image

Microsoft waarschuwt voor harde schijf-kaper

maandag 27 juni 2011, 06:10 door Redactie, 5 reacties

Er is een nieuwe versie van de Popureb bootkit-malware verschenen, die de Master Boot Record van harde schijven kaapt, zo waarschuwt Microsoft. De nieuwe versie beschikt over een driver die voorkomt dat de kwaadaardige MBR en andere opgeslagen kwaadaardige gegevens, opgeslagen als schijfsectoren, worden veranderd. Volgens Chun Feng van het Microsoft Malware Protection Center beschermt de driver de kwaadaardige gegevens op een bijzondere manier, door een routine in een harde schijf driver te kapen.

De gekaapte driver controleert op schrijfopdrachten. Als het een schrijfopdracht tegenkomt die de MBR probeert te overschrijven of de schijfsectoren met de kwaadaardige code, vervangt het de schrijfopdracht door een leesopdracht. De opdracht is succesvol, alleen wordt er nooit data naar de schijf geschreven.

Fung adviseert Windowsgebruikers van wie het systeem is besmet, om de MBR via de Systeemherstel Console te repareren en vervolgens een herstel cd te gebruiken van voor dat het systeem besmet was.

Reacties (5)
27-06-2011, 12:14 door Anoniem
"Fung adviseert Windowsgebruikers van wie het systeem is besmet, om de MBR via de Systeemherstel Console te repareren en vervolgens een herstel cd te gebruiken van voor dat het systeem besmet was."

Dus als ik deze alinea goed interpreteer, maakt de malware gebruik van Windows-functionaliteit. En is dit dus een windows-kwetsbaarheid. Waarom kun je dit porbleem anders met Systeemherstel herstellen.
Dan is het toch ook mogelijk om de MBR via een andere (niet-windows-tool) te herstellen?
Of nog beter, geen windows te gebruiken.
27-06-2011, 13:02 door [Account Verwijderd]
[Verwijderd]
27-06-2011, 16:03 door Mysterio
Door Anoniem: "Fung adviseert Windowsgebruikers van wie het systeem is besmet, om de MBR via de Systeemherstel Console te repareren en vervolgens een herstel cd te gebruiken van voor dat het systeem besmet was."

Dus als ik deze alinea goed interpreteer, maakt de malware gebruik van Windows-functionaliteit. En is dit dus een windows-kwetsbaarheid. Waarom kun je dit porbleem anders met Systeemherstel herstellen.
Dan is het toch ook mogelijk om de MBR via een andere (niet-windows-tool) te herstellen?
Of nog beter, geen windows te gebruiken.
De MBR kan op legio manieren worden herstelt, maar het is logisch dat Microsoft de tools van Microsoft aanreikt.
27-06-2011, 23:35 door conf t
dat zou een goede beveiligingstechniek kunnen zijn voor de windows MBR! Als MS die techniek zelf zou gebruiken.
28-06-2011, 00:11 door Anoniem
Door Peter V: Wie nog geen backup heeft gemaakt kan het volgende doen (Windows-7)

Bij opstart van de Systeemherstelschijf krijg je een keuzemenu voor herstelopties.

Is dit niet een functionaliteit van de installatie DVD?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.