Nieuws
image

Nieuwe variant Sony rootkit Trojaans paard werkt wel

vrijdag 11 november 2005, 09:51 door Redactie, 7 reacties

Gisteren verscheen het eerste Trojaanse paard dat zich wist te verstoppen dankzij de rootkit technologie die Sony via haar CD's op Windows systemen installeert. De virusschrijver had echter enkele fouten gemaakt. Als de rootkit actief is tijdens de infectie, zal de bot namelijk niet werken. Vanwege een programmeerfout overleeft de bot geen herstart van de computer.

De virusschrijver kwam snel achter zijn fout, want er is inmiddels een nieuwe variant van de
Breplibot.C Trojan verschenen. De nieuwe variant verhelpt een aantal fouten die in de Breplibot.B variant aanwezig waren. Het kopieert nu het bestand '$sys$xp.exe' in plaats van '$sys$drv.exe' naar de Windows systeem directory.

Net als de B-variant maakt de bot verbinding met verschillende IRC servers en wacht het op commando's van de backdoor auteur. Verder gebruikt het Sony DRM software voor het verstoppen van de processen, bestand en registersleutels.

Reacties (7)
11-11-2005, 10:17 door Anoniem
Toch fijn, dat ze zo snel een "update" doen van deze fijne software ;)

Zeker snellere service dan menigeen groot softwarebedrijf...
11-11-2005, 11:18 door Anoniem
Ik heb een serieuze vraag. Ik weet niet precies hoe 'zwaar'
een verbinding met een IRC server is. Ik vraag me gewoon af
hoeveel verbindingen je tegelijk aan bijv mijn PC zou kunnen
hangen.

Kheb ADSL 1600/512 (dus 50kB upload). De verbinding zelf
kost geen dataverkeer, maar het lijkt me ook niet dat je
zomaar 1.000.000 verbindingen eraan zou kunnen hangen,
zitten hier geen limieten aan?

Als iemand me hier een antwoord op kan geven zou ik dat heel
fijn vinden.
11-11-2005, 12:18 door Anoniem
hmmm apart verhaal weer,
als een iets minder bekend bedrijf dan sony deze rootkit had
installed waren de rapen gaar geweest.
11-11-2005, 12:38 door SirDice
Ik weet niet precies hoe 'zwaar' een verbinding met een IRC server is.
IRC is niet zo "zwaar".. Het is alleen maar wat tekst.. meer niet..

De verbinding zelf kost geen dataverkeer, maar het lijkt me ook niet dat je zomaar 1.000.000 verbindingen eraan zou kunnen hangen, zitten hier geen limieten aan?
De verbinding zelf kost wel degelijk dataverkeer. Voornamelijk control. Maar dat is niet echt veel. En het aantal verbinding hangt af van je machine, de verbinding en de instellingen van het OS..
11-11-2005, 13:46 door Anoniem
wordt dat '$sys$xp.exe' bestand wel herkent door anti virus en anti
spyware software?
11-11-2005, 15:09 door Anoniem
Als ik me goed kan herinneren na diverse problemen met throughput te
hebben gehad, beperkt Windows XP servicepack 2 het aantal verbindingen
tot 10 per seconde. Zouden ze hebben gedaan om worm uitbraken tegen
te gaan. Prutsers... Nu haal je een van de weinige zichtbare manieren om
een zombie te achterhalen weg, maarja, Microsoft en security...
11-11-2005, 20:04 door G-Force
[color=red]Symantec heeft een REMOVALTOOL voor de Sony ROOTKIT gemaakt en is
te downloaden via de onderstaande link. Lees eerst aandachtig deze
website door en volg de instructies op.[/color]

Link: http://securityresponse.symantec.com/avcenter/venc/data/securityrisk.first4drm.html?Open
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure