TDSServ/Trojan.Alureon se propage par :
Vous trouverez plus d’information sur l’infection TDSS sur la page suivante : Trojan.Alureon / Trojan.Tdss
Pour la variante patch atapi.sys se reporter à la page : http://www.malekal.com/TDSS_patch_atapi_tdlcmd.dll.php
Détection TDSSServ/TDSServ rootkit
Vous trouverez une bonne description technique sur le lien suivant : http://mad.internetpol.fr/archives/3-Etude-de-cas-Infection-rootkit-TDSS.html
Le rootkit ajoute les fichiers suivants qui sont masqués :
- C:WINDOWS\System32\\drivers\tdssserv.sys
- C:WINDOWS\System32\\tdssadw.dll
- C:WINDOWS\System32\\tdssinit.dll
- C:WINDOWS\System32\\tdssl.dll
- C:WINDOWS\System32\\tdsslog.dll
- C:WINDOWS\System32\\tdssmain.dll
- C:WINDOWS\System32\\tdssservers.dat
- C:WINDOWS\System32\\drivers\tdssserv.sys est le driver du rootkit, il est dissimulé du système et donc de l’utilisateur. Le driver tend à prendre un nom aléatoire dans les variantes suivantes.
La page Google peut être Hijackée, les liens conduisant vers la promotion de rogues. voir descriptions sur la page suivante : http://forum.malekal.com/smart-antivirus-2009-t13940.html&p=107005#p107005 TDSSServ/TDSServ est capable de bloquer les fix de désinfection tel que Combofix, catchme etc….
Renommer l’outils peut aider. TDSSServ/TDSServ bloque l’accès aux sites antiviraux ainsi que certains forums de désinfections (c’est le cas de malekal.com ou bleepingcomputer.com), les adresses sont résolues en 127.0.0.1
Suppression TDSSServ/TDSServ rootkit
Utilisez TDSSKiller de Kaspersky
Vous pouvez suivre cette vidéo illustrative sur l’utilisation de TDSSKiller :
Suivre la Procédure de désinfection des Trojans/Backdoor TDSSServ/TDSServ est un rootkit qui s’installe avec d’autres malwares généralement de type FraudLoad (braviax etc) proposant des rogues.
