image

NTFS-rootkit manipuleert Firefox en IE

woensdag 6 juli 2011, 14:48 door Redactie, 7 reacties

Onderzoekers hebben een rootkit ontdekt die niet alleen de Master Boot Record (MBR) infecteert, maar ook de NTFS-lader. NTFS (New Technology File System) is het bestandssysteem dat alle moderne Windows-versies gebruiken. Cidox, zoals de rootkit heet, infecteert de lader op de boot partitie van de harde schijf.

De dropper die de rootkit installeert, bevat twee drivers, één voor 32-bit en één voor 64-bit systemen. Cidox bewaart de relevante driver op de eerste vrije sectoren van de harde schijf. Vervolgens wordt de boot partitie geïnfecteerd, als die NTFS gebruikt. Partities met bijvoorbeeld FAT32 worden overgeslagen. De volgende stap is het aanpassen van de code van de Extended NTFS IPL (Initial Program Loader), die voor het parsen van de MFT tabel (Master File Table) verantwoordelijk is. De rootkit zoekt hierbij naar het bestand ntldr of bootmgr.

Browser
De malware wordt door deze aanpassing de volgende keer bij het starten van het systeem geladen. De kwaadaardige driver manipuleert vervolgens de processen van Internet Explorer, Firefox, Opera, Chrome en svchost. Start de gebruiker één van deze processen, dan wordt de browser output gewijzigd.

Daardoor ziet de gebruiker een venster dat voor kwaadaardige programma's op het systeem waarschuwt. Om de infectie te verwijderen moet het slachtoffer vervolgens zijn browser via een speciale code verlengen. De code is door het versturen van een sms te verkrijgen.

Reacties (7)
06-07-2011, 14:58 door SirDice
Onderzoekers hebben een rootkit ontdekt die niet alleen de Master Boot Record (MBR) infecteert, maar ook de NTFS-lader. NTFS (New Technology File System) is het bestandssysteem dat alle moderne Windows-versies gebruiken.
ntldr is niet een NTFS-lader, het is de NT bootloader.

http://en.wikipedia.org/wiki/NTLDR

Deze lijkt me ook te ontbreken in het artikel: http://www.securelist.com/en/blog/517/Cybercriminals_switch_from_MBR_to_NTFS
06-07-2011, 16:10 door meeuw
Ik wist wel dat FAT32 veiliger was!
06-07-2011, 16:26 door Anoniem
Deze rootkit infecteert de VBR, niet de MBR.
06-07-2011, 16:34 door Anoniem
Veiliger kan ik hier op verschillende manier worden omschreven ;).
06-07-2011, 17:06 door [Account Verwijderd]
[Verwijderd]
06-07-2011, 17:09 door Anoniem
de code is via een sms te verkrijgen.nou dan kun je toch diegene die erachter zit in de kraag grijpen!? en wij gaan niks betalen hij gaat ons betalen voor alle aangerichte materieele schade,kosten van reiniging pc,herinstalleren windows evt. vervangen van hardware als bijv. de harde schijf,en dan nog psychische schade opgelopen door de schrik van het hebben van dergelijke malware op je pc.
07-07-2011, 09:05 door Anoniem
Als er organisaties/softwaremakers die hackers/crackers/malware/virusschrijvers in huis halen om hun systemen "na te kijken op die ondingen" en die er nog veel voor betalen gaat dit echt nooit stoppen, nog te zwijgen over ordediensten in de zin van big Brother is Watching U!!! of diensten die de malafide dingen aanbieden met de mooie omschrijving: enkel voor educatieve doeleinden Yeah Right!!!
Hoe meer malafide zaken op pc's terechtkomen zonder medeweten van de eigenaar van de bewuste PC hoe meer het PC gebruik in het algemeen zal achteruit gaan, de 'gewone' mens gaat zich daar niet meer mee bezig houden.
Gewoon verbod op pc gebruik opleggen als ze die vinden, de gevangenis in en alle schade zelf betalen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.