TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ICSA Lab

Vir.IT eXplorer PRO supera il test internazionale VB100 2017-04

AMTSO

OpsWat



EICAR Membro SERIT - Security Research in ITaly

30/01/2011 18:11:00 - Nuove funzionalità Vir.IT eXplorer: introdotte tecniche avanzate per la rimozione automatica delle varianti di TDL3 e TDL4

Nella versione 6.8 di Vir.IT eXplorer sono state introdotte nuove e importanti funzionalità, tra cui tecniche avanzate per la rimozione automatica delle varianti dei ROOTKIT TDL3 e TDL4 (conosciuti anche con gli alias di Alureon, TDSS e TDSSkiller).


Rimozione Rootkit.TDL3.GEN - Vir.IT eXplorer Lite

TDL3 e TDL4 sono una "famiglia" di ROOTKIT molto temibile che attaccano i Sistemi Operativi Microsoft Windows. Sono considerati tra i malware più virulenti e pericolosi in circolazione, in quanto sono capaci di nascondersi nel sistema impedendo alla maggior parte dei software AntiVirus, commerciali e non, la loro individuazione e rimozione.

I rootkit TDL3 e TDL4 si diffondono attraverso siti di crack e/o reti peer-to-peer e, una volta infettato il computer, scaricano ed eseguono periodicamente altri malware.

Il TDL, chiamato così dai suoi stessi creatori, non è un malware vero è proprio, ma si può considerare come il primo di una nuova famiglia di malware con funzionalità di rootkit che costituisce una base e un insieme di tool di appoggio (anche detto framework) per altri malware. In poche parole, un sistema infetto da TDL è pronto per ricevere altri malware che si trovano la strada aperta e un framework di appoggio da utilizzare per complicare notevolemente la loro rimozione, utilizzando, ad esempio, gli strumenti che il TDL mette a disposizione degli altri malware per nascondersi al sistema (e di conseguenza agli AntiVirus). Non a caso l’acronimo TDL può essere interpretato come Trojan DownLoader.


La variante TDL3 infetta il sistema modificando un file di un device driver, scegliendone uno a caso iterando attraverso la lista di quelli caricati da Windows, per garantirsi l’esecuzione ogni volta che viene caricato il sistema operativo. L’installazione avviene attraverso alcuni step specifici. Quando viene eseguito l’installer (anche chiamato dropper), viene eseguita una dll attraverso l’esecuzione di un servizio, che a sua volta carica un device driver che si occupa di agganciarsi ad alcune funzioni del driver miniport del disco, per controllare le operazioni (in lettura e scrittura) che vengono effettuate sul disco. Questa tecnica gli serve per poter nascondere le sue componenti e i suoi file al Sistema Operativo e a chiunque li dovesse richiedere, evitando anche che qualcuno riesca a leggere o sovrascrivere i suoi settori sul disco (che in ogni caso sono criptati).
Tutte queste operazioni gli garantiscono l’esecuzione ad ogni avvio del Sistema Operativo e un buon livello di protezione e di invisibilità.

Il TDL4, pur presentando delle funzionalità simili al suo predecessore, ha un modo completamente diverso di infettare la macchina e può variare anche tra i diversi Sistemi Operativi. La cosa comune tra tutte le varianti del TDL4 è che infettano l’MBR (Master Boot Record) del disco, sostituendo quello che trova al momento della prima infezione con uno infetto che gli garantisce l’esecuzione del suo codice virale ben prima che Windows venga caricato. In questo modo, una volta caricatosi in memoria quando il computer fa il boot, il TDL4 è libero di effettuare le sue operazioni , nascondersi al Sistema Operativo, scaricare altri malware, ecc... utilizzando tecniche simili a quelle del TDL3.


I ricercatori del C.R.A.M. (Centro Ricerche AntiMalware della TG Soft) hanno studiato questi ROOTKIT, in collaborazione con gli autori di Vir.IT eXplorer PRO, ed elaborato algoritmi avanzati per la loro identificazione e rimozione (in modo automatico).


Quindi, se non avete già avuto modo di apprezzare i software distribuiti da TG Soft, Vi invitiamo a provare Vir.IT eXplorer Lite - Free Edition -, che è la versione gratuita e liberamente utilizzabile, sia in ambito privato che commerciale, della suite AntiVirus e AntiSpyware Vir.IT eXplorer PRO. Ricordiamo, inoltre, che Vir.IT eXplorer Lite è stata progettata e realizzata per essere completamente interoperabile con altri AntiVirus e/o Internet Security già presenti sul computer, senza doverli disinstallare e senza provocare rallentamenti.

Download Vir.IT eXplorer Lite

Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283