Rootkit.TDSS

TDSS est un rootkit, c’est à dire qu’il modifie le Master Boot Record (MBR).
– Il modifie les paramètres des navigateurs afin de rediriger le trafic Web vers ses serveurs.
– Il se propage via les réseaux de partage de fichier (Peer To Peer).
– Il cherche a obtenir des accès administrateur système.
– Cette infection est très difficile à supprimer mais la plupart des antivirus la prenne en charge.
– Recensé le 10/10/2010.

Caractéristiques TDSS :

– Il appartient à une famille de méchants Rootkits avec des fonctionnalités e trojan et d’hijacker.
– Un rootkit est une infection du root système (MBR).
– Un Cheval de Troie (trojan) est un programme indésirable et dangereux qui s’installe à l’insu de l’utilisateur.
– Un hijacker modifie les pages de démarrage et de recherche des navigateurs internet.
– Développé par une société inconnue.

Actions principales TDSS :

– Il s’installe en tant que processus lancé au démarrage du système (RP),
– Il installe des pilotes qui démarrent automatiquement avec le système(O41)
– Il crée dans le Registre une clé Legacy pointant sur un service malware (O64),
– Il détourne les extensions de fichiers (File Association Shell Spawing) (067)
– Les fichiers d’extension “exe” pointent vers une clé particulière “sezfile” (O67),
– Il pirate le démarrage des navigateurs Mozilla Firefox et d’Internet Explorer (O68),
– Il détourne le lancement du navigateur internet afin de lancer son propre processus malware (O68)
– Il s’installe dans la Base de Registres au niveau Internet Feature Controls (O81),

Aperçu ZHPDiag pour TDSS:

—\ Processus lancés
– (…) — C:Documents and SettingsCoolmanLocal SettingsApplication Datavz.exe

—\ Pilotes lancés au démarrage (O41)
O41 – Driver: (TDSSserv) . (…) – C:WINDOWSsystem32driversTDSSserv.sys

—\ File Association Shell Spawning (FASS) (O67)
O67 – Shell Spawning: <.exe> (…) — “C:Documents and SettingsCoolmanLocal SettingsApplication Datavz.exe
O67 – Shell Spawning: <.exe> (…) — “C:Documents and SettingsCoolmanLocal SettingsApplication Datavz.exe
O67 – Shell Spawning: <.exe> <sezfile> (…) — “C:Documents and SettingsCoolmanLocal SettingsApplication Datavz.exe
O67 – Shell Spawning: <.exe> <sezfile> (…) — “C:Documents and SettingsCoolmanLocal SettingsApplication Datavz.exe

—\ Start Menu Internet (SMI) (O68)
O68 – StartMenuInternet: (…) — “C:Documents and SettingsCoolmanLocal SettingsApplication Datavz.exe
O68 – StartMenuInternet: (…) — “C:Documents and SettingsCoolmanLocal SettingsApplication Datavz.exe
O68 – StartMenuInternet: <FIREFOX.EXE> <Mozilla Firefox> (…) — “C:Documents and SettingsCoolmanLocal SettingsApplication Datavz.exe
O68 – StartMenuInternet: <IEXPLORE.EXE> <Internet Explorer> (…) — “C:Documents and SettingsCoolmanLocal SettingsApplication Datavz.exe

—\ Internet Feature Controls (IFC) (O81)
O81 – IFC: Internet Feature Controls — svchost.exe
O81 – IFC: Internet Feature Controls — svchost.exe
O81 – IFC: Internet Feature Controls — svchost.exe
O81 – IFC: Internet Feature Controls — svchost.exe
O81 – IFC: Internet Feature Controls — svchost.exe

Liens TDSS :

Rootkit.TDSS TDL 4 (Trojan.Alureon)
Infection with TDSS is extremely difficult to spot because of the rootkit component…
TDSSKiller Rootkit Removal Utility Free Download

Alias TDSS :

Rootkit.TDSS TDL
Trojan.Alureon
Rootkit.MBR.TDSS
MBR/Alureon.A

Supprimer (Remove) TDSS:

– Modifier les pages de recherche et de démarrage de tous les navigateurs installés,
– Vider le cache des navigateurs

Retour haut de page