SOLUCION AL ROOTKIT SIREFEF (ZERO ACCESS), ROOTKIT DE COMPLEJA INGENIERIA APLICADA
Tras una serie de intentos para evitar que el malware afectara la utilidad suficiente y necesaria para eliminar a dicho Rootkit, y gracias a la persistencia de los técnicos de SATINFO y a la información facilitada por McAfee y por Microsoft sobre los ADS (Alternate Data Stream)
“NOTE: An ADS is an NTFS structure that allows more than one data stream to be associated with a file. These ADSs are accessed by a file name like filename.ext:adsname. More information about ADS can be found on the Microsoft website:
http://msdn.microsoft.com/en-us/library/aa364404.aspx
El meollo de la cuestión está en una carpeta dentro de la de Windows, tipo
$NTUNINSTALLKB..<numero aleatorio>..
inaccesible, contrariamente a las demas similares de desinstalacion de parches
Luego, una vez conocida la carpeta y una vez detectado (con la consecuente inutilizacion del escaneador utilizado), procede lanzar el GMER y desactivar las opciones “Modules” “Processes” y “Threads”, y, pulsando con el botón derecho en la ventana central del GMER, activar las opciones “IRP hooks” y “NTAPI registry scan”, y lanzar el escaneo.
Tras escanear durante media hora (O MAS segun numero de ficheros), buscar dicha carpeta inaccesible normalmente, que aparenta ser una de Desinstalacion de parches de Microsoft, y es cuestion de pulsar botón derecho sobre los ficheros que contiene y escoger DELETE FILE para borrar los ficheros de su interior, a los cuales no se tenía acceso de otro modo. (Especialmente borrar los de la subcarpeta L)
Así, tras reiniciar, ya no se cargará el proceso ADS similar al que se indica a continuación:
“The rootkit tripwire device ADS is usually installed as %SYSTEMROOT%\<randomnumbers>:<randomnumbers>.exe.
Example: \systemroot\3155945044:2870600771.exe”
Tras reiniciar, ya no estará en memoria, lanzar el ElistarA para eliminar los restos del fichero .SYS que utiliza este malware
Hay nuevas variantes del mismo cada día, por ello, si lo indicado no es suficiente, consultennos sobre nuevos métodos que hayamos encontrado para las mismas.
El SIREFEF es un mal bicho que mejor no toparse con él …, y que aun que ya hemos visto como eliminarlo, seguiremos analizandolo a fondo para dominar estas tecnicas de privilegios NTFS que pueden usar en un futuro otros rootkits o similares.
saludos
ms, 13-10-2011
NOTA IMPORTANTE AÑADIDA EN 25.12.2011:
En nuevas variantes procede borrar además, con el mismo GMER, el fichero que indica estar en:
—- Kernel code sections – GMER 1.0.15 —-
? C:\WINDOWS\System32\DRIVERS\<afectado>.sys suspicious PE modification
Conforme hemos indicado, boton derecho sobré él y ” DELETE FILE”
Por si windows no restaurara dicho driver, cuyo nombre es del sistema operativo, es importante guardar el nombre para restaurarlo por el original, si hiciera falta.
ms.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.