Nieuws
image

Herstarten computer veiliger dan slaapmodus

donderdag 7 januari 2010, 15:58 door Redactie, 5 reacties

Steeds meer gebruikers herstarten hun computer niet en dat is gevaarlijker dan het lijkt. Daniel Wesemann van het Internet Storm Center (ISC) analyseerde onlangs een kwaadaardig PDF-bestand met een exploit die een lek in Adobe Reader en Acrobat misbruikt. De exploit was zeer kundig verstopt. Volgens de ISC-handler is het dan ook niet verwonderlijk dat veel virusscanners dit soort exploits niet kunnen detecteren. Anti-virus software richt zich daarom steeds vaker op de uitkomst van het openen van een bestand en probeert de malware tijdens het schrijven naar de harde schijf te detecteren.

Aangezien gebruikers minder vaak hun computer herstarten en vaak in de slaapmodus zetten, is het voor aanvallers niet meer nodig om malware op de harde schijf te krijgen. In plaats van een persistente infectie volstaat het besmetten van het geheugen. De infectie zou dan verdwijnen bij het opnieuw opstarten, maar aangezien dat niet gebeurt blijft de malware actief. Daarnaast zal de doorsnee gebruiker niet zijn computer tussen het surfen en internetbankieren herstarten, aldus de ISC-handler. "Virusscanners die de exploit missen maar hopen om de EXE bij het schrijven naar de schijf te vangen zullen in de toekomst niet meer volstaan", aldus Wesemann.

Reacties (5)
07-01-2010, 18:37 door SirDice
In plaats van een persistente infectie volstaat het besmetten van het geheugen.
Niet echt nieuw maar via deze truuk kunnen ook gestartte liveCD's "geïnfecteerd" worden.
07-01-2010, 20:40 door Anoniem
Door SirDice:
In plaats van een persistente infectie volstaat het besmetten van het geheugen.
Niet echt nieuw maar via deze truuk kunnen ook gestartte liveCD's "geïnfecteerd" worden.
Dat laatste is complete nonsense !
08-01-2010, 10:05 door Anoniem
Door Anoniem:
Door SirDice:
In plaats van een persistente infectie volstaat het besmetten van het geheugen.
Niet echt nieuw maar via deze truuk kunnen ook gestartte liveCD's "geïnfecteerd" worden.
Dat laatste is complete nonsense !


Een inhoudelijke reactie is wellicht wenselijker, maar SirDice heeft t wel bij t rechte eind.

'T medium LiveCD/DVD is wellicht niet te besmetten ivm zijn WORM karakter (Write Once, Read Many), maar t gaat juist over een besmetting van t werkgeheugen welke bij t ingaan vd slaapmodus (suspend to RAM) gewoon aanwezig blijft.

Ik heb zelf een tijd lang de firewall vanaf liveCD gedraait, leek me een super idee omdat t bronmedium RO is (/tmp op usb stick, /log over NFS), maar dit maakte niet dat een exploit niet te draaien was (aan den server ondervonden). Uiteindelijk toch weer terug gegaan naar een hdd ivm patches en updates omdat t iedere keer brouwen van een nieuwe up-to-date firewall-cd ook redelijk wat tijd koste.
08-01-2010, 10:13 door [Account Verwijderd]
[Verwijderd]
08-01-2010, 10:44 door SirDice
Door Anoniem: 'T medium LiveCD/DVD is wellicht niet te besmetten ivm zijn WORM karakter (Write Once, Read Many), maar t gaat juist over een besmetting van t werkgeheugen welke bij t ingaan vd slaapmodus (suspend to RAM) gewoon aanwezig blijft.
Exact.

Door K0MP0D: Misschien bedoelt ie Live CD-SESSIONS

Ik had het ook over een gestartte LiveCD ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure