image

Windows rootkit laat 1999 herleven

maandag 16 mei 2011, 13:19 door Redactie, 11 reacties

Een nieuwe variant van de beruchte Alureon (TDL) rootkit gebruikt een techniek uit 1999 om virusscanners te misleiden. Twaalf jaar geleden gebruikte het Crypto-virus brute-force aanvallen om de eigen encryptiesleutel te ontsleutelen. Tijdens onderzoek naar een recente versie van Alureon, ontdekte Microsoft dezelfde techniek, alleen verder verfijnd.

De malware versleutelt de eigen inhoud en probeert vervolgens de sleutel te "kraken". Door de gebruikte methode kan het 255 pogingen duren voordat de malware toegang tot de eigen versleutelde inhoud krijgt. "Een decennium geleden gebruikte Crypto een soortgelijke, veel eenvoudigere techniek. Virusschrijvers doen vandaag de dag veel moeite om detectie te omzeilen", zegt Marian Radu van het Microsoft Malware Protection Center.

Alureon is een geavanceerde rootkit die onder andere 64-bit versies van Windows 7 kan infecteren. De malware heeft echter ook meerdere keren het nieuws gehaald om het Windows-systemen verminkt, waardoor die niet meer werken.

Reacties (11)
16-05-2011, 13:22 door PeterB
Kan iemand mij eraan herinneren dat het "fijn" is om met Windows te mogen werken ? Ik vergeet het steeds.
16-05-2011, 13:37 door meinonA
Door PeterB: Kan iemand mij eraan herinneren dat het "fijn" is om met Windows te mogen werken ? Ik vergeet het steeds.
Je moet er gewoon de uitdaging van inzien! Altijd maar veilig zijn is ook niet echt avontuurlijk...
16-05-2011, 14:16 door meeuw
Als ik het goed begrijp wordt het virus telkens met een andere sleutel geencrypted maar dan kan je toch scannen voor de code die de sleutel probeert te kraken? Het lijkt me dat die hetzelfde blijft.
16-05-2011, 14:21 door Anoniem
Door PeterB: Kan iemand mij eraan herinneren dat het "fijn" is om met Windows te mogen werken ? Ik vergeet het steeds.

Dit is niet Windows-specifiek hoor. Toevallig is het mechanisme eerder gebruikt op Windows, maar 't kan net zo goed gebruikt worden op alle andere OS's.
16-05-2011, 14:21 door SirDice
Door meeuw: Als ik het goed begrijp wordt het virus telkens met een andere sleutel geencrypted maar dan kan je toch scannen voor de code die de sleutel probeert te kraken? Het lijkt me dat die hetzelfde blijft.
Waarschijnlijk is het te weinig code voor een betrouwbare signature.
16-05-2011, 14:24 door SirDice
Twaalf jaar geleden gebruikte het Crypto-virus brute-force aanvallen om de eigen encryptiesleutel te ontsleutelen.
Het truukje is zelfs nog ouder...

http://en.wikipedia.org/wiki/Lamer_Exterminator_%28computer_virus%29
16-05-2011, 14:38 door Anoniem
De decryptie-code zou polymorfisch kunnen zijn, d.w.z. willekeurig gegenereerd, niet scanbaar met een signature. En dan is het idee dat een emulator van een AV-pakket te traag is om de brute-force decryptie-code binnen redelijke tijd te doorlopen. Dat was vroeger althans de theorie, in de praktijk zal zulke afwijkende code allerlei heuristics triggeren zodat de emulator lekker op z'n gemak de boel kan doorlopen.
16-05-2011, 14:58 door SirDice
Door Anoniem: De decryptie-code zou polymorfisch kunnen zijn, d.w.z. willekeurig gegenereerd, niet scanbaar met een signature.
Dat is inderdaad ook nog een mogelijkheid. Die was ik alweer helemaal vergeten.
16-05-2011, 16:03 door Anoniem
Door PeterB: Kan iemand mij eraan herinneren dat het "fijn" is om met Windows te mogen werken ? Ik vergeet het steeds.

Wat een gezeur altijd over welk OS nu slecht is of juist niet. Het zit 'm in de gebruiker. De oorzaak van het probleem bevindt zich altijd ongeveer één meter van het scherm. Vaak is dit de gebruiker.
16-05-2011, 16:57 door Mysterio
Door Anoniem: De decryptie-code zou polymorfisch kunnen zijn, d.w.z. willekeurig gegenereerd, niet scanbaar met een signature. En dan is het idee dat een emulator van een AV-pakket te traag is om de brute-force decryptie-code binnen redelijke tijd te doorlopen. Dat was vroeger althans de theorie, in de praktijk zal zulke afwijkende code allerlei heuristics triggeren zodat de emulator lekker op z'n gemak de boel kan doorlopen.
Geniaal in zijn eenvoud.
17-05-2011, 09:28 door Anoniem
Door PeterB: Kan iemand mij eraan herinneren dat het "fijn" is om met Windows te mogen werken ? Ik vergeet het steeds.

Stel je nou eens voor dat je geen hobby hebt, wat moet je dan de hele dag doen. Windows is fijn omdat het zoveel mensen een bezigheid geeft, die zich anders zouden vervelen. Lang leve Windows!

Voor de zoveelste keer: bedankt microsoft, dat was weer goed lachen deze morgen... en nu koffie en aan het werk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.