Qué es el rootkit W32.TDSS

Un
rootkit es un conjunto de programas que tienen por finalidad tomar el control de un PC como
root. Es un programa malicioso muy complejo que se instala en la computadora e incluso, a veces, en el mismo núcleo del sistema.
Es capaz de tomar el control de un ordenador sin ser detectado.
Dicho de otro modo, es un conjunto de programas que permiten a los
hackers instalarse en un PC (ya infectado o explotando una falla de seguridad) e impedir su detección. Una vez instalado, el
rootkit se convertirá en el administrador del sistema. Todos los programas, incluidos los
antivirus y
antispywares, deben pasar por él antes de realizar cualquier acción. La expansión de los
rootkits se ve favorecida por el hecho que la mayoría de los usuarios de Windows trabajan con los derechos de administrador, lo que facilita su instalación.
El
rootkit W32.TDSS también es llamado Tidserv, TDSServ, Alureon, TDL3. Para mayor información sobre los
rootkits, haz clic
aquí (enlace a Wikipedia).
Ejemplos de síntomas de presencia del rootkit W32.TDSS
Es posible detercar la presencia de este tipo de
rootkit si notas redirecciones de páginas, bloqueos de programas de seguridad, etc.
Ejemplos del rootkit TDSSserv
C:\WINDOWS\system32\tdssadw.dll
C:\WINDOWS\system32\tdssinit.dll
C:\WINDOWS\system32\tdssl.dll
C:\WINDOWS\system32\tdsslog.dll
C:\WINDOWS\system32\tdssmain.dll
C:\WINDOWS\system32\tdssservers.da
C:\WINDOWS\system32\drivers\tdssserv.sys
c:\windows\system32\TDSSblat.dat
c:\windows\system32\TDSSqoaa.log
Las últimas variantes son reconocidas por una serie de letras
kizeuiqjdjqklmhehujdk >
(aleatorio)...
c:\windows\system32\drivers\kbiwkm
(aleatorio).sys
c:\windows\system32\kbiwkm
(aleatorio).dat
c:\windows\system32\kbiwkm
(aleatorio).dll
c:\windows\system32\drivers\UAC
(aleatorio).sys
c:\windows\system32\UAC
(aleatorio).dll
c:\windows\system32\UAC
(aleatorio).dat
c:\windows\system32\drivers\seneka.sys
c:\windows\system32\seneka
(aleatorio).dll
c:\windows\system32\seneka
(aleatorio).dat
c:\windows\system32\drivers\ESQUL
(aleatorio).sys
c:\windows\system32\ESQUL
(aleatorio).dll
c:\windows\system32\ESQUL
(aleatorio).dat
c:\windows\system32\drivers\geyek
(aleatorio).sys
c:\windows\system32\geyek
(aleatorio).dll
c:\windows\system32\geyek
(aleatorio).dat
C:\windows\system32\drivers\hjgrui
(aleatorio).sys
c:\windows\system32\hjgrui
(aleatorio).dll
c:\windows\system32\hjgrui
(aleatorio).dat
c:\windows\system32\drivers\gxvxc
(aleatorio).sys
c:\windowssystem32\gxvxc
(aleatorio).dll
c:\windowssystem32\gxvxc
(aleatorio).dat
c:\windows\system32\drivers\MSIVX
(aleatorio).sys
c:\windows\system32\MSIVX
(aleatorio).dll
c:\windows\system32\MSIVX
(aleatorio).dat
c:\windows\system32\drivers\SKYNET
(aleatorio).sys
c:\windows\system32\SKYNET
(aleatorio).dll
c:\windows\system32\SKYNET
(aleatorio).dat
c:\windows\system32\drivers\kungsf
(aleatorio).sys
c:\windows\system32\kungsf
(aleatorio).dll
c:\windows\system32\kungsf
(aleatorio).dat
Lamentablemente, la lista sería demasiado larga para enumerarla aquí, pero estos son una buena parte de los
rootkits más comunes en la actualidad y las últimas variantes conocidas.
Cómo detectarlo
HijackThis no detecta la infección
TDSS.
Será necesario utilizar una herramienta de diagnóstico como
Random's System Information Tool (RSIT) o
Gmer (por el momento, Gmer no es compatible con Windows 7).
Qué hacer antes de eliminar el rootkit W32.TDSS
Antes de eliminar el
rootkit W32.TDSS, verifica que hayas hecho
esto.
Quitar W32.TDSS con Random's System Information Tool (RSIT)
Descarga
Random's System Information Tool (RSIT) en el
Escritorio. Haz doble clic en
RSIT.exe para ejecutar el programa (si tienes Vista y 7, deberás hacer clic derecho en
RSIT.exe y seleccionar
Ejecutar como administrador). Verás una nueva ventana, haz clic en
Continue.
Si
HijackThis (versión actualizada) no se encuentra o no es detectado en tu PC, RSIT lo descargará (si el cortafuegos te solicita permiso, acepta), deberás aceptar la licencia. Al terminar el análisis se abrirán
dos archivos de texto. Publica en el foro
Virus y Seguridad de Kioskea el contenido de
log.txt (el que aparece en pantalla) y de
info.txt (que aparece en la barra de tareas).
Desinstalar el rootkit W32.TDSS con Gmer
Descarga
Gmer en tu
Escritorio. Descomprímelo en una carpeta especial o en tu Escritorio. Desconéctate de Internet y cierra todos los programas. Haz doble clic en
Gmer.exe (o clic derecho y selecciona
Ejecutar como administrador). Te aparecera lo siguiente:

Haz clic en la pestaña
Rootkit, luego marca únicamente las casillas
Files, Services y Registry y haz clic en
Scan. Cuando termine el
scan, haz clic en
Copy.
Abre el bloc de notas, luego haz clic en el menú
Edición y selecciona
Pegar. El reporte será copiado al bloc de notas. Guarda el archivo en tu Escritorio y publica el contenido en el
foro de Virus y Seguridad de Kioskea.
También puedes utilizar otras herramientas de diagnóstico para detectar esta infección.
Métodos de desinfección
Varias herramientas pueden ser utilizadas para erradicar esta infección. Lo recomendado es pasar como mínimo dos herramientas y luego ver con un programa de diagnóstico si la infección está aún presente.
Puede darse el caso de que no puedas descargar directamente las herramientas en tu equipo. En esta situación deberás cambiarles el nombre al momento de descargarlas. Si aún así no consigues descargar los programas, te recomendamos que solicites ayuda en el
foro.
Eliminar W32.TDSS con Combofix
Descarga
Combofix (de sUBs) en tu
Escritorio. Desactiva temporalmente cualquier protección residente (antivirus,
antispywares, etc.). Haz doble clic en
ComboFix.exe (si estás en Vista, haz clic derecho sobre
ComboFix.exe y selecciona
Ejecutar como administrador).
Acepta la licencia. El programa te preguntará si quieres instalar la
Consola de recuperación. Es por precaución, en caso de que tengas algún problema con tu sistema. Te recomendamos instalarla.
Cuando la operación haya terminado, aparecerá un reporte. Publica el informe en el foro.
El reporte se encuentra en:
%SystemDrive%\ComboFix.txt (%SystemDrive% es la partición donde está instalado Windows, por lo general C:\).
Consulta también:
Cómo utilizar Combofix.
Quitar W32.TDSS con Malwarebytes' Anti-Malware
Sigue
este tutorial.
Usar TDSS Remover para eliminar W32.TDSS
Descarga TDSS Remover en el Escritorio. Crea una nueva carpeta allí y descomprime el archivo. Ejecuta el programa haciendo doble clic en
Remover.exe, el análisis se hace de manera automática. Si la infección es detectada, los elementos ocultos (
hidden) serán mostrados. Selecciónalos y haz clic en
Delete/Repair Selected. Aparecerá un mensaje solicitándote reiniciar el PC (
reboot). Para terminar la eliminación, pulsa
YES.
Eliminar W32.TDSS con TDSSKiller de Kaspersky
Descarga TDSSKiller en el Escritorio. Crea allí una nueva carpeta y descomprime el archivo. Ejecuta el programa; para eso, haz doble clic en
TDSSKiller.exe. El análisis se hace de manera automática. Si la infección es detectada, los elementos ocultos (
hidden) serán mostrados. Luego seleccionalos y haz clic en
Delete/Repair Selected.
Puede aparecer un mensaje solicitándote reiniciar el PC (
reboot) para terminar la limpieza, pulsa
Y para reiniciar el PC.
Información adicional sobre esta herramienta
aquí.
Cómo saber si se ha eliminato el rootkit W32.TDSS de tu PC
Es recomendable hacer un análisis en línea para comprobar que no existan aplicaciones infectadas. Entra a la página de
escáner Kaspersky en línea (con Internet Explorer). Haz clic en
Kaspersky Online Scanner y, en la nueva ventana, haz clic en
Aceptar. Acepta los
Controles ActiveX. Selecciona
Mi PC para efectuar el análisis. Una vez terminado, guarda el reporte en tu Escritorio.
Si necesitas ayuda, consulta
Cómo escanear tu PC en línea con Kaspersky.
Nota: Si te aparece el mensaje
La licencia de Kaspersky On-line Scanner ha expirado, ve a
Agregar o quitar programas y desinstala
On-line Scanner, entra nuevamente a la página de Kaspersky y vuelve a intentar hacer el análisis en línea.
Si el análisis en línea de Kaspersky no está disponible, puedes utilizar
Panda en línea o
BitDefender en línea.
Desactivar/reactivar la opción Restaurar sistema
Es necesario desactivar y luego reactivar
Restaurar sistema para purgar tu PC, ya que los puntos de restauración pueden estar infectados.
Cómo hacerlo si tienes Windows XP.