image

Gratis Microsoft scanner voor gevaarlijke rootkit

woensdag 3 maart 2010, 10:40 door Redactie, 10 reacties

Microsoft heeft een zeer speciale versie van de beveiligingsupdate uitgebracht die eerder besmette Windows XP systemen liet crashen. MS010-015 verscheen tijdens de patchcyclus van februari en veroorzaakte een blauw scherm op computers waar de Alureon rootkit (TLD3) op actief was. In eerste instantie was dit nog niet bekend, waarop de softwaregigant de patch uit voorzorg terugtrok.

Toen bekend werd dat malware de oorzaak was, werd de update weer aangeboden. In de tussentijd hadden de makers van de rootkit hun code die het blauw scherm veroorzaakte ook aangepast, zodat gebruikers die de update installeerden niet meer te zien kregen dat hun systeem besmet was. De softwaregigant heeft de update nu zelf aangepast, zodat die niet op systemen met "abnormale condities" wordt geïnstalleerd. Het gaat dan onder andere om de aanwezigheid van de Alureon rootkit. Gebruikers krijgen vervolgens een standaard Windows update foutmelding. In dat geval adviseert Microsoft om deze pagina te bezoeken.

Scanner
Naast de aangepaste Windows update, is er ook een gratis tool beschikbaar die de aanwezigheid van de gevaarlijke rootkit controleert. De oplossing is voor consumenten als "Fix It" knop aanwezig, terwijl systeembeheerders met de MpSysChk.exe tool aan de slag kunnen. De tool werkt met alle Windows versies vanaf Windows XP.

Reacties (10)
03-03-2010, 10:51 door Anoniem
Kijk, dat is nou nog eens snel en adequaat reageren. Maar nou is het hier doodstil.
03-03-2010, 11:19 door spatieman
hoe kan je nu een tool gebruiken, als je steeds een BSOD krijgt, ik neem aan dat in safe mode, als windows dat kent, ook een BSOD krijgt?, dus de tool zou al van een floppy gedraaid moeten worden?
03-03-2010, 11:49 door dim
Door spatieman: hoe kan je nu een tool gebruiken, als je steeds een BSOD krijgt, ik neem aan dat in safe mode, als windows dat kent, ook een BSOD krijgt?, dus de tool zou al van een floppy gedraaid moeten worden?

Je krijgt de BSOD pas als je de rootkit op je systeem hebt, en *dan* de update installeert. Nu weigert die update dus te installeren, als de rootkit gevonden wordt, en kun je eerst een rootkit-verwijdertool draaien.
03-03-2010, 14:35 door Anoniem
Over rootkits gesproken...

Deze rootkit tool is specifiek voor deze. Maar er zijn ook "algemene" scanners zoals F-Secure Backlight.
Weet iemand of er nog meer "algemene" rootkit scanners zijn? Of pakt een "standaard" anti-virus programma deze ook al mee?
03-03-2010, 15:39 door Anoniem
Nouja, snel... Die rootkit gaat al rond sinds oktober 2009 en nog steeds is er GEEN ENKEL commercieel antivirus programma dat deze rootkit kan vinden of verwijderen...
03-03-2010, 16:01 door Anoniem
De makers van TDL3 hebben hun rootkit aangepast en sinds TDL versie 3.25 zorgt deze niet meer voor problemen met MS010-015. TDL 3.25 is uit sinds half februari en werd speciaal verspreid om het probleem met de Microsoft patch te verhelpen. Echter, omdat geïnfecteerde computers automatisch door de makers van TDL3 worden bijgewerkt kun je deze tool niet gebruiken om de rootkit te ontdekken (momenteel is TDL3 aangekomen bij versie 3.273). Je kunt deze tool dus alleen gebruiken om te kijken of de Microsoft patch veilig te installeren is (just so you know).
03-03-2010, 19:56 door Anoniem
GMER is een andere rootkitscanner, was vermeld in:
http://www.security.nl/article/16553/1/Tien_onmisbare_gratis_beveiligingstools_voor_Windows.html

En met wat zoeken in Ixquick bleken AVG, Icesword en McAfee er ook een te hebben:
http://mozeskriebel.com/download.php?list.112
03-03-2010, 20:55 door Rene V
Door Anoniem: Kijk, dat is nou nog eens snel en adequaat reageren. Maar nou is het hier doodstil.

Je moet mensen ook ff de tijd geven om te reageren. Om nu direct nadat het artikel online is gezet als eerste te reageren met "maar nou is het doodstil" is een beetje kort door de bocht, nietwaar? Ja, wel waar.
04-03-2010, 03:24 door Anoniem
Door René V:
Door Anoniem: Kijk, dat is nou nog eens snel en adequaat reageren. Maar nou is het hier doodstil.

Je moet mensen ook ff de tijd geven om te reageren. Om nu direct nadat het artikel online is gezet als eerste te reageren met "maar nou is het doodstil" is een beetje kort door de bocht, nietwaar? Ja, wel waar.

René ! Gun die MS-medewerkers nou ook eens wat; de spoeling is al zo dun !
04-03-2010, 14:26 door Rene V
Door Anoniem:

René ! Gun die MS-medewerkers nou ook eens wat; de spoeling is al zo dun !

:o)=) ghehe... is ook weer zo. ;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.