Sistema de archivos de TDL4Detectado por ESET NOD32 Antivirus como Win32/Olmarik, el sucesor de TDL3 y TDL3+ esta familia de códigos maliciosos utiliza técnicas de sus predecesores en cuanto al almacenamiento de su información.
Mediante la protección con un cifrado RC4 y la utilización de hooks de bajo nivel, reserva espacio al final del disco duro en dónde crea su propio sistema de archivos. Un análisis detallado de este código malicioso se puede encontrar en el trabajo de investigación realizado por Eugene Rodionov y Aleksandr Matrosov: “The Evolution of TDL: Conquering x64“.Sistema de archivos de Win32/OlmascoLos desarrollares de esta amenaza fueron más lejos en el diseño y los detalles de implementación del sistema de archivos oculto. El sistema de archivos de Olmasco, se asemeja al esquema utilizado por TDL4 pero cuenta además con otras funcionalidades:
- Un esquema de soporte para la organización de archivos y carpetas.
- Verificación de integridad de archivos para corroborar si los componentes están dañados.
- Mejor gestión de las estructuras internas del sistema de archivos.
A diferencia de la implementación de TDL4, que solo puede almacenar archivos, las capacidades de Win32/Olmasco le permiten organizar la información en carpetas y directorios. El directorio raíz se denota con una contra barra (backslash “\”), igual que en los sistemas de Microsoft.Por ejemplo, si se observa a la VBR (Volume Boot Record) de la partición oculta creada por Win32/Olmasco, el código de esta amenaza carga un archivo con el nombre boot desde el directorio raíz.Además, al leer un archivo este código malicioso realiza algunas comprobaciones con el fin de detectar la corrupción de su contenido, en parte esto se debe a la existencia de un campo que contiene el CRC32 del contenido del archivo. Si Win32/Olmasco detecta que un archivo está dañado, elimina la entrada correspondiente del sistema de archivos y libera a los sectores ocupados. En la siguiente imagen se puede observar esta acción:La implementación del sistema de archivos en este código malicioso es más compleja que la de TDL4, por lo tanto requiere un manejo más eficiente en lo que respecta a la administración del espacio libre, su utilización y el manejo de las estructuras de datos. Con el objetivo de soportar estas funcionalidades, se han introducido determinados elementos para mantener su integridad. Parte de la estructura de este sistema de archivos se asemeja a NTFS (New Technology File System).
¿Cómo eliminar Olmasco/Olmarik TDL4?
- Descargaremos el programa RKill y lo guardaremos en el escritorio. Lo podemos descargar desde mi sección AntiMalware. Esta utilidad nos va a servir para que paremos distintos procesos malwares que no nos dejan ejecutar programas antivirus para reparar nuestro sistema. Deberemos cerrar todos los programas abiertos, antivirus y antispyware > renombramos el archivo descargado por el de iExplore.exe para que no interfiera en el proceso de limpieza. > Ejecutaremos el programa y seguiremos los pasos que nos indique.
- Descargaremos TDSKiller y lo guardaremos en el escritorio, (lo podemos descargar desde mi sección Anti-Rootkit). > Ejecutaremos el programa sin cambiar ningún parámetro de configuración > Cerrar cuando termine.
- Malwarebytes Anti-Malware (analiza el sistema para eliminar malware) . Lo podéis descargar desde mi sección de AntiMalware. Instalaremos el programa y lo actualizaremos > Realizaremos un análisis completo > Cuando haya terminado, seguiremos con el asistente y eliminaremos los malwares detectados.
- Realiza un análisis completo con Eset Nod32 online -> Version Descargable E Instalable: Eset Smart Installer > marcaremos la opción Eliminar las amenazas detectadas y analizar archivos > realizamos clic en Configuración adicional y marcamos las casillas: Analizar en busca de aplicaciones potencialmente indeseables, Analizar en busca de aplicaciones potencialmente peligrosas y Activar la tecnolgía Anti-Stealth. > Clicamos Iniciar para que empiece a descargar la base firmas de virus y posteriormente empiece a analizar tu sistema.
Fuente: Eset-la
No hay comentarios:
Publicar un comentario