Digitale bankrover overleeft nieuwe Windows installatie
Een Trojaans paard dat speciaal gemaakt is om geld van online bankrekeningen te stelen weet zich nu op zo'n manier te verstoppen dat het ook de herinstallatie van Windows overleeft. Het gaat om de Gozi banking Trojan, waarvan de maker onlangs nog in de Verenigde Staten werd aangeklaagd. Het lijkt er echter op dat de ontwikkeling van de malware door iemand anders is overgenomen.
Een 'nieuwe' variant is namelijk in staat om de Master Boot Record van de harde schijf te infecteren, zoals vaak door rootkits wordt gedaan. Hierdoor bevindt de malware zich op een andere plek dan het besturingssysteem, waardoor het een nieuwe installatie van Windows kan overleven. Volgens beveiligingsbedrijf Trusteer is het zeer opmerkelijk dat banking Trojans het gedrag van rootkits vertonen.
Wat betreft de ontwikkeling gaat het hier om een oude variant die van rootkit-eigenschappen is voorzien. Dit zou mogelijk suggereren dat een nieuwe rootkit op fora voor cybercriminelen wordt verkocht en door de malwaremakers wordt gebruikt, zo laat het beveiligingsbedrijf weten.
Locatie
"Vanwege hun strategische plek in de kernel van het besturingssysteem, zijn rootkits lastig te identificeren en te verwijderen", zegt Etay Maor van Trusteer. Zodra Gozi een computer besmet wacht het totdat het slachtoffer Internet Explorer start. Vervolgens injecteert Gozi zich in het IE-proces en draait vervolgens binnen de browser.
Daar onderschept het verkeer en voert het 'web injections' uit. Het gaat dan om het tonen van extra velden waarin om inloggegevens of autorisatiecodes wordt gevraagd, of het klaarzetten van extra transacties.
Als je zegt "gebruik deze hele disk voor Windows" dan is de installatieprocedure er verantwoordelijk voor dat alles goed komt.
Disks worden immers niet geleverd met MBR en bootloader door de fabrikant.
Zelf denk ik dat windows toch de mbr wist, maar om zeker te zijn wis ik toch maar alles met de hand.
Hoe een hd leeg te maken, met gparted:
Let op harde schijf wordt nu helemaal leeg gemaakt:
Nu booten van de ubuntu livecd,(of gparted livecd of parted magic(hier zit gparted en clonezilla in)).
Gparted starten,
kies rechtsboven je hd,
verwijder alle partities,
boven in gparted de pulldown menu, kiezen device, Create partion table(mbr wissen),
(boven in gparted de pulldown menu, kiezen partition, manage flags, vink hier alles uit,)
doe dit voor alle hd's, reboot en installeer ubuntu of windows.
Zo maak je de hd ook schoon van virussen, formateren is niet genoeg.
En als je meerdere hd's hebt, dan moet je ook de andere hd's de mbr wissen,
want als je 1x boot vanaf die hd's die geinfecteerd is, dan ben je weer geïnfecteerd.
Natuurlijk is er ook een windows manier, maar daar zullen wel handleidingen voor zijn, maar je moet wel een installatie cd/dvd hebben.
Overleeft deze ook een format c: en eventueel het weggooien en opnieuw aanmaken van een partitie?
En wat kun je dan nog doen om je PC schoon te krijgen?
om de trojan te verwijderen zal je het MBR moeten wissen, je kan hier een tooltje als GParted voor gebruiken (live CD hier beschikbaar: http://gparted.sourceforge.net/livecd.php).
Voor het veilig wissen van je hele HDD raad ik Darik's Boot And Nuke aan: http://www.dban.org/
Hoe een hd leeg te maken, met gparted:
Let op harde schijf wordt nu helemaal leeg gemaakt:
[...]
Natuurlijk is er ook een windows manier, maar daar zullen wel handleidingen voor zijn, maar je moet wel een installatie cd/dvd hebben.
zoals hier beschreven onder "option two":
http://www.sevenforums.com/tutorials/2668-partition-volume-delete.html
of een andere manier met Diskpart, zoals hier beschreven:
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/dm_delete_partition.mspx
http://technet.microsoft.com/en-us/library/cc738489
Voor het kunnen verwijderen van een systeempartitie zul je wel met een Windows installatie-dvd of systeemherstelschijf moeten opstarten om command prompt (opdrachtprompt) te kunnen gebruiken via de Windows herstelopties.
En het terugzetten van een schone MBR zou in principe eveneens na opstarten met een Windows installatie-dvd of systeemherstelschijf en command prompt via de Windows herstelopties moeten kunnen.
Het commando bootrec /fixmbr overschrijft de MBR met een schone versie.
http://support.microsoft.com/kb/927392/en
http://www.howtogeek.com/howto/32523/how-to-manually-repair-windows-7-boot-loader-problems/
Maar uiteraard is er niets mis met de methoden met behulp van GParted.
En ten slotte -
Onder Windows Vista/7/8 is formatteren (N.B. niet snelformatteren) voldoende om de na verwijderen van de partitie(s) vrijgekomen ruimte geheel te overschrijven met nullen, een afdoende wismethode.
Voor Windows XP is formatteren niet voldoende om te overschrijven en is een alternatieve wismethode nodig, zoals bijvoorbeeld door middel van het genoemde DBAN.
Je bedoelt eerst "sys c: /u /s" en dan "fdisk /mbr". Toch?
Een low level format bestaat niet meer.
Formatteren van een partitie, partitioneren van een schijf en het schrijven van een master boot record zijn drie aparte acties.
Let op : Heel Veel PCs hebben een verborgen "recovery" partitie om het OS opnieuw te kunnen installeren.
Vaak heb je dan niet een windows installatie CD er meer bij.
Zonder nadenken met bv gparted alle partities weggooien kan je dan met een leeg systeem achterlaten.
Een low level format bestaat niet meer.
Formatteren van een partitie, partitioneren van een schijf en het schrijven van een master boot record zijn drie aparte acties.
Let op : Heel Veel PCs hebben een verborgen "recovery" partitie om het OS opnieuw te kunnen installeren.
Vaak heb je dan niet een windows installatie CD er meer bij.
Zonder nadenken met bv gparted alle partities weggooien kan je dan met een leeg systeem achterlaten.
Een geïnfecteerd systeem of een leeg systeem maakt weinig verschil, je kan beiden eigenlijk niet gebruiken. Overigens kan je meestal bij de fabrikant een installatie DVD aanvragen/kopen. Een andere optie is simpelweg een Windows iso downloaden en Windows installeren met de bij de computer geleverde registratiecode.
Beste is nog altijd voorkomen dat je besmet raakt: geen java, adobe flash/reader plugins, alleen google chrome gebruiken met een adblocker, virus scanner erbij en alles up-to-date houden en je bent al een heel eind.
@Euro10000 volgens mij moet je eerst Clonezilla gebruiken en dan Gparted gebruiken. Andersom kan ook maar dan is clonezilla snel klaar. Zo maar even een tip.
Oops ik zie dat Anoniem 23.21 me voor is, alhoewel ... "toch?" heb ik nu bevestigd :)
En aan Vicktor: sys was het commando om de system files te kopieren, dat kon ook worden meegegeven met een format commando, als je alles schoon wilde dan deed je dus allebei, oftewel eerst fdisk /mbr en dan format c: eventueel met /s (en /q als je haast had)
PS Rootkits kunnen ook in de recovery files terecht komen.
Gparted starten,
kies rechtsboven je hd,
verwijder alle partities,
boven in gparted de pulldown menu, kiezen device, Create partion table(mbr wissen),
Weet je dat heel zeker? Heb je dat gecontroleerd?
Het maken van een nieuwe partitie tabel wist bij veel fdisk programma's niet de MBR, om de gebruiker niet in
verrassing achter te laten met een unbootable disk...
De MBR wordt gelezen, partitietabel (laatste stuk) erin gezet, en de boel wordt terug geschreven.
Dit lijkt me dus geen goede manier.
Beter gewoon de 1e sectoren wissen en daarna opnieuw beginnen, dan is het een "nieuwe disk" voor Windows.
dd if=/dev/zero of=/dev/sda bs=4096 count=100
De vraag is echter wel of op een systeem met virus/hack, deze programmas dit nog steeds goed doen.
Kan iemand vertellen of dit een simpele oplossing is?
Groeten
Zodra je een virus hebt gebruik altijd onderstaande tools als aanvulling op je virusscan
- TDSSKILLER http://support.kaspersky.com/5350?el=88446
- MBAR http://www.malwarebytes.org/products/mbar (tip)
- MBAR http://www.malwarebytes.org/products/malwarebytes_free <- Ja, deze vind ook rootkits, trojans, enz enz)
Nu is de kans aanwezig dat er niks word gevonden en je toch een rootkit of mbr infectie hebt.
Bij windows 7 is het vaak goed de system reserved partitie van 100mb TE VERWIJDEREN.
Daarna windows 7 opstarten in opstarthestel en hij zal vanzelf een nieuwe partitie aanmaken. (dvd windows 7 benodigd)
Mocht je nu nog geinfecteerd zijn, dan zou ik inderdaad een mbr tooltje gaan gebruiken dmv een rescue usb/cd (vele te vinden op het internet).
Wist je dat je ook kan scannen in veilige modus zonder een antivirus te installeren ?
Online scanners:
- http://www.eset.com/us/online-scanner/ (tip)
- http://housecall.trendmicro.com/au/index.html
- http://www.f-secure.com/en/web/labs_global/removal-tools
Gr.
Robbin
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
