Een variant van de beruchte TDL4-rootkit is nu ook in staat om de volume boot record (VBR) van de harde schijf te infecteren en is daarmee veel anti-virusbedrijven te slim af. Op een standaard harde schijf staat een Master Boot Record (MBR), die verschillende gegevens bevat over het soort en de locatie van de logische partities van de harde schijf.
De eerste sector van een partitie, waar de MBR naar wijst, wordt ook de volume boot sector, boot block of volume boot record (VBR) genoemd. In het verleden zijn verschillende rootkits ontdekt die de MBR besmetten.
Besmetting
Onlangs rapporteerde beveiligingsbedrijf Damballa dat een variant van de TDL4-rootkit zeker 250.000 computers had geïnfecteerd. Opmerkelijk genoeg wist het beveiligingsbedrijf geen exemplaren van de malware te vinden. Alleen aan de hand van netwerkanalyse werden de infecties vastgesteld.
"Als er geen exemplaren bestaan, en we hebben meer dan twee maanden geprobeerd om ze te vinden, zijn er geen signatures om de malware te blokkeren of potentieel geïnfecteerde machines te scannen", zo liet de beveiliger destijds weten.
Rootkit
Het Nederlandse anti-virusbedrijf SurfRight meldt dat het exemplaren van de mysterieuze rootkit in bezit heeft. Die zou zich inmiddels op grote schaal verspreiden. "Het probleem is dat de meeste commerciële anti-virusprogramma's geen ondersteuning hebben om de VBR te lezen. De meeste zijn ook al niet in staat om de MBR te scannen als de bedreiging actief is op het systeem. Dit komt omdat de rootkit volledige controle heeft over alles wat er op het systeem gebeurt, inclusief de virusscanner", zegt Mark Loman tegenover Security.nl.
De onderzoeker van SurfRight meldt op het eigen blog dat de malware daardoor een nog grotere uitdaging voor commerciële anti-virusprogramma's is. "Dit betekent dat commerciële anti-virusprogramma's deze malware niet kunnen detecteren, laat staan verwijderen."
In de Malware Prevalence Top 25 van het anti-virusbedrijf staat de TDL4-variant inmiddels op een tweede plek. Het gaat hier om scans van besmette systemen door Hitman Pro. Hoe de systemen met de malware besmet zijn geraakt is nog niet bekend.
Deze posting is gelocked. Reageren is niet meer mogelijk.