image

Rootkit verwijdert concurrerende Windows-rootkit

dinsdag 9 augustus 2011, 11:48 door Redactie, 0 reacties

Een nieuwe versie van de ZeroAccess rootkit bevat een speciale routine om de concurrerende TDL3 rootkit te verwijderen, zo hebben onderzoekers ontdekt. Marco Giuliani van beveiligingsbedrijf Webroot had naar eigen zeggen altijd het idee dat ZeroAccess door TDL3 geïnspireerd was, mede door de technische werking van beide rootkits. ZeroAccess bevat echter een speciale anti-TDL routine, die detecteert of een systeem al door de TDL-rootkit besmet is, en indien dit het geval is, de malware vervolgens uitschakelt.

ZeroAccess heeft volledige controle over een systeem en kan de computer allerlei taken uitvoeren. Op dit moment zou het alleen om advertentie-clickers en 'zoekmachine-kapers' gaan. En daar zit mogelijk ook een link tussen beide rootkits. De clickbot die ZeroAccess downloadt, die de rootkit gebruikt om advertenties te openen, heeft de naam Z00clicker2. In januari 2010 werden twee varianten van de TDL3-rootkit ontdekt, waarvan eentje een plugin genaamd 00clicker.dll gebruikte.

Broncode
Giuliani vraagt zich nu af waarom de ZeroAccess advertentie-clicker dezelfde naam als de TDL3-rootkit variant gebruikt, maar ook waarom beide rootkits zoveel op elkaar lijken. Volgens de onderzoeker is het mogelijk dat het team achter TDL3 ook achter ZeroAccess zit, of dat de broncode van ZeroAccess op de zwarte markt is gekocht door het team dat eerder de TDL3 broncode kocht.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.