Nieuws
image

Weer Windows 64-bit rootkit ontdekt

woensdag 25 mei 2011, 11:06 door Redactie, 9 reacties

Beveiligingsonderzoekers hebben weer een rootkit ontdekt die 64-bit Windows computers kan infecteren. De ZeroAccess rootkit werkte eerst alleen op x86 platformen, maar is nu ook in staat om x64-systemen over te nemen. De malware, die ook als MAX++ bekend staat, verspreidt zich via de Bleeding Life exploit-kit. De toolkit misbruikt voornamelijk ongepatchte beveiligingslekken in Adobe Reader. Is de exploit succesvol, dan controleert de malware om wat voor besturingssysteem het gaat en downloadt vervolgens de juiste rootkit-versie.

In het geval van een 64-bit systeem, wordt er een speciale dropper gedownload. Deze dropper bevat geen rootkit, maar is usermode malware die het gedrag van de 32-bit rootkit repliceert. Daarnaast installeert de malware zich in het services.exe proces. ZeroAccess wordt onder andere gebruikt voor het spoofen van zoekresultaten en clickfraude.

Vrijdag werd er ook al gewaarschuwd voor een banking Trojan die online bankrekeningen op 64-bit computers kan plunderen. Daarnaast is ook de beruchte TDL4-rootkit al enige tijd in staat om Windows 64-bit te infecteren. Uit cijfers van Microsoft blijkt dat 64-bit systemen nog altijd met de minste infecties te maken hebben. De softwaregigant verklaart het verschil tussen 32- en 64-bit infecties dat technische gebruikers een voorkeur voor 64-bit hebben.

Reacties (9)
25-05-2011, 11:27 door Anoniem
Als het goed is zal deze rootkit wel worden ondekt met microsoft security essentials,of een andere hoogeprezen virusscanner.
De database ervan wordt namelijk als je handmatig het in de gaten houdt,wel 4 keer op een dag bijgewerkt met nieuwe defenities.
25-05-2011, 11:34 door U4iA
Ik ben hem even kwijt...

Weer Windows 64-bit rootkit ontdekt
...en later in het stuk...

In het geval van een 64-bit systeem, wordt er een speciale dropper gedownload. Deze dropper bevat geen rootkit, maar is usermode malware die het gedrag van de 32-bit rootkit repliceert
...dus eigenlijk is het ook weer géén rootkit?!?
25-05-2011, 11:53 door SirDice
Door U4iA: ...dus eigenlijk is het ook weer géén rootkit?!?
Vergelijk kernelmode rootkit met usermode rootkit:

http://en.wikipedia.org/wiki/Rootkit#User-mode
http://en.wikipedia.org/wiki/Rootkit#Kernel-mode
25-05-2011, 12:45 door [Account Verwijderd]
[Verwijderd]
25-05-2011, 13:12 door spatieman
wat hoorde ik bill gates ooit mompelen, W7 64 bit is ongevoelig voor rootkits.
25-05-2011, 13:25 door U4iA
Door SirDice:
Door U4iA: ...dus eigenlijk is het ook weer géén rootkit?!?
Vergelijk kernelmode rootkit met usermode rootkit:

http://en.wikipedia.org/wiki/Rootkit#User-mode
http://en.wikipedia.org/wiki/Rootkit#Kernel-mode
Bedankt voor de link! :)
25-05-2011, 13:37 door Anoniem
Door spatieman: wat hoorde ik bill gates ooit mompelen, W7 64 bit is ongevoelig voor rootkits.
Oh ja? Heb je een linkje waar die dat zegt? Ik kon namelijk niks vinden via Google (kan natuurlijk aan mijn slechte zoekvaardigheden liggen) :)
25-05-2011, 14:40 door Anoniem
De nieuwste Adobe reader draait toch in een sandbox?

Adobe mag eens opschieten en wat meer hun producten updaten. Adobe werkt nog steeds niet lekker hier.
25-05-2011, 15:53 door SirDice
Door spatieman: wat hoorde ik bill gates ooit mompelen, W7 64 bit is ongevoelig voor rootkits.
Wellicht helpt het als je je gekleurde bril omruilt voor een echte. Om te beginnen heeft Gates al jaren niet veel meer met Microsoft te maken. Ten tweede is er niet beweerd dat het ongevoelig zou zijn maar dat het moeilijker is. Dat blijkt in deze dan ook wel weer aangezien de 64 bit variant van deze malware geen kernel-mode rootkit installeert maar een user-mode variant.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure