Soru: BootKit tipi Malware ler nasıl temizlenir?
Bilinen BootKit ler;
· TDSS TDL4;
· Sinowal (Mebroot, MaosBoot);
· Phanta (Phantom, Mebratix); Trup (Alipop); Whistler;
· Stoned, ve bilinmeyen bootkitleri sezgisel analiz teknolojisiyle tespit eder.
Çözüm:
Temizleme;
1- http://akademi.infonet.com.tr/kaspersky_tool/tdsskiller.zip adresinden tool’u indirin.
2- Sıkıştırılmış dosyadan bir klasore çıkartın.
3- TDSSKiller.exe dosyasını çalıştırın.
4- Tarama ve temizleme tamalanıncaya kadar bekleyiniz. Temizleme tamamlandıktan sonra
makinanın yeniden başlatılmasını gerektirebilir.
Tool Kullanımı;
1- Start Scan butonuna basınız ve taramayı başlatınız
2- Eğer program, MBR BootKit gibi bir enfeksiyon tespit ederse, virüslü nesne tespit edildi
nesne tipi “Physical Drive(Fiziksel Sürücü)” raporlar ve eylem isteminde bulunur.
o Cure: Bu eylem yalnızca tam bootkit tespiti yaptıysa kullanılabilir. Bilinmeyen bir
bootkit varsa Rootkit.Win32.BackBoot.gen olarak bildirilecektir.
o Skip: Hiçbir işlemin yapılmamasını belirtir.
o Copy to quarantine: Enfekte MBR yi karantinaya taşır.
o Restore: Standart MBR ye dönüştürür.
TDSSKiller.exe aracı için komut satırı anahtarları;
-l<dosya_adi> dosyanın içerisine logları kaydeder.
-gpath<folder_path> Karantina dosyası uzantısı(eğer yoksa kendisi oluşturur).
-h yardım seçeneğini açar.
-sigcheck şühpeli tüm imzalı sürücüleri tespit eder
-tdlfs TDLFS dosya sistemi tespit edilirse, TDL rootkitlerin ¾ ü dosyaları
depolamak için hardiskin son sektörlerinde oluşturur. Bu dosyaları karantinaya atmak
mümkündür.
Aşağıdaki anahtarların kullanılması aracın arkaplanda çalışmasına izin verir.
-qall Bütün dosyaları karantinaya taşı.
-qsus Sadece şüpheli öğeleri karantinaya bırak.
-qmbr Bütün MBR’leri karantinaya taşı
-qsvc<service_name> Servisi karantinaya taşı
-dsvc<service_name> Servisi sil
-silent Ağ üzerinden merkezi programla tarama gerçekleştirilebilir. Arka
planda çalışır herhangi bir pencere görüntülenmez.