image

Rootkits openen jacht op Windows 7

dinsdag 3 januari 2012, 16:10 door Redactie, 8 reacties

Het afgelopen jaar zijn er verschillende rootkits verschenen die zich op Windows 7 richten, zowel de 32- als 64-bit versie van het besturingssysteem. De rootkits en bootkits gebruiken verschillende manieren om zich op de harde schijf te nestelen. Zo infecteert de beruchte TLD4 rootkit de Master Boot Record (MBR). De Olmasco rootkit wijzigt de partitietabel van de schijf, in plaats van de MBR. Het zoekt naar een lege plek in de partitietabel en vrije ruimte aan het einde van de harde schijf, waar het een nieuwe, verborgen partitie aanmaakt. Op die partitie staat de malware en configuratie informatie.

De ZeroAccess rootkit daarentegen, infecteert de kernel-mode boot start driver, en overschrijft die volledig met de eigen code. De 64-bit versie installeert het bestand consrv.dll in de “systemroot\system32” map en registreert het als een onderdeel van het Windows Subsystem, dat tijdens het opstarten wordt geladen.


Trend
De Rovnix rootkit introduceerde in 2011 een nieuwe trend, door het VBR (Volume Boot Record) en Bootstrap code te wijzigen. Door deze techniek weet de malware veel beveiligingsprogramma's en virusscanners te omzeilen, aangezien deze features het detecteren en verwijderen van de rootkit veel lastiger maakt, aldus David Harley van anti-virusbedrijf ESET.

Daarnaast werd de 'bootkit builder' software voor VBR bootkits zoals Rovnix te koop aangeboden en verscheen daardoor ook in de Carberp Trojan. Dit Trojaanse paard richt zich onder andere op het aanvallen van Nederlandse banken.

Verder verschijnen er steeds meer complexe dreigingen die hun eigen verborgen opslag gebruiken en door het besturingssysteem aangeboden diensten vermijden. "Door deze aanpak houdt de malware de lading en configuratiegegevens geheim, zodat virusscanners en beveiligingssoftware ze niet zo snel vinden", besluit Harley.

Reacties (8)
03-01-2012, 16:36 door Anoniem
Heeft er iemand weet van een goede anti-rootkit voor windows 7 64-bit, maar dan niet te ingewikkeld in gebruik ?

Gilbert
03-01-2012, 20:47 door Anoniem
Is dit soort malware makkelijker met een bootcd zoals WinPE en speciale detectiesoftware te ontdekken en te behandelen? Ben hier erg benieuwd naar want met dit soort berichten ga ik er vanuit dat gewone antivirus software dit niet meer aankunnen.
03-01-2012, 20:47 door fluffyb53
Door Anoniem: Heeft er iemand weet van een goede anti-rootkit voor windows 7 64-bit, maar dan niet te ingewikkeld in gebruik ?

Gilbert

Matt Rizos vann Remove-Malware.com heeft interessante info ivm ZeroAccess.

http://remove-malware.com/malware/rootkits/rootkit-zero-access-max-notes/

Persoonlijk heb ik een voorkeur voor de Kaspersky Rescue Disk. Kan op cd maar Kaspersky heeft ook een utility om de iso bootable op een usb-stick te plaatsen.

Eén "super" rootkit-detector bestaat er helaas niet.
03-01-2012, 23:32 door Anoniem
Door Anoniem: Heeft er iemand weet van een goede anti-rootkit voor windows 7 64-bit, maar dan niet te ingewikkeld in gebruik ?

Gilbert


Ja deze, http://www.emsisoft.nl/antimalware/index.htm

ps: Het feestdagenvoordeel 1licentie kopen 3 ontvangen is tot aanstaande zarterdag verlengt...
http://www.emsisoft.nl/nl/kb/articles/news111222/


Seven of Nine
04-01-2012, 01:05 door Anoniem
http://www.gmer.net/ !!! :) _/|\_
04-01-2012, 03:16 door Anoniem
Zo ie zo 'deep' level malware is troep, veel code en het helpt toch niet tegen removal dus kunnen ze beter hun tijd besparen.
Kijk naar het tld4 rootkit, botnet = dood door microsoft removal loool. awmproxy.com veel proxies weg uit hun site.
04-01-2012, 12:41 door eMilt
@Anoniem: Microsoft heeft sinds niet al te lange tijd een malware detectie CD welke je dus apart kan booten. Deze kan ook dit type rootkits detecteren. Zie: http://connect.microsoft.com/systemsweeper. Is vrij eenvoudig in het gebruik.
06-01-2012, 15:28 door spatieman
windows 7 is toch zo veilig, is toch niet nodig??
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.