image

Rootkit voorkomt verwijderen nep-virusscanner

zaterdag 1 september 2012, 07:54 door Redactie, 3 reacties

Veel nep-virusscanners zijn over het algemeen eenvoudig te verwijderen, maar bij een nieuw ontdekte variant ligt dat heel anders. Het gaat om scareware die zich Win 8 Security System noemt. In tegenstelling tot veel vorige nep-virusscanners is deze scareware van een rootkit voorzien die het besturingssystemen en alle geinstalleerde programma's manipuleert.

Detectie
Het voornaamste doel van de rootkit is het repareren van de nep-virusscanner in het geval geprobeerd wordt die te verwijderen. Hoe de nep-virusscanner zich precies verspreidt is nog onbekend, maar mogelijk wordt die door al aanwezige malware op het systeem geïnstalleerd.

Volgens het Nederlandse anti-virusbedrijf SurfRight zou de rootkit door slechts 1 van de 42 virusscanners op VirusTotal worden gedetecteerd.

Reacties (3)
01-09-2012, 15:57 door dawwg
Huh ? Ik meen me toch echt allang rootkits uit 2008 en 2009 (als het niet eerder was) te herinneren die als payload o.a. neppe virusscanners hadden (en een spambot + keylogger). Sloopte je de virusscanner weg, dan was het een kwestie van 1 reboot + internetverbinding en dan was het weer terug bij de volgende reboot (dmv geforceerde crash b.t.w.).
02-09-2012, 12:25 door MrBil
Ik heb het gevoel dat SurfRight oude troep voor nieuwe nieuws-artikelen gaat gebruikenn dat vind ik erg laag van niveau.
02-09-2012, 16:55 door SurfRight
Door MrBil: Ik heb het gevoel dat SurfRight oude troep voor nieuwe nieuws-artikelen gaat gebruikenn dat vind ik erg laag van niveau.
Waarom is de herkenning dan zo laag? De herkenning van de 32-bit driver is na 3 dagen nog steeds slechts 6/42 (op Emsisoft na alleen generics):
https://www.virustotal.com/file/3945861e049199662423a539e96b0c49a904501e9aef02faa4da678633cbcc37/analysis/

De herkenning van de 64-bit rootkit is na 3 dagen 3/42 (2 zijn van TrendMicro, dus effectief 2/42):
https://www.virustotal.com/file/be0d6eab2effbb58059d74b5baebc1fd88655aeb41970f43c35cb7be8f6700dc/analysis/

Deze FakeAV plaatst een self-signed driver op 64-bit systemen en wijzigt de boot configuration data om de driver te kunnen laden. De rootkit wordt ook gebruikt om web browsers te kapen (i.p.v. proxyserver-instellingen te maken wat eerdere FakeAVs deden). Verder toont het een nep Windows Onderhoudscentrum. De FakeAV zelf wordt door de meeste antivirusprogramma's wel ontdekt (inderdaad niks bijzonders), het is echter de rootkit die nog niet door antivirusprogramma's wordt gezien.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.