image

MBR rootkit nauwelijks te verwijderen

woensdag 5 maart 2008, 10:39 door Redactie, 27 reacties

De MBR rootkit die eind vorig jaar voor het eerst werd ontdekt blijkt nauwelijks door beveiligingssoftware te verwijderen en wordt actief verspreid via het internet. De malware infecteert de Master Boot Record van de harde schijf en kan zodoende het besturingssysteem al infecteren voordat het geladen wordt. Om te bepalen of een systeem geïnfecteerd is moet beveiligingssoftware daarom eerder geladen worden dan de rookit.

De meeste virus- en rootkitscanners laden pas als het besturingssysteem gestart is en dan hebben ant-virusbedrijven de wedloop al verloren, zoals het Finse F-Secure openhartig toegeeft. Het bedrijf is met haar Blacklight anti-rootkit technologie gespecialiseerd in het vinden van rootkits, maar kan in het geval van MBR alleen vermoeden of een systeem besmet is. Om zeker te zijn moet er dan ook met boot CD's worden gewerkt.

Wat wel vaststaat is dat de malware door professionele programmeurs is ontwikkeld en alleen al tijdens twee aanvallen in december meer dan 5000 slachtoffers wist te maken. De rootkit downloadt aanvullende malware, bijvoorbeeld voor het plunderen van bankrekeningen. De rootkit verspreidt zich via drive-by downloads en misbruikt lekken in verschillende Microsoft programma's, maar ook in de software van AOL en Yahoo!. Dat het de aanvallers ernst is blijkt wel uit het feit dat de proof of concept voor twee van de exploits pas een maand bekend is.

Reacties (27)
05-03-2008, 11:20 door Anoniem
Als een goeie geupdate virusscanner (Kaspersky) wordt
geladen voordat MBR via een driveby binnenkomt, dan is de
kans 0 dat ie zich nestelt en dus neit meer is te verwijderen.
Kennelijk is het dus zinvol om nog steeds een virusscanner
te hebben.
05-03-2008, 11:29 door Anoniem
maar een MBR virus dat via een 0day exploit binnenkomt blijft, ook nadat de
0day opgelost wordt.
05-03-2008, 11:40 door Anoniem
Door Struisvogeltje
Als een goeie geupdate virusscanner (Kaspersky) wordt
geladen voordat MBR via een driveby binnenkomt, dan is de
kans 0 dat ie zich nestelt en dus neit meer is te verwijderen.
Kennelijk is het dus zinvol om nog steeds een virusscanner
te hebben.

Duidelijk struisvogelmentaliteit. De MBR code wordt geladen
vóórdat het OS ook maar aangeraakt wordt.
05-03-2008, 11:52 door Anoniem
Door Struisvogeltje
Als een goeie geupdate virusscanner (Kaspersky) wordt
geladen voordat MBR via een driveby binnenkomt, dan is de
kans 0 dat ie zich nestelt en dus neit meer is te verwijderen.
Kennelijk is het dus zinvol om nog steeds een virusscanner
te hebben.

Dat gebeurt dus nu net niet !
05-03-2008, 11:52 door Nomen Nescio
Door Struisvogeltje
Als een goeie geupdate virusscanner (Kaspersky) wordt
geladen voordat MBR via een driveby binnenkomt, dan is de
kans 0 dat ie zich nestelt en dus neit meer is te verwijderen.
Kennelijk is het dus zinvol om nog steeds een virusscanner
te hebben.
Heb jij wel gelezen? Zo'n scanner laadt pas NADAT het OS gestart is. Volgens
mij is dat ook het geval met die van Kaspersky, dus gaat jouw commentaar
niet op. En zo goed is Kaspersky overigens nou ook weer niet, zie de diverse
vergelijkingen op internet maar.
05-03-2008, 12:11 door Sith Warrior
Hij (Struisvogeltje) bedoelt als je het virus nog niet hebt,
daar is een verschil tussen.

Voor dat het op je MBR van je schijf staat moet je het eerst
hebben gekregen, via een bestand waar het virus in zat. Als
je iets download, ben je in de regel al ingelogd op je OS en
dus draait je virus scanner dan al.

Als je virus scanner het bestand dan blockeerd, dan krijg je
het virus niet. Kent je virus scanner op het moment van
uitvoeren het bestand nog niet, dan heb je dus kennelijk een
probleem. Want zelfs als je virus scanner de betreffende
variant / string wel herkend is het dus kennelijk al te
laat. Omdat deze niet meer kan detecteren of deze op je
computer aanwezig is.
05-03-2008, 12:19 door Anoniem
Door Sith Warrior
Hij (Struisvogeltje) bedoelt als je het virus nog niet hebt,
daar is een verschil tussen.

Voor dat het op je MBR van je schijf staat moet je het eerst
hebben gekregen, via een bestand waar het virus in zat. Als
je iets download, ben je in de regel al ingelogd op je OS en
dus draait je virus scanner dan al.

Als je virus scanner het bestand dan blockeerd, dan krijg je
het virus niet. Kent je virus scanner op het moment van
uitvoeren het bestand nog niet, dan heb je dus kennelijk een
probleem. Want zelfs als je virus scanner de betreffende
variant / string wel herkend is het dus kennelijk al te
laat. Omdat deze niet meer kan detecteren of deze op je
computer aanwezig is.

Bravo! Jij kan dus wel goed lezen.
05-03-2008, 12:37 door pietje.puk
heeft iemand Avast draaien, want zover ik weet is deze tot een scan in staat
voordat het besturingssysteem laadt.
05-03-2008, 13:46 door spatieman
als fdisk /mbr niet helpt, dan help ghost wel met dit probleem.
05-03-2008, 13:48 door Anoniem
Door spatieman
als fdisk /mbr niet helpt, dan help ghost wel met dit
probleem.

Maar dan moet je wel weten dat je die rootkit hebt.

Als het een "goed werkende" rootkit is weet je dat
niet...scary m*therf*cker.
05-03-2008, 14:14 door Anoniem
Tjonge.... waar is die tijd gebleven dat je moest scannen
met bootable floppies en CD's. Achterlijk voor worden dat
dat bijna niet meer bestaat ! Het was in de DOS tijd al
bekend dat je altijd schoon moest booten om te scannen !
Daar is men vanaf gestapt ! Lang leve Knoppicillin 6, nu bij
het blad CT in de Winkel.
05-03-2008, 15:04 door Anoniem
Je kan ook een image zetten op een andere partitie/schijf, die partitie actief
maken en rebooten, vervolgens kan je de andere schijf/partitie (met je OS)
volledig scannen. Hoe komt zo een rootkit trouwens op je machine?
05-03-2008, 15:42 door Anoniem
Door Anoniem
Hoe komt zo een rootkit trouwens op je machine?

IE ... !? (F)outlook..... !? (Niet bedoeld om
de gebruikelijk Flamers wakker te schudden, maar ik vraag me
inderdaad af; is dit b.v. browser onafhankelijk ?! )
05-03-2008, 15:49 door Anoniem
Door Anoniem
Door Anoniem
Hoe komt zo een rootkit trouwens op je machine?

IE ... !? (F)outlook..... !? (Niet bedoeld om
de gebruikelijk Flamers wakker te schudden, maar ik vraag me
inderdaad af; is dit b.v. browser onafhankelijk ?! )


Vergeet niet sommige Sony Audio CD's. Daar zat ook een
rootkit op. En zelfs op Sony USB-sticks. Zie
http://www.security.nl/article/16789/1/Sony_USB-stick_installeert_rootkit.html
05-03-2008, 16:26 door capricornus
2 praktische vraagjes van een gezel aan een meester:
1/
a/ wanneer ik format, veeg ik dan MBR uit?
b/ wanneer ik format onder linux/gparted, veeg ik dan MBR uit?
2
wanneer ik een Linux distro + grub installeer, overschrijft
grub dan de hele MBR?
05-03-2008, 16:54 door ml2mst
Door pietje.puk
heeft iemand Avast draaien, want zover ik weet is deze tot
een scan in staat
voordat het besturingssysteem laadt.
Dit is uiteraard Gods-onmogelijk ;-)

Voordat je Avast kunt opstarten, zal er eerst een
besturingssysteem moeten worden geladen.

Dit zou eventueel vanaf diskette, CD of zo kunnen.
05-03-2008, 16:59 door ml2mst
Door capricornus
2 praktische vraagjes van een gezel aan een meester:
1/
a/ wanneer ik format, veeg ik dan MBR uit?
b/ wanneer ik format onder linux/gparted, veeg ik dan MBR uit?
2
wanneer ik een Linux distro + grub installeer, overschrijft
grub dan de hele MBR?
Ben geen meester, maar:

1.a) Nee, want Formaat "initialiseert" alleen het
bestandssysteem;
1.b) Nee, want doet het zelfde als 1.a. + het wijzigen van de partitietabel.

2.) Twijfelachtig, normaal blijft er altijd een kopie van de
vorige MBR code beschikbaar. Wellicht is er wel een optie
onder GRUB om dat te doen, hier heb ik in ieder geval geen
ervaring mee.
05-03-2008, 17:36 door Anoniem
De dualboot MBR van een linux erop .
Kan op een mooi lopend win systeem gezet worden.....
05-03-2008, 18:38 door capricornus
ik heb het zelf gevonden
keywords: grub erase mbr

This will wipe out the MBR of a disk (sda in this example):

dd if=/dev/zero of=/dev/sda bs=512 count=1
05-03-2008, 19:13 door Anoniem
Is er niet zoiets als een antivirus die in de bios al actief
is ?

Herinner me dat oudere bios'n ook een optie hadden tegen
overschrijven van bootsector..
06-03-2008, 08:40 door Regenpak
dd if=/dev/zero of=/dev/sda bs=512 count=1
Werkt als een zonnetje mits je bijvoorbeeld Knoppix
van een CD hebt runnen. Heb je geeneens de desktop nodig :-D
(boot: knoppix 2)
06-03-2008, 13:27 door eMilt
Ik was altijd in de veronderstelling dat een OS als Windows
geen directe disk toegang toestaat en dat de defrag API zo'n
beetje mogelijk het meest directe is wat mogelijk is.

Apart dat zo'n oude en zeer bekende methode van virus
verspreiding dan toch weer opduikt. Ik heb ooit ook eens
mijn eigen bootloader geschreven in assembly maar dat is
toch al minstens 15 jaar geleden. Geen virus, maar gewoon
voor de fun. Hij toonde alleen een loading message en starte
MS-DOS vanaf de actieve partitie.
07-03-2008, 11:52 door beamer
Trinity Rescue Kit
http://www.oiepoie.nl/2007/08/04/caught-a-virus-trinity-to-the-rescue/
is een handige bootable cdrom met meerdere (4!)
virusscanners. Als ClamAV, F-Prot, AVG en BitDefender geen
van alle iets vinden om je harddisk kan je er redelijk zeker
van zijn dan je schoon ben.
De virusscanners updaten zichzelf eerst via het netwerk
(mits de computer is aangesloten op Internet).
10-03-2008, 02:16 door Rene V
Wat ook een goede optie is, is om Ultimate Boot CD te gebruiken.
Kost niets, en je kunt er gewoon vanaf cd mee scannen.

http://www.ubcd4win.com/
10-03-2008, 20:09 door Anoniem
Ja daar hebben wij dus al meer dan 2 jaar last van MBR virus
initDiskillegal partition table *
drive 00 sector 0
illegal partition table * drive 00 sector 0
illegal partition table * drive 00 sector 0
illegal partition table * drive 00 sector 0
Je krijgt het dus niet weg met Testdisk 6.9B en Doctor
partition table,Windows FIXMBR .Low format Unallocated h80.
enz .enz Krijg het weg maar als je gaat Formateren zit het
er weerin. En dit hebben heel veel mensen en weten niet dat
het erin zit maar hebben wel onverklaarbare problemen met
hun PC.Page not found 401.Scanner doet het niet goed virus
scanner wordt gedeactiveert.Firewall gaat uit.enz.enz.Je
vindt het met het programma http://www.killdisk.com/ als je
hiermee low format. Dan zie je dat bij het Rebooten.
24-03-2008, 16:00 door Anoniem
ik heb een bootkit dat zegt kapersky in ieder geval ik begrijp uit deze teksten
niet veel meer als dat het over een bootkit gaat(?) kunnen jullie in niet
computertaal vertellen wat ik nou moet doen, ik heb het al geprobeerd te
verwijderen en kapersky zegt dan ook dat het gelukt is, maar de volgende dag
gebeurt het weer opnieuw. ik zou niet weten wat ik moet doen want zolang als
ik het heb verstuurd hij ook dingen waardoor anderen het ook krijgen.
09-04-2008, 20:40 door Anoniem
GMER1.0.14.14316 scant de computer op rootkits. waneer er wat is gevonden
kun je volgens mij je mbr herstellen in "XP recovery console". "fixmbr".
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.