image

Rootkit auteur: Rootkits zijn schuld van anti-virusindustrie

woensdag 21 december 2005, 13:14 door Redactie, 13 reacties

Hacker Defender behoort tot een van de bekendste rootkits die op dit moment actief zijn. De geniepige software is het werk van een man genaamd "Holy Father", die een gratis en een commerciele variant van de rootkit aanbiedt. Holy Father heeft nu laten weten waarom hij de rootkit geschreven heeft. Het is namelijk de schuld van de anti-virusindustrie, die alleen maar schijnveiligheid zou verkopen.

Virusscanners kunnen bekende wormen detecteren en zelfs rootkits als ze de juiste update hebben gekregen. Volgens Holy Father is dit geen oplossing van het probleem, waardoor hij en andere rootkits keer op keer de beveiliging van de virusscanner weten te omzeilen, soms door het aanpassen van één byte. Toch is dit een zeer winstgevend model voor de anti-virusaanbieders, die de situatie het liefst onveranderd zien.

Veel security aanbieders zeggen dat hun produkten en oplossingen rootkits kunnen detecteren, maar volgens Holy Father is dit niet het geval. Hij past zijn rootkit namelijk voor elke klant aan, zodat detectie van de één geen gevolg heeft voor andere klanten.

De wereld wacht dan ook nog steeds op de eerste echte rootkit detector die Hacker Defender weet te vinden. Tot die tijd is Hacker Defender er als herinnering aan anti-virusaanbieders dat ze hun produkten moeten verbeteren.

Reacties (13)
21-12-2005, 13:37 door G-Force
Ik heb zelden zoveel bijelkaar geraapte smoesjes
gehoord....Het is altijd de schuld van een ander, nooit van
de persoon zelf.
21-12-2005, 13:56 door Anoniem
Toch wel eigenaardig. Als Holy Father het allemaal zo goed weet waarom
begint hij geen anti-virusbedrijf. Zou de markt veroveren op één dag.
21-12-2005, 14:09 door sikkes
hij weet wat er moet gebeuren, niet hoe het dan precies
gedaan moet worden, want dat is toch een stukje lastiger.
21-12-2005, 14:09 door [Account Verwijderd]
[Verwijderd]
21-12-2005, 15:10 door Anoniem
Door Hyper
Kan
[url=http://www.sysinternals.com/Utilities/RootkitRevealer.html]
RootKitRevealer[/url]
hem dan ook niet detecteren? Dit programma werkt niet met
signatures maar vergelijkt een scan van het Windows
bestandssysteem met een scan via een interne driver.

Is geen probleem voor rootkitrevealer.
F-Secure blacklight kan het ook.
21-12-2005, 15:10 door Anoniem
wat een gelul.

een rootkit detecteren kan alleen als het een publieke en
dus standaard versie betreft die getoetst kan worden aan de
hand van een signature. dus idd, het veranderen van een
enkel bitje kan al een negatieve herkenning opleveren.

maar dit boeit niet zo, iedereen met ook maar een beetje
degelijke (bash) scripting kennis kan er in een uurtje of
minder eentje zelf schrijven... ga die maar eens terug vinden.
21-12-2005, 15:36 door [Account Verwijderd]
Waarom arresteren ze zo iemand niet? is dit geen bekentenis
ofzo?
21-12-2005, 16:32 door Anoniem
Het is waar dat de anti-virusindustrie alleen
schijnveiligheid verkoopt, maar is het niet de schuld van
die industrie dat er rare misdragende figuren rondlopen die
vervelende, soms schadelijke broncode schrijven.
21-12-2005, 20:05 door Anoniem
TruePrevent van PandaSoftware kijkt naar
ongebruikelijke activiteiten (lees rootkit, trojan etc) in
een systeem. 100% veiligheid bestaat niet maar TruePrevent
werkt erg goed op Windows systemen.
21-12-2005, 20:45 door Anoniem
Door Anoniem
broncode schrijven.

Broncode schrijven? :-)
21-12-2005, 23:29 door Anoniem
Door donenzone
Waarom arresteren ze zo iemand niet? is dit geen bekentenis
ofzo?

omdat het geen misdaad is rootkits te maken?
22-12-2005, 16:49 door Anoniem
Technisch gezien heeft de coder gelijk. Vergeet Blacklight
etc - die ontdekking private builds van deze rootkit totaal
niet. Process Guard (http://www.diamondcs.com.au) is in principe de
enige software die elke variant ontdekt.
14-01-2006, 13:18 door Anoniem
Door Hyper
Kan
[url=http://www.sysinternals.com/Utilities/RootkitRevealer.html]RootKitRevealer[/url]
hem dan ook niet detecteren? Dit programma werkt niet met
signatures maar vergelijkt een scan van het Windows
bestandssysteem met een scan via een interne driver.

Tot dusver heb ik nog geen enkele goed werkende
rootkitdetector gevonden uitgezonderd op de site van
holy-father zelf, namelijk pm. Ook RootKitRevealer is een
klucht, heb het zelf uitgetest omdat HF beweert dat RKR ook
te omzeilen valt met zijn HackerDefender. Spijtig genoeg
moet ik hem gelijk geven....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.