ZeroAccess Rootkit - Como remover?

 

O rootkit ZeroAccess, também conhecido como Max++, consiste num código extremamente maligno na forma de um malware que foi desenhado para iniciar uma intensiva campanha de marketing e propaganda logo após infiltrar-se num computador. A forma como este malware infiltra-se num computador é bem simples, e envolve o uso de brechas de segurança do sistema junto com o download de programas infectados, geralmente através de atualizações falsas do Adobe Reader ou do Java. É possível dizer que o objetivo do rootkit ZeroAccess é estabelecer uma plataforma oculta, indetectável e irremovível que possa ser utilizada como um auxílio para trazer para a máquina outros programas malware no PC alvo. Como você vê, trata-se de um rootkit avançado e sofisticado. Tal como fazem os rootkits, ele irá se esconder e irá esconder outros processos mal intencionados, protegendo-os de detecção e remoção.

O rootkit ZeroAccess é muito semelhante ao TDSS rootkit, sendo que ele compartilha tanto certos aspectos funcionais e, até mesmo, algumas porções de código. Ambos são capazes de se esconder da varredura de programas anti-malware, ou de interromper o funcionamento de programas legítimos eliminando o processo deles no sistema. Para falar a verdade, é bem difícil para a vítima distinguir um Cavalo de Troia do outro sem fazer uma varredura no sistema. O ZeroAccess é um dos Cavalos de Troia responsáveis pelo hijacked Google results. O sintoma engloba redirecionamentos para outras páginas a partir do clique no resultado de uma pesquisa (fraude na pesquisa web), e redirecionamentos para outras páginas que promovem a venda de certos produtos que nada tem a ver com o assunto pesquisado. Além disso, o ZeroAccess é capaz de bloquear o funcionamento da página web de antivírus e anti-malware legítimos.

O ZeroAccess é utilizado para múltiplas atividades desonestas. Um dos seus objetivos é interromper o funcionamento de programas antivírus legítimos e desse modo limitar as chances de remoção de outros parasitas e dele mesmo. Um segundo objetivo é possibilitar que as pessoas que desenvolvem vírus e malware (bandidos da internet) arrecadem algum dinheiro, através do serviço de publicidade e de redirecionamento a parceiros. Por uma questão de justiça é necessário dizer que algumas dessas páginas também são vítimas desse esquema. Há vezes em que o proprietário de uma página não está ciente que aqueles visitantes são oriundos de algum esquema de visitação forçada engendrado por um rootkit como o ZeroAccess. E, por fim, este rootkit funciona como uma “cabeça de ponte”, fazendo o download e instalando outros programas indesejados como Cavalos de Troia, adware, antivírus falsos, parasitas de modo geral, etc. O ZeroAccess também é capaz de baixar e tentar ganhar dinheiro com programas semi-legítimos, por exemplo, ele pode fazer uma parceria com o desenvolvedor de um programa e, em troca do download e da instalação do programa, cobrar um valor para que isto aconteça. Todas essas características tornam este rootkit extremamente perigoso. Você deverá fazer uma varredura e remover o ZeroAccess logo nos primeiros sintomas da presença dele no computador.

Os diversos programas antivírus têm nomes diferenciados para o ZeroAccess. É possível até que o mesmo programa antivírus tenha nomes diferenciados para versões diferentes deste rootkit. Alguns nomes utilizados incluem:

Trojan.Zeroaccess.X (Ikarus, Symantec)

ZeroAccess.XX (AVG, McAffee)

Backdoor.Maxplus.XX (Dr.Web )

Há vezes em que ele também é detectado como o Sirefef, ou Jorik. Em muitos casos estas versões incluem diferenças de tamanho, embora nem sempre haja uma grande diferença entre um e outro.

Lembre-se: o rootkit ZeroAccess utiliza tecnologia rootkit bem avançada para conseguir ocultar a sua presença no sistema. Além disso ele tentará bloquear o download e a execução de programas legítimos. Dependendo da versão do ZeroAccess, há diferentes procedimentos para lidar com ele.

1. Remova o ZeroAccess com um programa Anti-Malware e Antivírus normal

Alguns programas anti-malware podem não ser bloqueados ou removidos do sistema pelo ZeroAccess. Isto dependerá da versão e do banco de dados específico dele. O que você fazer é baixar várias ferramentas, e tentar fazer uma varredura no sistema com cada uma delas. Por exemplo, baixar, instalar e utilizar o: Spyhunter, Hitman Pro, Kapersky, Avast, etc. Este é o método mais fácil e a melhor maneira (quando funciona) de eliminar o ZeroAccess já que cada uma dessas varreduras tem uma chance mínima de causar danos ao seu sistema.

2. Utilizando ferramentas anti-Rootkit específicas para a Remoção do ZeroAccess

O ZeroAccess pode ser removido com algumas ferramentas anti-rootkit específicas para tratar esse tipo de infecção. O desafio é que o rootkit permitir o funcionamento dessa ferramenta específica. Uma boa opção é o TDSS killer. Ele funciona muito bem com esta família de rootkits, e é capaz de ser utilizado tanto em sistemas de 32-bits, quanto de 64-bits. Existem outras ferramentas também, para uma lista completa visite a seção links para ferramentas anti-rootkit.

3. Utilizando um Antivírus Inicializável por CD para eliminar o ZeroAccess

Este é o processo mais trabalhoso para remover um rootkit como o ZeroAccess, pois para fazê-lo você terá de formatar um CD ou um PenDrive USB e dar a partida no sistema com ele. Este CD deverá ser gravado num PC sem infecções. Fazer uma varredura com esse tipo de antivírus alternativo que dá a partida no sistema envolve certo risco de causar mau funcionamento no sistema, especialmente quando alguns drivers do sistema são removidos (como é o caso do ZeroAccess). Depois de fazer uma varredura com um desses antivírus, você terá de repor os arquivos originais que estavam infectados e que foram removidos. Os arquivos dos drivers do sistema terão de ser baixados de alguma página específica, ou copiados do cache de drivers, antes que o sistema seja reinicializado normalmente. É possível fazer uso da Reparação da Instalação do Windows também. Aqui você encontra uma introdução aos Antivírus Inicializáveis.

Caso você tenha optado pela alternativa 2 ou 3, faça em seguida uma varredura no sistema com um programa anti-malware para garantir que quaisquer resquícios da infecção pelo ZeroAccess tenham sido removidos, bem como outros Cavalos de Troia, malware, programas antivírus falso, os quais não são removidos pelas ferramentas anti-rootkit e que podem ter sobrevivido ao antivírus inicializável por CD.

 

Ferramentas de ZeroAccess Rootkit remoção automática

 

Outras ferramentas

 
  0   1
    Spyhunter
  0   0
    Hitman Pro
  0   0
    Malwarebytes anti-rootkit
 
  We might be affiliated with some of these programs. Full information is available in disclosure             
     

Deixar uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *