MBR rootkit nauwelijks te verwijderen
De MBR rootkit die eind vorig jaar voor het eerst werd ontdekt blijkt nauwelijks door beveiligingssoftware te verwijderen en wordt actief verspreid via het internet. De malware infecteert de Master Boot Record van de harde schijf en kan zodoende het besturingssysteem al infecteren voordat het geladen wordt. Om te bepalen of een systeem geïnfecteerd is moet beveiligingssoftware daarom eerder geladen worden dan de rookit.
De meeste virus- en rootkitscanners laden pas als het besturingssysteem gestart is en dan hebben ant-virusbedrijven de wedloop al verloren, zoals het Finse F-Secure openhartig toegeeft. Het bedrijf is met haar Blacklight anti-rootkit technologie gespecialiseerd in het vinden van rootkits, maar kan in het geval van MBR alleen vermoeden of een systeem besmet is. Om zeker te zijn moet er dan ook met boot CD's worden gewerkt.
Wat wel vaststaat is dat de malware door professionele programmeurs is ontwikkeld en alleen al tijdens twee aanvallen in december meer dan 5000 slachtoffers wist te maken. De rootkit downloadt aanvullende malware, bijvoorbeeld voor het plunderen van bankrekeningen. De rootkit verspreidt zich via drive-by downloads en misbruikt lekken in verschillende Microsoft programma's, maar ook in de software van AOL en Yahoo!. Dat het de aanvallers ernst is blijkt wel uit het feit dat de proof of concept voor twee van de exploits pas een maand bekend is.
geladen voordat MBR via een driveby binnenkomt, dan is de
kans 0 dat ie zich nestelt en dus neit meer is te verwijderen.
Kennelijk is het dus zinvol om nog steeds een virusscanner
te hebben.
0day opgelost wordt.
Als een goeie geupdate virusscanner (Kaspersky) wordt
geladen voordat MBR via een driveby binnenkomt, dan is de
kans 0 dat ie zich nestelt en dus neit meer is te verwijderen.
Kennelijk is het dus zinvol om nog steeds een virusscanner
te hebben.
Duidelijk struisvogelmentaliteit. De MBR code wordt geladen
vóórdat het OS ook maar aangeraakt wordt.
Als een goeie geupdate virusscanner (Kaspersky) wordt
geladen voordat MBR via een driveby binnenkomt, dan is de
kans 0 dat ie zich nestelt en dus neit meer is te verwijderen.
Kennelijk is het dus zinvol om nog steeds een virusscanner
te hebben.
Dat gebeurt dus nu net niet !
Als een goeie geupdate virusscanner (Kaspersky) wordt
geladen voordat MBR via een driveby binnenkomt, dan is de
kans 0 dat ie zich nestelt en dus neit meer is te verwijderen.
Kennelijk is het dus zinvol om nog steeds een virusscanner
te hebben.
mij is dat ook het geval met die van Kaspersky, dus gaat jouw commentaar
niet op. En zo goed is Kaspersky overigens nou ook weer niet, zie de diverse
vergelijkingen op internet maar.
daar is een verschil tussen.
Voor dat het op je MBR van je schijf staat moet je het eerst
hebben gekregen, via een bestand waar het virus in zat. Als
je iets download, ben je in de regel al ingelogd op je OS en
dus draait je virus scanner dan al.
Als je virus scanner het bestand dan blockeerd, dan krijg je
het virus niet. Kent je virus scanner op het moment van
uitvoeren het bestand nog niet, dan heb je dus kennelijk een
probleem. Want zelfs als je virus scanner de betreffende
variant / string wel herkend is het dus kennelijk al te
laat. Omdat deze niet meer kan detecteren of deze op je
computer aanwezig is.
Hij (Struisvogeltje) bedoelt als je het virus nog niet hebt,
daar is een verschil tussen.
Voor dat het op je MBR van je schijf staat moet je het eerst
hebben gekregen, via een bestand waar het virus in zat. Als
je iets download, ben je in de regel al ingelogd op je OS en
dus draait je virus scanner dan al.
Als je virus scanner het bestand dan blockeerd, dan krijg je
het virus niet. Kent je virus scanner op het moment van
uitvoeren het bestand nog niet, dan heb je dus kennelijk een
probleem. Want zelfs als je virus scanner de betreffende
variant / string wel herkend is het dus kennelijk al te
laat. Omdat deze niet meer kan detecteren of deze op je
computer aanwezig is.
Bravo! Jij kan dus wel goed lezen.
voordat het besturingssysteem laadt.
als fdisk /mbr niet helpt, dan help ghost wel met dit
probleem.
Maar dan moet je wel weten dat je die rootkit hebt.
Als het een "goed werkende" rootkit is weet je dat
niet...scary m*therf*cker.
met bootable floppies en CD's. Achterlijk voor worden dat
dat bijna niet meer bestaat ! Het was in de DOS tijd al
bekend dat je altijd schoon moest booten om te scannen !
Daar is men vanaf gestapt ! Lang leve Knoppicillin 6, nu bij
het blad CT in de Winkel.
maken en rebooten, vervolgens kan je de andere schijf/partitie (met je OS)
volledig scannen. Hoe komt zo een rootkit trouwens op je machine?
Hoe komt zo een rootkit trouwens op je machine?
IE ... !? (F)outlook..... !? (Niet bedoeld om
de gebruikelijk Flamers wakker te schudden, maar ik vraag me
inderdaad af; is dit b.v. browser onafhankelijk ?! )
Hoe komt zo een rootkit trouwens op je machine?
IE ... !? (F)outlook..... !? (Niet bedoeld om
de gebruikelijk Flamers wakker te schudden, maar ik vraag me
inderdaad af; is dit b.v. browser onafhankelijk ?! )
Vergeet niet sommige Sony Audio CD's. Daar zat ook een
rootkit op. En zelfs op Sony USB-sticks. Zie
http://www.security.nl/article/16789/1/Sony_USB-stick_installeert_rootkit.html
1/
a/ wanneer ik format, veeg ik dan MBR uit?
b/ wanneer ik format onder linux/gparted, veeg ik dan MBR uit?
2
wanneer ik een Linux distro + grub installeer, overschrijft
grub dan de hele MBR?
heeft iemand Avast draaien, want zover ik weet is deze tot
een scan in staat
voordat het besturingssysteem laadt.
Voordat je Avast kunt opstarten, zal er eerst een
besturingssysteem moeten worden geladen.
Dit zou eventueel vanaf diskette, CD of zo kunnen.
2 praktische vraagjes van een gezel aan een meester:
1/
a/ wanneer ik format, veeg ik dan MBR uit?
b/ wanneer ik format onder linux/gparted, veeg ik dan MBR uit?
2
wanneer ik een Linux distro + grub installeer, overschrijft
grub dan de hele MBR?
1.a) Nee, want Formaat "initialiseert" alleen het
bestandssysteem;
1.b) Nee, want doet het zelfde als 1.a. + het wijzigen van de partitietabel.
2.) Twijfelachtig, normaal blijft er altijd een kopie van de
vorige MBR code beschikbaar. Wellicht is er wel een optie
onder GRUB om dat te doen, hier heb ik in ieder geval geen
ervaring mee.
Kan op een mooi lopend win systeem gezet worden.....
keywords: grub erase mbr
This will wipe out the MBR of a disk (sda in this example):
dd if=/dev/zero of=/dev/sda bs=512 count=1
is ?
Herinner me dat oudere bios'n ook een optie hadden tegen
overschrijven van bootsector..
van een CD hebt runnen. Heb je geeneens de desktop nodig :-D
(boot: knoppix 2)
geen directe disk toegang toestaat en dat de defrag API zo'n
beetje mogelijk het meest directe is wat mogelijk is.
Apart dat zo'n oude en zeer bekende methode van virus
verspreiding dan toch weer opduikt. Ik heb ooit ook eens
mijn eigen bootloader geschreven in assembly maar dat is
toch al minstens 15 jaar geleden. Geen virus, maar gewoon
voor de fun. Hij toonde alleen een loading message en starte
MS-DOS vanaf de actieve partitie.
http://www.oiepoie.nl/2007/08/04/caught-a-virus-trinity-to-the-rescue/
is een handige bootable cdrom met meerdere (4!)
virusscanners. Als ClamAV, F-Prot, AVG en BitDefender geen
van alle iets vinden om je harddisk kan je er redelijk zeker
van zijn dan je schoon ben.
De virusscanners updaten zichzelf eerst via het netwerk
(mits de computer is aangesloten op Internet).
Kost niets, en je kunt er gewoon vanaf cd mee scannen.
http://www.ubcd4win.com/
initDiskillegal partition table *
drive 00 sector 0
illegal partition table * drive 00 sector 0
illegal partition table * drive 00 sector 0
illegal partition table * drive 00 sector 0
Je krijgt het dus niet weg met Testdisk 6.9B en Doctor
partition table,Windows FIXMBR .Low format Unallocated h80.
enz .enz Krijg het weg maar als je gaat Formateren zit het
er weerin. En dit hebben heel veel mensen en weten niet dat
het erin zit maar hebben wel onverklaarbare problemen met
hun PC.Page not found 401.Scanner doet het niet goed virus
scanner wordt gedeactiveert.Firewall gaat uit.enz.enz.Je
vindt het met het programma http://www.killdisk.com/ als je
hiermee low format. Dan zie je dat bij het Rebooten.
niet veel meer als dat het over een bootkit gaat(?) kunnen jullie in niet
computertaal vertellen wat ik nou moet doen, ik heb het al geprobeerd te
verwijderen en kapersky zegt dan ook dat het gelukt is, maar de volgende dag
gebeurt het weer opnieuw. ik zou niet weten wat ik moet doen want zolang als
ik het heb verstuurd hij ook dingen waardoor anderen het ook krijgen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
