Nieuws
image

Ondetecteerbare rootkit geeft virusscanners het nakijken

vrijdag 10 april 2009, 12:52 door Redactie, 11 reacties

Een nieuwe variant van de beruchte Mebroot MBR rootkit is inmiddels zo geavanceerd, dat het alle beveiligingssoftware het nakijken geeft. De rootkit is al sinds eind 2007 actief en heeft wereldwijd al duizenden machines besmet. De nieuwste variant heeft het nog steeds op de Master Boot Record van de harde schijf voorzien, maar gebruikt verschillende technieken om beveiligingssoftware te omzeilen. "IRP hooks worden nog steeds gebruikt, maar niet meer zo zichtbaar als de oude. Daarnaast is Direct Kernel Object Hooking in de rootkit geïmplementeerd, waardoor die slimmer en beter verborgen is. Alle beveiligingsoplossingen zijn omzeild", zegt Marco Giuliani. Via de rootkit is het onder andere mogelijk om bankrekeningen te plunderen.

Reacties (11)
10-04-2009, 14:42 door soeperees
Ik schrik me elke keer weer een ongeluk als ik dit soort berichten lees. Gelukkig blijkt ook deze keer weer dat het een rootkit voor Windows betreft en dat ik niets te vrezen heb met mijn *nix systeempje. Is het een idee om de kwetsbare systemen er in het vervolg bij te noemen?
10-04-2009, 15:53 door micmast
Het is idd schrikwekkend wat ze allemaal kunnen doen met rootkits, vooral diegene die werken met MBR of zelfs met hardware, gelukkig is dat laatste beperkt tot een paar POCs :)
10-04-2009, 16:04 door soeperees
Biedt Snort geen afdoende bescherming tegen dit soort ellende? Als je met een linux liveCD een dumpje van je MBR maakt, plaats je dat zo weer terug, na het ontdekken van een rootkit.
10-04-2009, 16:10 door Anoniem
Gewoon in je BIOS toch mbr bescherming aanzetten toch? (direct na een fresh install)
10-04-2009, 16:32 door prikkebeen
Je kunt toch ook vanaf de Windows cd de recovery console starten en het commando fixmbr geven? Dan wordt er een verse MBR geschreven en moet het probleem opgelost zijn lijkt mij.
10-04-2009, 17:47 door Anoniem
Door soeperees: Ik schrik me elke keer weer een ongeluk als ik dit soort berichten lees. Gelukkig blijkt ook deze keer weer dat het een rootkit voor Windows betreft en dat ik niets te vrezen heb met mijn *nix systeempje. Is het een idee om de kwetsbare systemen er in het vervolg bij te noemen?
Pffff ben ik even blij dat ik vista draai(Mooiste os wat er is :P)
10-04-2009, 19:35 door Eerde
Tsja, "makkelijk op te lossen" of "niet werkend onder *nix" doet het natuurlijk niet goed.
"Bankrekeningen plunderen, binnenkort dus ook die van jouw, ja, jij daar, sukkel die dit zit te lezen achter dat schermpje" doet het veul beter ;)
10-04-2009, 21:23 door [Account Verwijderd]
[Verwijderd]
10-04-2009, 21:36 door Anoniem
jumpers verzetten doet wonderen. (uiteraard voor je besmet bent geraakt.).
14-04-2009, 10:33 door Anoniem
# Marco Giuliani on 10/04/2009 22:39:13

yes, Prevx 3.0 is able to detect and remove this threat. Prevx 3.0 will be release really soon

Sluikreclame ?!
17-04-2009, 19:38 door Anoniem
HaHAha allemaal lachen met jullie wat jullie tot nu zeggen op deze pagina werkt allemaal niet ben er vanaf oktober 2006 mee bezig. Heb net met DBAN gelowformateert let op:Hardware clock operation start date: Tue Feb 24 10:48:16 2009 Hardware clock operation finish data Sat Apr 11 15:37:58 2009. En alles op de hoogste stand lowformateren uitkomst: DBAN finished with non-fatal errors. This is usually caused by disk with bad Sectors. En ja dat wat jullie opnoemen heb ik al lang gedaan,werkt dus allemaal niet! En met killDisk@active krijg je dit:
initDiskillegal partition table *
drive 00 sector 0
illegal partition table * drive 00 sector 0
illegal partition table * drive 00 sector 0
illegal partition table * drive 00 sector 0
En ja we hebben elke dag last van die gasten lopen de heletijd je PC slopen dat is het enige wat ze kunnen.

hoop dat er nu eens van de experts een oplossing komt wacht bijna al 3 jaar op?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure