipat ang rootkit sa kuwarentong upang disimpektahin ang isang nakompromiso na sistema. Ang isa pang pagpipilian ay ang pagpapadala ng kahina-hinalang file sa isang kagaya ng serbisyo Virus Lab o Kabuuan ng Virus upang i-scan ito doon para sa isang pangalawang opinyon.
Ang TDSSKiller ay may maraming switch ng command line:
- -l - makatipid ng isang log sa file;
- -qpath - landas ng folder ng kuwarentina (awtomatikong nilikha kung wala ito);
- -h - tulong ito;
- -sigcheck - tiktikan ang lahat ng hindi naka-sign driver na kahina-hinala;
- -tdlfs - tuklasin ang TDLFS file system, na ang TDL 3/4 na mga rootkits ay lumikha sa mga huling sektor ng isang hard disk para sa pag-iimbak ng mga file nito. Posible na i-quarantine ang lahat ng mga file na ito.
Pinapayagan ang mga sumusunod na susi upang maisagawa ang utility sa mode na tahimik:
- -qall - kuwarentenas lahat ng mga bagay (kabilang ang mga malinis);
- -qsus - ang mga kuwarentong nakakahamak na bagay lamang;
- -qmbr - kuwarentong lahat ng mga MBR;
- -qcsvc - kuwarentina ang serbisyo;
- -dcsvc - tanggalin ang serbisyo.
- - Mag-scan sa mode na tahimik (huwag magpakita ng anumang mga bintana) upang maipatakbo ang utility sa isang sentralisadong paraan sa network.
Sinusuportahan ng libreng rootkit remover ang 32-bit at 64-bit na Windows operating system. Ang pag-download ay inaalok sa Batayang Kaalaman ng Kaspersky.