Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Test op rootkit "leek-onvriendelijk"

03-04-2012, 21:37 door Anoniem, 10 reacties
Toch eens even uitgeprobeerd of er misschien rootkit ellende in m'n PC zit. Hietoe (bij) Kasperski anti-rootkit gedownload, geïnstalleerd en gerund. Poos later ook (bij) Sophos anti-rootkit gedownload, geïnstalleerd en gerund. Weinig wijzer van geworden. K zei dat er niks gevonden was en S bleef heel erg lang "breien" en produceerde alleen megaveel output over allerhande bestanden op de Hdisk. Onwaarschijnlijk veel.

Ben absoluut geen freak en heb aan deze tests niks gehad cq. er niets van begrepen. Bestaat er eigenlijk iets mbt rootkit test waar ik, als leek, iets aan heb? Ik gebruik MS Security Essentials; test die eigenlijk op rootkits? Dacht ik 's wat preventiefs te doen, maar kom van een koude kermis thuis. O ja, ik had geen echte reden of ellende op m'n PC om een rootkit test te doen. Ben benieuwd naar jullie reactie en advies.
Reacties (10)
04-04-2012, 11:48 door S-q.
Ja; als er geen besmetting met rootkit ellende is, zal je het ook niet vinden!
04-04-2012, 12:12 door sjonniev
Er zijn er nog veel meer, zie http://lmgtfy.com/?q=rootkit+detection+and+removal.

Preventief?

Installeer goeie anti malware, zorg dat die up-to-date blijft, zorg dat java, flash, en pdfreaders up-to-date of niet geïnstalleerd zijn. Verbied het gebruik van javascript. Maak een backup van je MBR, en zorg dat je ook weet hoe je die terug kunt zetten zonder van de harde schijf in kwestie te moeten booten.
04-04-2012, 12:12 door Korakies
Het controleren op de aanwezigheid en aansluitend verwijderen van rootkis is al snel 'leek-onvriendelijk'. Enige kennis van hoe rootkits zich beschermen in het OS is wel van belang.

OS in bedrijf,
Veelal bestaat het grondig verwijderen uit meerdere stappen; eerst het rootkit proces te stoppen met TDSSKiller, waarna - zonder een herstart van het OS - met Malwarebytes de resten verwijderen.

OS niet bedrijf,
Opstarten met een opstartschijf en zo de bedreigingen wegnemen. (aanbevolen)

Soms wordt ook met HitmanPro een goed resultaat bereikt en is makkelijk uit te voeren voor de gebruiker

Laat onverlet dat dit allemaal snel te technisch wordt voor de gemiddelde gebruiker. Je hoeft overigens geen freak te zijn, om met een gezonde achterdocht je OS zo af en toe te scannen. Het voordeel; je krijgt zekerheid over de status van je OS en bouwt gaandeweg ervaring op in het gebruik van diverse software.
04-04-2012, 12:18 door sjonniev
Mijn vorige versie van SafeGuard Easy had de eigenaardigheid om tijdens de installatie een kopie van de MBR te maken, en die na iedere boot aan Windows te laten zien, zodat eventuele wijzigingen in de MBR na de volgende reboot weer verdwenen waren. Dat betekent dat het opruimen van dingen als TDSS een stuk eenvoudiger ging. Weet iemand of TrueCrypt of zo dezelfde truc uitvoert?
04-04-2012, 14:30 door S-q.
Quote: "Ik gebruik MS Security Essentials; test die eigenlijk op rootkits?"

Kan iemand die vraag van TS beantwoorden?
Zou de term MBR hem iets zeggen?

Quote: "Ben absoluut geen freak"
Ik denk dat TS bedoelt te zeggen: Ik ben leek-eindgebruiker (maar dit is inderdaad een aanname.)

Ik vind de reaktie van Korakies voor mij alvast heel begrijpelijk.
Vertel TS (en mij) eens: TDSSkiller?

Ik ga googelen en naar wikipedia;-))
04-04-2012, 16:37 door Anoniem
Na googlen op rootkit security essentials http://www.microsoft.com/business/nl-nl/Content/Paginas/article.aspx?cbcid=71
04-04-2012, 19:29 door Anoniem
...kan slechts 1 ding zeggen; http://www.gmer.net/ :)
04-04-2012, 21:53 door Anoniem
MSE scant ook op rootkits. Zie http://windows.microsoft.com/nl-NL/windows/products/security-essentials/product-information

''Een rootkit is een schadelijk soort software waartegen een systeem zeer moeilijk te beveiligen is. Microsoft Security Essentials bevat een aantal nieuwe en verbeterde technologieën om rootkits en andere agressieve bedreigingen te bestrijden.

- De kernel is het hart van het besturingssysteem van uw pc. Microsoft Security Essentials controleert de kernel op aanvallen of schadelijke wijzigingen.

- Rootkits gebruiken slinkse methoden om zichzelf te verbergen, maar Microsoft Security Essentials beschikt over de meest recente technologie om verborgen programma's aan de oppervlakte te brengen. Het direct parseren van het bestandssysteem zorgt er bijvoorbeeld voor dat schadelijke programma's en stuurprogramma's worden gevonden en verwijderd waarin rootkits zich gewoonlijk nestelen.''
04-04-2012, 23:44 door [Account Verwijderd]
[Verwijderd]
04-04-2012, 23:50 door Bitwiper
Door Anoniem: Na googlen op rootkit security essentials http://www.microsoft.com/business/nl-nl/Content/Paginas/article.aspx?cbcid=71
Daarin staat de tip in die ik ongeveer ook wilde geven:
Test vooraf zonder Windows-besturingssysteem

Het beste zou het zijn om de pc eerst te controleren zonder dat het besturingssysteem actief is.
Alleen is die tekst nogal krom: de essentie is dat je van een ander medium opstart (dus niet de harddisk waar je PC normaal gesproken van opstart), welk besturingssysteem dat is maakt niets uit (dit mag ook een Windows PE -Portable Environment- systeem CD zijn, mits voorzien van een recente antivirus met verse malware definities).
Bitwiper's uitleg waarom je moet opstarten van een ander medium: De reden hiervoor is dat rootkits het besturingssysteem op je PC zodanig aanpassen dat je de onderdelen waar die rootkit uit bestaat, met gangbare middelen niet terug kunt vinden. Hoe eerder de rootkit actief wordt tijdens het opstartproces van Windows, hoe lastiger het is om er een "speld tussen te krijgen". De krachtigste rootkits worden al actief voordat er ook maar iets van Windows start, dit kan doordat ze zich in het "master boot record" (MBR) weten te nestelen.

Een harde schijf is onderverdeeld in sectors, blokjes van 512 bytes. Het MBR bevindt zich in de eerste sector op de schijf, dat is sector nummer 0. De malware die de rootkit installeert zal echter niet zomaar het MBR overschrijven, maar eerst een kopie maken van sector 0 elders op de schijf, in een ongebruikte sector (bijvoorbeeld sector 62). Daarna wordt het MBR in sector 0 overschreven met de rootkit code (in elk geval het begin daarvan, vaak strekt die code zich uit over meerdere -voorheen ongebruikte- sectors).

Zodra je de PC opnieuw opstart, wordt de rootkit actief. Een belangrijke functie daarvan is verstoppen. Het wijzigt de software in je PC die ervoor zorgt dat gegevens van de schijf geladen en ernaar geschreven worden, zodanig dat als willekeurig welke software (ook een virusscanner) om de inhoud van sector 0 vraagt, de inhoud van sector 62 (in dit voorbeeld) geretourneerd wordt. De kwaadaardige sector krijg je gewoon niet meer te zien.

Bij verdenking van een rootkit is het dus essentieel dat de detectiesoftware draait op het moment dat de rootkit niet actief is. Dat kan bij MBR rootkits alleen maar door van een ander device op te starten.
Terug naar het Microsoft artikel: het is bezopen dat ze in dat artikel van (18 augustus 2011) naar de DOS versie van F-Prot verwijzen, die versie wordt al jaren niet meer onderhouden (het bestand met defintities is van 15 juni 2006).

Als ik me niet vergis kun je vanuit Kaspersky een "Rescue Disk" maken. Lukt dat niet dan kun je deze via de volgende pagina downloaden: http://support.kaspersky.com/faq/?qid=208282173.

Rescue disks van enkele andere antivirusbedrijven (bron: http://www.pcmag.com/article2/0,2817,2363533,00.asp) die momenteel ook redelijk up-to-date lijken vind je hier:
http://www.avira.com/en/download/product/avira-antivir-rescue-system
http://www.avg.com/us-en/avg-rescue-cd
http://www.f-secure.com/en/web/labs_global/removal/rescue-cd
http://free.antivirus.com/rescue-disk/ (Trend Micro)

Geen rescue disk maar een aanvullende "eenmalige" (werkt 10 dagen) virusscanner die je kunt downloaden en draaien als je malware op je systeem vermoedt die niet door je huidige virusscanner wordt gedetecteerd (of die je virusscanner onklaar heeft gemaakt): http://www.microsoft.com/security/scanner/nl-nl/default.aspx.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.