Rootkit patcht Windows XP Blue Screen of Death
De makers van een rootkit die na het installeren van recente Windows XP updates voor een Blue Screen of Death zorgde, hebben hun malware gepatcht. Dat zegt Erik Loman van beveiligingsbedrijf Surfright tegenover Security.nl. Gisterenavond verscheen een nieuwe versie van de TDL3 rootkit, die met beveiligingsupdate MS010-015 compatibel is. Microsoft besloot na meldingen van blauwe schermen en defecte systemen de patch terug te trekken.
Dit weekend werd duidelijk dat de TDL3 rootkit voor de crashende systemen verantwoordelijk is. Het bestand dat de rootkit infecteert, in veel gevallen atapi.sys, werd op 9 februari door Microsoft gepatcht. De aanpassingen in de kernel conflicteerde met de aanwezige rootkit, met als gevolg dat veel gebruikers hun systeem moesten herstellen.
Zombies
Een onverwacht effect van de patch is dat veel gebruikers door het herstellen van het originele atapi.sys bestand, de malware van hun systeem hebben verwijderd. "Dit heeft ze heel veel zombies gekost, het aantal is drastisch gedaald", aldus Loman. Volgens hem is het aantal besmette machines gehalveerd. De makers van TLD3 omschrijft hij als "professionele jongens", die alle ontwikkelingen nauwlettend in de gaten houden. Het was dan ook geen verrassing dat de rootkit zou worden geüpdatet. De nieuwste versie veroorzaakt inmiddels geen blauw scherm meer.
Ook beveiligingsexperts hielden hier rekening mee en vroegen Microsoft dit weekend om de beveiligingsupdate weer uit te geven. Dit zou geïnfecteerde gebruikers waarschuwen dat er iets mis met hun systeem is. Sinds gisteren wordt MS010-015 door Microsoft weer aangeboden.
Update 13:18
Inmiddels is er een filmpje online verschenen dat laat zien dat de auteurs hun rootkit hebben gepatcht:
Als die mensen beter op zouden letten en niet overal maar op lopen te klikken en openen uit de (spam) mailtjes zou het probleem zich niet voor doen..
blame all things on the big boys
bleek achteraf dus helemaal niet MS zijn schuld te zijn
Ik vind eigenlijk ook dat de media die dit allemaal zo groot in de koppen van de digitale daken schreeuwden openlijk hun excuses moeten aanbieden
Ook het volgende filmpje van Mark Loman is trouwens waard om te bekijken (al is het off-topic, in dit verband):
"How to start Hitman Pro in Force Breach mode"
http://www.youtube.com/watch?v=m6eRWTv2STk
Het was goed geweest wanneer ook nog een of meerdere andere scanners waren gebruikt die de rootkit kunnen herkennen. Wanneer ook die na de actie van Hitman Pro de rootkit niet meer signaleren, dan is een succesvolle verwijdering extra aannemelijk gemaakt. Al is ook in dat geval niet volledig zeker of de rootkit werkelijk succesvol onschadelijk gemaakt is, of dat slechts de door de scanner gesignaleerde onderdelen verwijderd of uitgeschakeld zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
