Como detectar uma infecção por Alureon Rootkit de 64 bits

• Categoria: Programas

Experimente Nosso Instrumento Para Eliminar Problemas

Selecione O Sistema Operacional Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Escolha Um Programa De Projeção (Opcionalmente) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Descreva Seu Problema

Obter Uma Resposta

Envie -Me Por E -Mail Mostrar No Site

Alureon, ou TDL, TLD3 e Tidserv, é o primeiro rootkit que pode infectar PCs com Windows de 64 bits. Antes disso, apenas sistemas de 32 bits eram afetados por rootkits, e muitos usuários do Windows perceberam isso em fevereiro, quando o patch da Microsoft MS10-015 fez com que as máquinas infectadas exibissem uma tela azul. Obviamente, não foi culpa da Microsoft naquela época, o que foi inicialmente assumido por profissionais e usuários. Após algumas pesquisas, descobriu-se que o rootkit TLD3 era o responsável por esse comportamento.

Os desenvolvedores do rootkit o melhoraram consideravelmente desde então e conseguiram adicionar a capacidade de infectar sistemas Windows de 64 bits. Essa é a primeira vez, e os fornecedores de segurança estão alarmados com essa tendência.

No entanto, os autores desses ataques não têm descansado. Há pouco menos de um mês, tomamos conhecimento de uma nova variante do Alureon que infecta o Master Boot Record (MBR) em vez de um driver infectado. Embora essa nova variante não tenha afetado as máquinas de 64 bits, ela tinha um arquivo inerte chamado ldr64 como parte de seu sistema de arquivos virtual. Mais recentemente, descobrimos uma variante atualizada que infectou com êxito máquinas de 64 bits executando o Windows Vista ou superior, enquanto tornava máquinas com Windows XP e Server 2003 de 64 bits não inicializáveis.

Muitas empresas de segurança já adicionaram a detecção da variante de 64 bits aos seus aplicativos de segurança; a Microsoft, por exemplo, adicionou assinaturas ao Microsoft Security Essentials no início de agosto.

Ainda assim, os proprietários do Windows de 64 bits podem querer verificar por si mesmos se o rootkit não está instalado em seu sistema operacional. Como as informações acima sugerem, os proprietários do Windows XP e do Windows Server 2003 perceberão imediatamente que algo está errado, pois o sistema operacional não inicializará. Os usuários do Windows Vista ou Windows 7 de 64 bits devem continuar lendo.

Existem pelo menos duas opções para fazer isso, todas com ferramentas já incluídas no sistema operacional:

Abra um prompt de comando, com Windows-R, digitando cmd e digite.

Use o comando Diskpart para abrir o Diskpart em uma nova janela de linha de comando.

Entrar ler dizer no novo prompt, se permanecer vazio, o computador está infectado com o rootkit. Se os discos forem exibidos, não é.

Boa

Ruim

A segunda opção para detectar o rootkit de 64 bits é a seguinte: Inicie o Gerenciamento de disco no painel Gerenciamento do computador.

Se não mostrar os discos, significa que o sistema está infectado com o rootkit. Se mostrar discos, está tudo bem.

Sistema infectado

Informações adicionais estão disponíveis em Technet e Symantec .

Como remover o rootkit se o sistema estiver infectado:

Vários programas são capazes de remover o rootkit e reparar o MBR para que o sistema inicialize normalmente após o reparo.

Hitman Pro Beta 112 e posteriores podem fazer isso, por exemplo.