Een variant van de beruchte ZeroAccess Trojan voor Windows gebruikt een nieuwe truc om zich te verstoppen. ZeroAccess kan de browser naar andere websites doorsturen en aanvullende malware downloaden. De nieuwste verstopt zich in het Extended Attribute van een NTFS-record. Volgens het Nederlandse beveiligingsbedrijf Surfright een geheel nieuwe manier voor rootkits om zich te verbergen.
Daarmee weet de rootkit virusscanners te omzeilen, aangezien de beveiligingssoftware het Extended Attribute niet scant, omdat het zich diep binnen het NTFS bestandssysteem bevindt. Het Extended Attribuut is alleen via speciale forensische tools te lezen, zoals WinHex.
Code
Inmiddels zijn zowel besmette Windows 7 als Vista systemen ontdekt, zowel 32-bit als 64-bit. Waarom er geen Windows XP-infecties zijn aangetroffen is onduidelijk, aangezien er geen technische reden is waarom de malware niet op dit besturingssysteem zou werken. Onderzoekers ontdekten verder dat zowel de 32-bit als 64-bit code van de rootkits zijn samengevoegd, waardoor de makers die eenvoudiger kunnen beheren en verbeteren.
"De nieuwste verschijning van ZeroAccess heeft succesvol de 32-bit en 64-bit code in een nieuwe variant samengevoegd, die zowel lastig te detecteren als lastig te verwijderen is", aldus Surfright. Het bedrijf laat tegenover Security.nl weten dat het de afgelopen drie weken ruim 3.000 met de nieuwe ZeroAccess besmette pc's heeft gevonden.
Deze posting is gelocked. Reageren is niet meer mogelijk.