image

Nep-virusscanner vertoont wormgedrag

vrijdag 24 april 2009, 10:12 door Redactie, 1 reacties

De Vundo nep-virusscanner is één van de meest actieve malware families van de afgelopen tijd en gebruikt nu een nieuwe truc om verwijdering tegen te gaan. De standaard varianten zijn al lastig te verwijderen, zo kapen ze verschillende DLL-bestanden die vervolgens in het geheugen geladen worden. Een andere truc is het zichzelf toevoegen aan een registersleutel, wat ervoor zorgt dat het DLL-bestand bij elke reboot een andere naam krijgt. Als de virusscanner het bestand bij het herstarten wil verwijderen, heeft die al een andere naam blijft zo bestaan.

De nieuwste variant die Microsoft onlangs ontdekte verspreidt zichzelf naar gekoppelde schijven. Of de malware plaatst zichzelf in de root directory van de gekoppelde schijf of creëert een willekeurige directory naam en plaatst het DLL-bestand daarin. De softwaregigant adviseert gebruikers die denken dat ze besmet zijn om voor het scannen eerst de verbinding met internet te verbreken. Het Vundo proces in het geheugen kan het bestand namelijk weer opnieuw downloaden, ook al is de malware in eerste instantie succesvol verwijderd.

Reacties (1)
24-04-2009, 15:24 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.