Archief - De topics van lang geleden

Warning! Rootkit in Safemode.

13-10-2005, 20:37 door G-Force, 3 reacties
Begin augustus 2005 ontdekte Symantec een nieuwe Rootkit die na
installatie op een computer in safemode kon opereren. De schrik in de
beveiligingswereld zat er goed in. Een Rootkit in safemode? Dat kon toch
niet waar zijn! Maar, het was waar... Rootkits worden als buitengewoon
gevaarlijk geacht en het is duidelijk dat computergebruikers er alles aan
moeten doen om deze kwaadaardige software te vermijden. Maar wat
gebeurt er, als er toch onverhoopt een dergelijke rootkit op het systeem
wordt gevonden?

Het Internet Storm Centrum (http://isc.sans.org/diary.php?storyid=757) heeft op zijn eigen website van 12 oktober 2005 aandacht besteed aan deze Safemode-rootkit (die door Symantec wordt aangeduid als: Backdoor.Haxdoor.E. Informatie over deze rootkit kan op de volgende webpagina worden gevonden:

http://www.happypc.symantec.com/avcenter/venc/data/backdoor.haxdoor.e.html

Er worden de volgende methoden voor verwijdering aangeraden:

1. De methode van Symantec. Hierbij moet de computergebruiker
de ontsmettingprocedure van de bovenstaande website volgen. Er wordt
gebruik gemaakt van een website van Microsoft (Windows Recovery
Console). Daarbij is de installatie XP CD-ROM noodzakelijk om de
computer via deze CD op te starten. Hoe dit precies moet gebeuren leest
men op de bovenstaande website van Symantec.

2. Men kan de Rootkit Killer van F-Secure (een Bèta versie)
gebruiken. Deze scanner is erg eenvoudig in gebruik. Men dient wel
rekening te houden met het feit dat deze F-Secure scanner een Bètaversie
is. Het gebruik ervan is voor eigen risico! Dit geldt ook als het systeem niet
meer na gebruik van de scanner reageert. Schadevergoeding is voor de
gebruiker! Men kan de tool (vrij gebruik tot 1 januari 2006) van F-Secure downloaden via de onderstaande link:

http://www.f-secure.com/blacklight/try.shtml

Deze tool heb ik getest op XP home edition SP1, inclusief alle patches (tot
aan de laatste van 11 oktober 2005). De tool controleert of er Rootkits
aanwezig zijn en verwijdert deze (ook in het Register).

Systeemvereisten: De F-Secure BlackLight Bèta werkt alleen op een 32-bit Windows 2000, Windows XP and Windows 2003 Server. De huidige F-Secure BlackLight beta werkt niet op Windows NT, 95, 98, ME, of een 64-bit Windows.
Reacties (3)
14-10-2005, 08:34 door capricornus
Ik kan alleen maar bevestigen dat ik ook - vraag me niet hoe - met een
rootkit zat die in safe mode bleef werken (hardware firewall - WinXPPro(E)
sp1 build 2600 met alle updates behalve sp2 - Nod32 updated en
HitmanPro 2.2.1 updated).
format c: was de al lang geleden nog eens beproefde oplossing.
griezelig!
14-10-2005, 18:10 door G-Force
Er zijn meer Rootkit-scanners in omloop op het Internet. Zo kan men ook de z.g. Rootkit-Revealer downloaden via de onderstaande link:

http://www.sysinternals.com/Utilities/RootkitRevealer.html

Onderaan vindt men de link om scanner te downloaden. Tevens is op
dezelfde pagina de informatie te vinden hoe men de resultaten van deze Rootkit-scanner moet interpreteren. Ook hier is het verwijderen van Register-items voor eigen risico. Maak voor alle zekerheid altijd een kopie van het Windows Systeem Register. Gaat er toch onverhoopt iets fout, dan kan men de kopie in zijn geheel terugzetten.

Dat virusscanners (NOD32 is een zeer goede scanner) geen Rootkits laten zien, komt o.a. door de werking van virusscanners. Het is daarom geen overbodige luxe om naast de traditionele virusscanner ook een Rootkit-scanner op de PC te hebben.

F-Secure is van plan om de Internet Security suit voor 2006 met deze Rootkit-killer uit te rusten. Dit zouden de andere anti-virusfabrikanten m.i. ook moeten doen. Het is dus afwachten.

Voor Linux gebruikers is er de volgende Rootkit-scanner aanwezig.

http://www.hsc.fr/ressources/outils/rkscan/index.html.en
15-10-2005, 20:26 door G-Force
UPDATE
Microsoft is van plan om de Strider Ghostbuster Research Project in te
voeren in de nieuwste versies van het Windows Antispyware programma.
De ontwikkelingen staan gelukkig ook hier niet stil. Dit betekent dus dat
toekomstige applicaties van Microsoft Antispyware met een Rootkit-
scanner zal worden uitgebreid. Uit verhalen van MS-technici maakt men
zich in Redmond in toenemende mate zorgen om deze stealth-Rootkits.

We kunnen hier niet meer van spyware, maar van Ghostware spreken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.