image

Microsoft: Blauw scherm rootkit alleen bij 32-bit Windows

donderdag 18 februari 2010, 10:33 door Redactie, 5 reacties

Microsoft heeft bevestigd dat een rootkit de recente blauwe schermen bij Windows XP systemen veroorzaakte. Sommige gebruikers die op patchdinsdag beveiligingsupdate MS010-015 installeerden, kregen na het opnieuw opstarten een Blue Screen of Death. In eerste instantie werd gedacht dat een foute update de boosdoener was, waarop Microsoft de update terugtrok. Al gauw werd duidelijk dat het om malware ging. De door de TLD3 rootkit (ook bekend als Alureon) gemaakte aanpassingen, conflicteerde met de update. "Wat het systeem instabiel maakte", zegt Mike Reavey, directeur van het Microsoft Security Response Center (MSRC).

"Het probleem werd niet ontdekt als onderdeel van onze testprocedure, omdat als malware op het systeem actief is, systemen instabiel worden. Dit soort infecties laten de machine vaak in zo'n instabiele staat achter, dat het niet betrouwbaar te testen is." Volgens Reavey gebruiken virusschrijvers niet ondersteunende en potentieel destabiliserende methoden voor het infecteren van machines, omdat ze hun malware voor virusscanners willen verbergen. In het geval van de Alureon rootkit past die het Windows gedrag aan door een specifiek deel van het geheugen aan te roepen, in plaats van Windows het geheugenadres te laten bepalen. Beveiligingsupdate MS010-015 wijzigde dit deel van Windows, waardoor het systeem bij de volgende herstart crashte.

64-bit
Het probleem speelde alleen bij 32-bit Windows versies en dan voornamelijk Windows XP. De 64-bit versies van Microsoft's besturingssysteem zijn voorzien van Kernel Patch Protection (PatchGuard) en Kernel Mode Code Signing (KMCS), die geknoei met de kernel detecteren. De nu bekende versies van Alureon zijn dan ook niet in staat om 64-bit Windows versies te besmetten. "Daarnaast is het belangrijk dat het draaien als gebruiker met verminderde rechten in plaats van administrator een best practice is die in de meeste gevallen infecties door kernel mode malware voorkomt." Aangezien 64-bit Windows versies niet kwetsbaar zijn, maakte Microsoft voor deze systemen de Automatische Updates weer beschikbaar.

Formatteren
Aan de hand van verschillende tests ontdekte Microsoft dat de rootkit ervoor zorgt dat systemen niet meer normaal kunnen starten. "Dit soort besmettingen zijn ernstig, en als klanten de verwijdering van de Alureon rootkit via hun virusscanner niet kunnen bevestigen, is de veiligste oplossing dat de eigenaar van het systeem zijn belangrijkste bestanden back-upt en het systeem van een volledig geformatteerde schijf herstelt", aldus Reavey. De softwaregigant werkt aan een manier om de rootkit eenvoudiger van systemen te verwijderen. De oplossing zou binnen een paar weken moeten verschijnen.

De Alureon rootkit is voornamelijk in de Verenigde Staten een Groot-Brittannië actief. Inmiddels hebben de makers de malware zo aangepast, dat die geen blauw scherm meer veroorzaakt. "In kernel mode kunnen de kleinste fouten een Blue Screen of Death veroorzaken. Voeg daarbij een beetje luiheid, haast en een gebrek aan Quality Assurance toe en je kunt raden wat er gebeurt", zegt Mircea Ciubotariu van Symantec. Toch heeft het incident ook een positief gevolg. "Dit kan het begin van het einde van een zeer geavanceerde rootkit zijn. Helaas zijn het besmette eindgebruikers die uiteindelijk de prijs betalen." De virusbestrijder zag het aantal besmette machines sinds patchdinsdag kelderen.

Reacties (5)
18-02-2010, 11:37 door Anoniem
"Het probleem werd niet ontdekt als onderdeel van onze testprocedure, omdat als malware op het systeem actief is, systemen instabiel worden. Dit soort infecties laten de machine vaak in zo'n instabiele staat achter, dat het niet betrouwbaar te testen is."

Wat is dat voor onzin? Welke idioot gaat compatibiliteit testen met malware?

Malware hoort niet op een systeem thuis, dus ga je het zeker niet testen. Microsoft valt niets te verwijten. Reavey is toe aan een nieuwe job.
18-02-2010, 13:10 door Bitwiper
Door Anoniem: "Het probleem werd niet ontdekt als onderdeel van onze testprocedure, omdat als malware op het systeem actief is, systemen instabiel worden. Dit soort infecties laten de machine vaak in zo'n instabiele staat achter, dat het niet betrouwbaar te testen is."

Wat is dat voor onzin? Welke idioot gaat compatibiliteit testen met malware?
Of juist wel, en meteen van de situatie profiteren en zoveel mogelijk malware onschadelijk maken.
Door redactie:De virusbestrijder zag het aantal besmette machines sinds patchdinsdag kelderen.
Scary hoeveel machines er besmet zijn. Mircea Ciubotariu van Symantec schreef eerder (in http://www.symantec.com/connect/blogs/tidserv-and-ms10-015):
nowadays most of the threats we see are profit-oriented and try to keep a very low profile so that they aren't easily detectable by security software.
Denk "easily" maar weg. Hoewel Mircea's blogs interessant zijn, kunnen ze niet verhullen dat de AV industrie geen antwoord heeft op dit soort bedreigingen. De daling van het aantal besmette PC's zoals te zien in de grafiek in Mircea's laatste blog (http://www.symantec.com/connect/imagebrowser/view/image/1202631/_original) is aan een onverwachte bijwerking van MS10-015 te danken, niet aan de AV industrie.
18-02-2010, 16:41 door Nietsnut
De softwaregigant werkt aan een manier om de rootkit eenvoudiger van systemen te verwijderen. De oplossing zou binnen een paar weken moeten verschijnen.

Dus Microsoft gaat op de stoel van de AV fabrikanten zitten die zich eigenlijk dood moeten schamen dat ze het maar niet voor elkaar krijgen om een systeem optimaal te beschermen.
18-02-2010, 19:21 door Anoniem
Nou 'NietsNut' het is natuurlijk al raar dat er AV fabrikanten nodig zijn. Als MS wat beter z'n best doet....
18-02-2010, 20:23 door Anoniem
Echt een pak van mijn hart zeg dat alleen maar de 32bits versie van Windows XP betreft.

Ik denk dat het percentage 64bits Windows XP zo'n 0,001 % is van het alle in gebruik zijnde Windows XP dus ik zou de titel niet zo bedacht hebben.....aaaaaaa ik snap het al.....ja, dat kan alleen Microsoft. ;-)

Marcel
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.