image

Hitman Pro legt TDL3 rootkit het zwijgen op

dinsdag 1 december 2009, 12:37 door Redactie, 10 reacties

"De TDL3 rootkit is op dit moment een groot probleem voor nagenoeg alle antivirusprogramma’s", zo waarschuwt de maker van Hitman Pro. De malware-scanner is wel in staat om de ongewenste software te herkennen en te verwijderen. Onlangs waarschuwde ook al beveiligingsaanbieder PrevX voor deze rootkit, die zich snel via het internet verspreidt. “De makers van TDL3 gebruiken zeer geavanceerde methoden om detectie door antivirusprogramma’s te voorkomen”, aldus ontwikkelaar Mark Loman. “De rootkit lift mee op een standaard driver wat detectie bemoeilijkt.”

De eerste variant van deze rootkit, ook bekend als Alureon, verscheen in de zomer van vorig jaar en wordt nog steeds niet door een groot aantal virusscanners herkend. Afgelopen zomer verscheen de tweede variant, terwijl in november de derde variant opdook. TDL3 registreert zichzelf eerst als print processor. Het printer subsysteem (spoolsv.exe), dat systeemrechten bevat, laadt deze Print Processor vervolgens in.

Onopgemerkt
Virusscanners die ook het gedrag van processen monitoren slaan bij deze actie geen alarm omdat het printer subsysteem een vertrouwd onderdeel van Windows is. Als print processor heeft TDL3 nu volledige systeemrechten en infecteert het de laagst gelegen systeem driver die verantwoordelijk is voor de communicatie met de harde schijf. Als virusscanners deze driver controleren, krijgen ze het originele bestand voorgeschoteld, zodat de infectie onopgemerkt blijft. Daarnaast plaatst TDL3 op de laatste sectoren van de harde schijf een eigen versleutelde bestandssysteem bovenop het traditionele bestandssysteem. Deze versleuteling zorgt ervoor dat deze bestanden niet rechtstreeks van schijf zijn te lezen, wat detectie door virusscanners onmogelijk maakt. Het versleutelde bestandssysteem is met name handig om allerlei andere gevaren, die via internet worden binnengehaald, op te slaan.

Andere virusschrijvers werken samen met de makers van TDL3 om op deze manier hun virussen te verbergen. Volgens Surfright, aanbieder van Hitman Pro, is het aantal anti-virusbedrijven dat momenteel de TDL3 infectie kan detecteren, op één hand te tellen. "En het aantal bedrijven die de infectie ook daadwerkelijk kunnen verwijderen is bijna nihil."

Hitman Pro 3 kan machines binnen een paar minuten vanaf een USB stick, CD/DVD, lokale harde schijf of netwerkschijf scannen. Daarbij is het als aanvulling op bestaande antivirusprogramma’s te gebruiken. Het scannen is gratis, waardoor de effectiviteit van de huidige virusscanner te controleren is. Het 5MB grote anti-virus programma is via deze pagina te downloaden.

Reacties (10)
01-12-2009, 13:05 door Anoniem
Kost dat, zo'n advertorial?
01-12-2009, 13:38 door Anoniem
Hitman Pro gebruik ik al een poosje als een heel goede aanvulling op m'n virusscanner - en dat loopt prima. Sterk staaltje Hollandse technologie!
01-12-2009, 13:41 door Skizmo
Door Anoniem: Kost dat, zo'n advertorial?
Als je doet alsof het een artikel is.. .niks.
01-12-2009, 21:29 door Zarco.nl
Combofix heeft me ook vaak geholpen rommel weg te halen bij Jan-en-alleman...
Heb het echter niet met de betreffende rootkit geprobeerd.

Hitman Pro moet je tegenwoordig voor betalen, dus gebruik het vrijwel nooit meer.
01-12-2009, 23:20 door Necrowizard
Hitman pro... dat is toch dat (kut) programma geschreven in autoit3? xD
Neemt iemand dat nog serieus dan?
02-12-2009, 00:24 door Anoniem
Door Necrowizard: Hitman pro... dat is toch dat (kut) programma geschreven in autoit3? xD
Neemt iemand dat nog serieus dan?
De TDL3 rootkit verwijderen met AutoIt? LOL :D Nagenoeg alle grote en kleine anti-virus vendors krijgen het nog niet eens voor elkaar deze rootkit op een geinfecteerde machine te ontdekken, laat staan dat ze het kunnen verwijderen. Denk dat je een hele andere Hitman Pro voor je hebt dat allang niet meer bestaat. Probeer 3.5 eens, ding is levenslang gratis te gebruiken (alleen werkt het verwijderen van infecties slechts 30 dagen gratis).
02-12-2009, 10:47 door Anoniem
Hitman pro bagger, nooit installeren.
03-12-2009, 03:52 door Rubbertje
Hitman Pro? Dat herinner ik mij als een programma'tje dat diverse probeerversies van antimalwareprogramma's had gebundeld.
08-12-2009, 09:17 door Anoniem
Elke pc gebruiker/ster bouwt op de duur toch zo zijn/haar eigen 'beveiligingssuite' met programma's die hij/zij daarvoor het beste acht. (persoonlijke smaak of echt uitvoerig getest op goede werking)
Hitman was idd zo een bundeling van tal van programmas.
Ik installeerde het echter nooit.
09-12-2009, 18:02 door Anoniem
Wat een zooitje maakt Hitman er weer van. Niet de eerste keer. Leren ze nooit af TOR browser als malware aan te merken?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.