image

Windows-rootkit verbergt zich dankzij open source

zaterdag 23 maart 2013, 20:46 door Redactie, 1 reacties

Een beruchte Windows-rootkit die al sinds 2008 actief is heeft een nieuwe methode om zich op besmette computers te verbergen, namelijk het gebruik van opensourcesoftware. Nu komt het vaker voor dat malware legitieme software gebruikt, in het geval van de Tidserv malware (ook bekend als TDL) gaat het om het Chromium Embedded Framework (CEF).

Zonder het downloaden van dit 50MB grote raamwerk kan de malware niet correct functioneren. Volgens Kevin Savage van Symantec is dit zeer bijzonder voor malware.

Chromium Embedded Framework
CEF is een uitbreiding voor het Chromium project van Google. Het biedt ontwikkelaars een eenvoudige manier om een op HTML5 gebaseerde grafische gebruikersinterface in een desktopapplicatie te implementeren of browsereigenschappen aan een applicatie toe te voegen.

De Tidserv malware gebruikt een modulair framework om nieuwe modules te downloaden en die in schone processen te injecteren. Voorgaande versies gebruikten hiervoor een bepaalde module die netwerkactiviteiten zoals het klikken op links en tonen van advertentie pop-ups voor zijn rekening nam.

Module
Symantec ontdekte onlangs een nieuwe variant die een nieuwe module gebruikt. Deze module vereist het bestand cef.dll, wat onderdeel van CEF is. Om dit bestand te verkrijgen downloadt de malware het gehele Chromium Embedded Framework van 50MB op de besmette computer. Het aantal downloads van CEF is de afgelopen dagen flink gestegen.

Hoeveel downloads met de malware te maken hebben is onduidelijk, maar als de toename wel door Tidserv is veroorzaakt, gaat het om aardig wat besmette computers. Door het gebruik van CEF kan Tidserv veel van de basale browsereigenschappen uit de eigen modules verwijderen, waardoor die kleiner worden en eenvoudiger zijn te updaten met nieuwe functionaliteit.

Reactie
De ontwikkelaars zijn inmiddels van de malware-activiteiten op de hoogte en zeggen het gebruik van CEF voor illegale doeleinden niet goed te keuren.

Daarnaast zullen er maatregelen worden getroffen om het misbruik tegen te gaan. Eén van die maatregelen is al genomen, de ontwikkelaars hebben namelijk het bestand uit het framework verwijderd waar de malware op zoek naar is.

Reacties (1)
24-03-2013, 15:13 door Duck-man
Beetje gekke titel. Natuurlijk heeft opensource op zich niks met deze rootkit temaken. Er wordt een programma gebruikt die is uitgegeven onder een BSD licentie.
Java heeft ook een deels opensource en deels closesource licentie en wordt veelvuldig gebruikt voor aan vallen.
En beetje misleidende titel die ook nog eens nergens op slaat. Op zich wel apart dat een rootkit een library download om actief te kunnen worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.