image

Microsoft: Verwijderen rootkit vereist geen herinstallatie

vrijdag 1 juli 2011, 10:27 door Redactie, 11 reacties

Windows computers die met de Popureb rootkit besmet zijn, hoeven hun systeem niet opnieuw te installeren, aldus Microsoft. De softwaregigant waarschuwde via een blogposting voor de harde schijf kaper, die de Master Boot Record (MBR) van systemen infecteert.

Microsoft liet Windows-gebruikers eerst weten dat ze de MBR moesten repareren om vervolgens via een recovery CD het systeem te herstellen. Daar komt het nu op terug. Nu stelt de softwaregigant via een update dat het gebruik van de Windows Recovery Consolse voldoende is om malware van de MBR te verwijderen. Vervolgens kan men een virusscanner gebruiken om het systeem op achtergebleven malware te scannen.

Herinstallatie
Gebruikers moeten echter niet te vroeg juichen. Volgens beveiligingsexpert Joe Stewart is het opnieuw installeren van Windows de enige zeker methode om ervoor te zorgen dat MBR rootkits en andere malware compleet verwijderd is. "Als je eenmaal geinfecteerd bent, is het beste advies om Windows opnieuw te installeren. MBR rootkits downloaden een aantal andere malware. Hoeveel weet je er daarvan te vinden? Dit plaatst de gebruiker in een lastige situatie."

Marco Giuliani van Webroot vindt het advies van Stewart te ver gaan en benadrukt dat een volledige herinstallatie niet nodig. "Wat wel een nachtmerrie is, is dat de Trojan bugs lijkt te hebben waardoor een systeem tijdens het herstarten vastloopt. Dit kan een probleem worden wat een volledige herinstallatie vereist", zegt Giuliani. "Zelfs als deze malware zijn goede potentie toont, hebben we ontdekt dat de huidige versie zonder grote problemen te verwijderen is."

Reacties (11)
01-07-2011, 11:48 door Anoniem
voor high-security omgevingen kun je naar mijn mening de hele computer niet meer gebruiken na een infectie; de firmware van bijvoorbeeld je netwerk kaart zou vervangen kunnen zijn
dit los je niet op met een herinstallatie.

tevens kan een virus instellingen en bestanden hebben overschreven.

alle instellingen nalopen is onmogelijk; er zijn er te veel
en de recovery tool weet niet wat er stond ingesteld voor dat de instelling werd overschreven; die zal de instellingen terug zetten naar de default

wat betreft bestanden;
daar rusten meestal rechten op; een repair tool van 3de heeft geen rechten om deze te herstellen


Greetingz,
Jacco
01-07-2011, 13:08 door Anoniem
Vervolgens kan men een virusscanner gebruiken om het systeem op achtergebleven malware te scannen.

Virusscanners lopen gemiddeld een maand achter. En als het een gerichte aanval betreft, kun je er vanuit gaan dat de malware specifiek is geschreven voor die aanval. Dan vindt geen enkele virusscanner die malware. Ook niet na een maand.

Bij ons is het zo dat als malware wordt ontdekt, maar hij heeft nog niets gedaan, dan dan volstaan worden met verwijderen van die hardware. Is de malware echter ontdekt omdat hij al acties aan het uitvoeren was, zoals scannen of spammen, dan moet de machine opnieuw geinstalleerd worden. Dat duidt er namelijk op dat de malware ook al andere malware heeft geinstalleerd en die vind je niet allemaal. Bij een recidivist vind altijd herinstallatie plaats.

Peter
01-07-2011, 15:37 door Mysterio
Een high-security omgeving is niet kwetsbaar voor dit geval en werkt met back-up of met zo iets als steady state.

Het puur opnieuw installeren van Windows doet niets met de MBR. De malware zal zich zonder al te veel problemen weer up and running krijgen. Eerder dan jij je anti-virus hebt geïnstalleerd.

Aan specifiek voor jou geschreven malware doe je weinig, behalve je verkeer goed monitoren. Een beetje firewall kan vervolgens alles wat jij niet toelaat blokkeren. het is allemaal niet zo heel moeilijk zolang het niet om thuisgebruikers gaat.

Microsoft heeft Popureb in de definities opgenomen en dus hoef je niet meer te klooien met recovery CD's. Prima toch?
01-07-2011, 15:58 door [Account Verwijderd]
[Verwijderd]
01-07-2011, 16:31 door Anoniem
Mij lijkt opnieuw installeren inderdaad de beste optie, maar als ik eerlijk ben.. dat kost me zeeen van tijd die ik niet heb. Volgens mij spelen de antivirusboeren prima op dit probleem in.
Ik las gisteren dat hitman pro popureb moeiteloos weghaalt, dus ik zie eigenlijk niet in waarom zoveel commotie?? Zal wel komen om de opmerking van microsoft i guess..
Groeten, Jacques Orthen
01-07-2011, 16:35 door fluffyb53
Door Mysterio: Een high-security omgeving is niet kwetsbaar voor dit geval en werkt met back-up of met zo iets als steady state.

Het puur opnieuw installeren van Windows doet niets met de MBR. De malware zal zich zonder al te veel problemen weer up and running krijgen. Eerder dan jij je anti-virus hebt geïnstalleerd.

Aan specifiek voor jou geschreven malware doe je weinig, behalve je verkeer goed monitoren. Een beetje firewall kan vervolgens alles wat jij niet toelaat blokkeren. het is allemaal niet zo heel moeilijk zolang het niet om thuisgebruikers gaat.

Microsoft heeft Popureb in de definities opgenomen en dus hoef je niet meer te klooien met recovery CD's. Prima toch?

Niet helemaal juist. De MBR wordt bij een systeemkopie bij Win7 ( en ook Acronis) wel degelijk gekopieeerd. Het is natuurlijk evident dat de MBR (in de image) al geinfecteerd kan zijn.

Problemen zijn er wel bij sommige merken zoals Acer die een aangepaste MBR hebben om een recovery uit te voeren.
01-07-2011, 19:24 door Anoniem
Een High Security omgeving behoort niet eens aan internet gekoppeld te zijn, laat staan het vrije gebruik van cd's / dvd's / usb stick etc....
op het moment dat 1 van deze functies bruikbaar is heb je gen high security, hoeveel software je ook plaatst...
01-07-2011, 21:15 door Anoniem
Door fluffyb53:
Door Mysterio: Een high-security omgeving is niet kwetsbaar voor dit geval en werkt met back-up of met zo iets als steady state.

Het puur opnieuw installeren van Windows doet niets met de MBR. De malware zal zich zonder al te veel problemen weer up and running krijgen. Eerder dan jij je anti-virus hebt geïnstalleerd.

Aan specifiek voor jou geschreven malware doe je weinig, behalve je verkeer goed monitoren. Een beetje firewall kan vervolgens alles wat jij niet toelaat blokkeren. het is allemaal niet zo heel moeilijk zolang het niet om thuisgebruikers gaat.

Microsoft heeft Popureb in de definities opgenomen en dus hoef je niet meer te klooien met recovery CD's. Prima toch?

Niet helemaal juist. De MBR wordt bij een systeemkopie bij Win7 ( en ook Acronis) wel degelijk gekopieeerd. Het is natuurlijk evident dat de MBR (in de image) al geinfecteerd kan zijn.

Problemen zijn er wel bij sommige merken zoals Acer die een aangepaste MBR hebben om een recovery uit te voeren.


Ik heb een Acer Aspire laptop en ik ben idd bang dat bij een recovery de malware ook weer opnieuw wordt geinstalleerd op pc,dus wat moet ik nu doen? Een recovery cd bestellen bij Acer? Aangezien de op de pc zelf geinstallleerde recovery-partitie waarschijnlijk ook besmet is.
01-07-2011, 23:11 door Ilja. _V V
Door fluffyb53:
Door Mysterio: Een high-security omgeving is niet kwetsbaar voor dit geval en werkt met back-up of met zo iets als steady state.
Niet helemaal juist. De MBR wordt bij een systeemkopie bij Win7 ( en ook Acronis) wel degelijk gekopieeerd. Het is natuurlijk evident dat de MBR (in de image) al geinfecteerd kan zijn.
Ja, maar dan krijg je bij het terugzetten de keuze om de MBR niet terug te zetten (in ieder geval bij Acronis, Windows 7 systeemkopie is bij mij nog niet voorgekomen).
Dus als je eerst wist, & dan partitioneert, activeert & formatteert met de herstelconsole via de installatie-cd/dvd, dan kan je dus zonder de oude besmette MBR toch het systeem volledig functioneel terug zetten.
02-07-2011, 09:35 door Anoniem
Zowel Symantec als SurfRight Hitman Pro zeggen dat ze Popureb verwijderen. Die Marco Giuliani zegt dat ze weten hoe ze het moeten doen, en een removal tool gaan maken.

Dus zo'n groot probleem is het niet.

En waarom worden Symantec en SurfRight niet genoemd in het artikel? Is security.nl misschien biased?
02-07-2011, 15:39 door Anoniem
Je kan ook de schijf uit de computer halen en scannen als een normale schijf op een andere computer.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.