Nieuws
image

MBR rootkit blijft plaag voor harde schijven

woensdag 10 maart 2010, 15:20 door Redactie, 8 reacties

De afgelopen weken was de TDL3 rootkit regelmatig in het nieuws, maar een andere beruchte rootkit is nog steeds zeer actief en infecteert talloze harde schijven. De MBR rootkit, ook bekend als Mebroot en Torpig, werd onlangs nog door anti-virusbedrijf PrevX op honderden systemen aangetroffen. "Een indrukwekkend aantal dat laat zien hoe actief de dreiging is", zegt Marco Giuliani van PrevX. De malware verspreidt zich voornamelijk via gehackte websites.

Routine
De rootkit is de afgelopen maanden verder ontwikkeld en voorzien van allerlei manieren om zichzelf tegen verwijdering door virusscanners te beschermen. Sommige virusscanners herstarten het systeem meteen na het schoonmaken van de Master Boot Record. Hiervoor crashen ze het systeem via een specifieke "bugcheck". De virusschrijvers hebben nu een routine ontwikkeld, die de rootkit waarschuwt als de bugcheck is aangeroepen. Zodoende kan de rootkit de code naar de Master Boot Record schrijven voordat het systeem wordt herstart.

Gebruikers die willen weten of ze met de rootkit besmet zijn, moeten volgens de virusbestrijder zoeken naar een bestand dat met "$$$" begint en zich in de Temp directory van Windows verbergt.

Reacties (8)
10-03-2010, 15:28 door Anoniem
"De" temp directory bestaat niet. Je kunt op diverse manieren een temp directory vinden (meerdere environment variabelen, registry keys, per account, etc).

Zo makkelijk is het dus niet voor een gebruiker.
10-03-2010, 16:48 door [Account Verwijderd]
[Verwijderd]
10-03-2010, 17:53 door Anoniem
Door Peter V:

Een virusscanner maakt de MBR eerst schoon, maar opeens kan de Rootkit gewaarschuwd worden dat de bugcheck wordt aangeroepen?

als je de functie bugcheck() weet om te leiden naar infectmbr() die zn werk doet en vervolgens de originele functie bugcheck() aanroept, is dat niet zo'n probleem
10-03-2010, 21:59 door PeterBD

Een virusscanner maakt de MBR eerst schoon, maar opeens kan de Rootkit gewaarschuwd worden dat de bugcheck wordt aangeroepen?
Tja...er draait nu eenmaal ook eea in memory, dus stel dat een virusscanner alles weghaalt vanaf je HD, zolang het programma maar volledig geladen is in memory blijft hij gevaarlijk. En gericht programmas in memory wissen schijnt erg lastig te zijn.
10-03-2010, 22:01 door [Account Verwijderd]
[Verwijderd]
11-03-2010, 10:41 door [Account Verwijderd]
[Verwijderd]
11-03-2010, 12:31 door Anoniem
Er ìs al lang een bekende en goede scanner op de markt speciaal voor dit probleem:
http://www.gmer.net/
21-04-2010, 20:18 door Anoniem
Ook ikzelf had kortgeleden een rootkit op de C: maar ook op alle stickies. Geeneen virusscanner lukte het de 2 bestanden, een autofil.inf en een cp6...exe eraf te krijgen. Deleten ging wel maar ze werden beiden binnen 3 seconden direkt vanuit het geheugen weer teruggeschreven.
Het enige programma dat dit kon was het gratis RegSeeker. (!) op mode automatisch herstel. Dat is nogal bevreemdend ja, omdat het een registerscanner is! Pas hierna lukte het mij middels dosopdrachten attrib -s -h -r *.* en dan del a*.inf en del cp*.exe die rotdingen eraf te krijgen omdat ze het systeem erg vertraagden met onzichtbaar zoekwerk.
Bijkomend voordeel is dat er ook nog een NL-taalmodule en een tweaker opzit waarmee het mij eindelijk ook nog lukte om al die rare Microsoftspelletjes uit bedrijfscomputers eruit te halen: dat scheelt een bedrijf duizenden euro's/jaar!
Ik meen met deze tip anderen met ditzelfde probleem hiermee geholpen te hebben.
Het betalen van het programma doe je door te bidden voor de mooie vrouw van de ontwikkelaar van RegSeeker, tenminste dat vraagt 'ie van je.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure