Nieuws

Windows rootkit laat 1999 herleven

maandag 16 mei 2011, 13:19 door Redactie, 11 reacties

Een nieuwe variant van de beruchte Alureon (TDL) rootkit gebruikt een techniek uit 1999 om virusscanners te misleiden. Twaalf jaar geleden gebruikte het Crypto-virus brute-force aanvallen om de eigen encryptiesleutel te ontsleutelen. Tijdens onderzoek naar een recente versie van Alureon, ontdekte Microsoft dezelfde techniek, alleen verder verfijnd.

De malware versleutelt de eigen inhoud en probeert vervolgens de sleutel te "kraken". Door de gebruikte methode kan het 255 pogingen duren voordat de malware toegang tot de eigen versleutelde inhoud krijgt. "Een decennium geleden gebruikte Crypto een soortgelijke, veel eenvoudigere techniek. Virusschrijvers doen vandaag de dag veel moeite om detectie te omzeilen", zegt Marian Radu van het Microsoft Malware Protection Center.

Alureon is een geavanceerde rootkit die onder andere 64-bit versies van Windows 7 kan infecteren. De malware heeft echter ook meerdere keren het nieuws gehaald om het Windows-systemen verminkt, waardoor die niet meer werken.

Win door Marty Roesch gesigneerd T-shirt

Google miste malware op Android Marktplaats

Reacties (11)

16-05-2011, 13:22 door PeterB

Kan iemand mij eraan herinneren dat het "fijn" is om met Windows te mogen werken ? Ik vergeet het steeds.

16-05-2011, 13:37 door meinonA

Door PeterB: Kan iemand mij eraan herinneren dat het "fijn" is om met Windows te mogen werken ? Ik vergeet het steeds.

Je moet er gewoon de uitdaging van inzien! Altijd maar veilig zijn is ook niet echt avontuurlijk...

16-05-2011, 14:16 door meeuw

Als ik het goed begrijp wordt het virus telkens met een andere sleutel geencrypted maar dan kan je toch scannen voor de code die de sleutel probeert te kraken? Het lijkt me dat die hetzelfde blijft.

16-05-2011, 14:21 door Anoniem

Door PeterB: Kan iemand mij eraan herinneren dat het "fijn" is om met Windows te mogen werken ? Ik vergeet het steeds.

Dit is niet Windows-specifiek hoor. Toevallig is het mechanisme eerder gebruikt op Windows, maar 't kan net zo goed gebruikt worden op alle andere OS's.

16-05-2011, 14:21 door SirDice

Door meeuw: Als ik het goed begrijp wordt het virus telkens met een andere sleutel geencrypted maar dan kan je toch scannen voor de code die de sleutel probeert te kraken? Het lijkt me dat die hetzelfde blijft.

Waarschijnlijk is het te weinig code voor een betrouwbare signature.

16-05-2011, 14:24 door SirDice

Twaalf jaar geleden gebruikte het Crypto-virus brute-force aanvallen om de eigen encryptiesleutel te ontsleutelen.

Het truukje is zelfs nog ouder...

http://en.wikipedia.org/wiki/Lamer_Exterminator_%28computer_virus%29

16-05-2011, 14:38 door Anoniem

De decryptie-code zou polymorfisch kunnen zijn, d.w.z. willekeurig gegenereerd, niet scanbaar met een signature. En dan is het idee dat een emulator van een AV-pakket te traag is om de brute-force decryptie-code binnen redelijke tijd te doorlopen. Dat was vroeger althans de theorie, in de praktijk zal zulke afwijkende code allerlei heuristics triggeren zodat de emulator lekker op z'n gemak de boel kan doorlopen.

16-05-2011, 14:58 door SirDice

Door Anoniem: De decryptie-code zou polymorfisch kunnen zijn, d.w.z. willekeurig gegenereerd, niet scanbaar met een signature.

Dat is inderdaad ook nog een mogelijkheid. Die was ik alweer helemaal vergeten.

16-05-2011, 16:03 door Anoniem

Door PeterB: Kan iemand mij eraan herinneren dat het "fijn" is om met Windows te mogen werken ? Ik vergeet het steeds.

Wat een gezeur altijd over welk OS nu slecht is of juist niet. Het zit 'm in de gebruiker. De oorzaak van het probleem bevindt zich altijd ongeveer één meter van het scherm. Vaak is dit de gebruiker.

16-05-2011, 16:57 door Mysterio

Door Anoniem: De decryptie-code zou polymorfisch kunnen zijn, d.w.z. willekeurig gegenereerd, niet scanbaar met een signature. En dan is het idee dat een emulator van een AV-pakket te traag is om de brute-force decryptie-code binnen redelijke tijd te doorlopen. Dat was vroeger althans de theorie, in de praktijk zal zulke afwijkende code allerlei heuristics triggeren zodat de emulator lekker op z'n gemak de boel kan doorlopen.

Geniaal in zijn eenvoud.

17-05-2011, 09:28 door Anoniem

Door PeterB: Kan iemand mij eraan herinneren dat het "fijn" is om met Windows te mogen werken ? Ik vergeet het steeds.

Stel je nou eens voor dat je geen hobby hebt, wat moet je dan de hele dag doen. Windows is fijn omdat het zoveel mensen een bezigheid geeft, die zich anders zouden vervelen. Lang leve Windows!

Voor de zoveelste keer: bedankt microsoft, dat was weer goed lachen deze morgen... en nu koffie en aan het werk.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer