Come rilevare un'infezione da rootkit Alureon a 64 bit

Alureon, o TDL, TLD3 e Tidserv, è il primo rootkit in grado di infettare i PC Windows a 64 bit. Prima di allora, solo i sistemi a 32 bit erano interessati dai rootkit e molti utenti Windows se ne sono resi conto a febbraio, quando la patch Microsoft MS10-015 faceva visualizzare una schermata blu sui computer infetti. Ovviamente non era colpa di Microsoft allora, che è stata inizialmente assunta da professionisti e utenti. Dopo alcune ricerche si è scoperto che il rootkit TLD3 era responsabile di quel comportamento.

Gli sviluppatori del rootkit lo hanno notevolmente migliorato da allora e sono riusciti ad aggiungere la capacità di infettare i sistemi Windows a 64 bit. Questa è la prima volta e i fornitori di sicurezza sono allarmati per questa tendenza.

Tuttavia, gli autori di questi attacchi non si sono riposati. Poco meno di un mese fa, siamo venuti a conoscenza di una nuova variante di Alureon che infetta il Master Boot Record (MBR) invece di un driver infetto. Sebbene questa nuova variante non interessasse le macchine a 64 bit, aveva un file inerte chiamato ldr64 come parte del suo file system virtuale. Più recentemente, abbiamo scoperto una variante aggiornata che infettava con successo macchine a 64 bit con Windows Vista o versioni successive, rendendo non avviabili le macchine Windows XP e Server 2003 a 64 bit.

Molte società di sicurezza hanno già aggiunto il rilevamento della variante a 64 bit alle loro applicazioni di sicurezza, ad esempio Microsoft ha aggiunto le firme a Microsoft Security Essentials all'inizio di agosto.

Tuttavia, i proprietari di Windows a 64 bit potrebbero voler verificare da soli che il rootkit non sia installato sul proprio sistema operativo. Come suggeriscono le informazioni precedenti, i proprietari di Windows XP e Windows Server 2003 noteranno immediatamente che qualcosa non va, poiché il loro sistema operativo non si avvia. Gli utenti di Windows Vista o Windows 7 a 64 bit dovrebbero continuare a leggere.

Ci sono almeno due opzioni per farlo, tutte con strumenti già inclusi nel sistema operativo:

Apri un prompt dei comandi, con Windows-R, immetti cmd e digita.

Usa il comando diskpart per aprire Diskpart in una nuova finestra della riga di comando.

accedere leggere dire nel nuovo prompt, se rimane vuoto, il computer viene infettato dal rootkit. Se i dischi vengono visualizzati, non lo è.

Buona

windows 64 bit rootkit detection
rilevamento rootkit di Windows a 64 bit

Male

diskpart
diskpart

La seconda opzione per rilevare il rootkit a 64 bit è la seguente: Avvia Gestione disco dal riquadro Gestione computer.

Se non mostra i dischi, significa che il sistema è stato infettato dal rootkit. Se mostra i dischi, va tutto bene.

Sistema infetto

al64-2
al64-2

Ulteriori informazioni sono disponibili all'indirizzo Technet e Symantec .

Come rimuovere il rootkit se il sistema è infetto:

Diversi programmi sono in grado di rimuovere il rootkit e riparare l'MBR in modo che il sistema si avvii normalmente dopo la riparazione.

Hitman Pro Beta 112 e versioni successive possono farlo, ad esempio.