image

Wapenwedloop tussen rootkit en anti-virus ontwikkelaars

dinsdag 11 oktober 2005, 10:05 door Redactie, 0 reacties

Al meerdere malen is er de afgelopen maanden gewaarschuwd voor rootkits. De geniepige software geeft aanvallers volledige toegang tot het systeem, zonder dat de eigenaar dit in de gaten heeft. De verwachting is dat virusschrijvers steeds vaker hun virussen en spyware van rootkit technologie voorzien.

Een probleem is dat rootkits gewoon via het internet aangeschaft kunnen worden. Voor een bedrag rond de 500 euro beschikt men al over de "Golden Hacker Defender". Deze commerciele versie van de bekende rootkit beschikt over een eigen anti-detectie engine, waardoor het voor de meeste rootkit detectors onzichtbaar blijft. De anti-detectie engine herkent een detector via een "binary signature" voordat de detector de kans heeft om actief te worden. Als de rootkit de detector herkent, kan die de detector uitschakelen of aanpassen zodat de rootkit niet gevonden wordt.

Onlangs werd de Golden Hacker Defender bij een bedrijf op de Windows server aangetroffen. De aanvaller had de signatures van de rootkit niet van de laatste versie voorzien, waardoor die door een detector herkend werd. Het geeft wel aan dat er een ware wedloop gaande is tussen rootkit en anti-virus ontwikkelaars, waarbij virusschrijvers detectie van de nieuwste scanner aan hun rootkit toevoegen, terwijl anti-virus ontwikkelaars dit voor hun scanners doen.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.