Mededeling

Collapse
No announcement yet.

Harde schijf rootkit in het wild gesignaleerd

Collapse
X
Collapse
  •  
  • Page of 1
  • Filter
  • Tijd
  • Show
Clear All
new posts
Vorige template Volgende
  • #1

    Harde schijf rootkit in het wild gesignaleerd

    Virusbestrijders hebben in het wild een rootkit ontdekt die het Master Boot Record (MBR) van harde schijven infecteert, en zo onopgemerkt Windows systemen overneemt. De malware wordt verspreidt via exploits voor oude Windows en applicatie lekken. Eenmaal actief overschijft het het MBR met de eigen code, en maakt een kopie van de originele MBR. De rootkit driver wordt opgeslagen op een niet gebruikt gedeelte van de harde schijf, meestal de laatste sectoren. Deze code zorgt ervoor dat Windows de driver laadt.

    Tijdens de eerstvolgende herstart, iets wat de malware zelf kan regelen, neemt de rootkit BIOS interrupt 13h over, zodat het volledige controle heeft over wat het besturingssysteem laadt, en kan het de Windows kernel real-time aanpassen en overnemen. Op deze manier hoeft de malware niet het Windows register aan te passen en is er ook geen bestand nodig.

    Om zichzelf in Windows te verbergen, wijzigt de rootkit verschillende disk.sys routines. Als een applicatie het MBR wil lezen, wordt de backup van het origineel getoond, zodat niemand wat door heeft. Daarnaast maakt de malware verbinding met verschillende hosts.

    Windows Vista zou alleen kwetsbaar zijn als UAC is uitgeschakeld, omdat het dan het MBR kan overschrijven. Iets wat niet mogelijk is als UAC aan staat. Zelfs als de rootkit toch de code in het MBR weet te injecteren, kan die het systeem niet overnemen omdat het laadproces tussen Windows XP en Vista verschilt. Beveiligingsexperts verwachten dat we meer van dit soort rootkits kunnen zien, omdat veel anti-rootkit oplossingen die niet kunnen detecteren. "De strijd verlaat het besturingssysteem, en is het begin van een heel nieuwe oorlog", zegt Marco Giuliani van Prevx.

    security.nl

    Labels: Geen
    • Citaat
  • #2
    Nieuwe rootkit nestelt zich in opstartregister pc

    De malware Trojan.Mebroot heeft het voorzien op de master boot record (MBR) van pc's en is al op minimaal 5000 Europese pc's aangetroffen.

    Het concept van malware die zich verschuilt in de MBR, is niet nieuw. Aanvallen op de MBR dateren al uit de tijd van MS-DOS. En de onderzoekers van eEye Digital Security presenteerden in 2005 reeds een proof-of-concept paper over een dergelijke infectiemethode.

    Sinds vorige week duikt de door eEye beschreven malware 'in het wild' op, zo meldt security-blogger Brian Krebs. Met alle vervelende gevolgen van dien. "Als je de MBR kunt controleren, kun je ook het besturingssysteem controleren en dus de volledige computer", zo vat Elia Florio het gevaar samen op het Symantec Security Response Weblog.

    De malware, Trojan.Mebroot genoemd, is aangetroffen op zeker 5000 Windows-pc's, zo blijkt uit een analyse van iDefense. Bijna alle geïnfecteerde systemen bevinden zich in Europa. Het lijkt erop dat de malware alleen succes heeft bij een aantal versies van Windows XP.

    Torpig

    Matthew Richard van iDefense vermoedt dat de rootkit is ontwikkeld door een Russische malwaregroep die ook verantwoordelijk is voor de Torpig-trojan. Torpig is erop gericht bankgegevens buit te maken. Dankzij de rootkit kunnen de makers van Torpig hun trojan opnieuw installeren op het moment dat de gebruiker de software (met behulp van anti-virus software) heeft verwijderd.

    Het verwijderen van de rootkit is niet eenvoudig. Krebs schrijft dat de meeste anti-virus- en anti-rootkit applicaties de malware nog niet kunnen detecteren en verwijderen. GMER zou één van de weinige anti-rootkit applicaties zijn die wel raad weet met de malware die zich in de MBR heeft verstopt. De verwachting is overigens wel dat daar op korte termijn verandering in zal komen.

    Florio beschrijft op het Symantec-blog een handmatige manier om de rootkit te verwijderen. Het verwijderen van de Trojan.Mebroot kan volgens Florio alleen als het besturingssysteem niet draait

    Webwereld.nl
    Wie een zonnetje brengt in het leven van een ander.
    Wordt er zelf ook door verwarmd

    • Citaat

    Comment

    • #3
      Verspreidt deze trojan zich via geïnfecteerde websites of op een andere manier?

      Zijn zulke infecties overigens ook te ondervangen/verwijderen met het terugzetten van een back-up gemaakt met bijvoorbeeld True Image of Norton Ghost?

      Hoe kom je er eigenlijk achter dat je zo'n infectie hebt als de meeste AV programma's deze varianten niet herkennen?
      Last edited by Stijnson; 09-01-08, 16:22.
      • Citaat

      Comment

      • #4
        Harde schijf rootkit plundert online bankrekeningen

        De harde schijf rootkit die begin dit jaar in het wild werd gesignaleerd blijkt slechts een testversie te zijn, inmiddels zijn de auteurs de volgens fase van hun "project" ingegaan, het plunderen van online bankrekeningen. In januari verschenen er zo'n twintig exemplaren van de malware, maar de uitbraak kwam tot een abrupt einde, wat virusonderzoekers deed verbazen. De varianten werden, zoals nu blijkt, alleen ingezet ter "kwaliteitscontrole". Informatie van geïnfecteerde systemen, zoals hardware en software gegevens, waaronder crash dumps in het geval als de rootkit driver een blauw scherm veroorzaakte, werden naar de auteurs gestuurd.

        Aan de hand van deze informatie konden de auteurs de rootkit verbeteren, en zijn er weer nieuwe varianten ontdekt. Die zijn verder ontwikkeld dan hun voorgangers en hebben ook een ander doel, namelijk het plunderen van online bankrekeningen. Onderzoekers hebben een connectie met de beruchte Sinowal banking Trojan ontdekt. Deze malware werd ook ingezet om de rekeningen van Postbankklanten te legen. De rootkit downloadt verschillende DLL modules die in andere processen worden geïnjecteerd, zoals winlogon.exe en services.exe. De geïnjecteerde DLL downloadt weer een bestand met informatie over de aan te vallen bank.

        3x kloppen helpt niet
        Aangezien de malware lokaal de bankrekening plundert hebben zowel de bank als het slachtoffer niets door. Sinowal kan ook de online afschriften manipuleren, zodat het slachtoffer denkt dat er niets aan de hand is, maar criminelen inmiddels over zijn of haar geld beschikken. Zelfs het 3x kloppen advies van de Nederlandse banken kan er niet voor zorgen dat criminelen de bankrekening plunderen.

        De rootkit communiceert op precies dezelfde manier met de remote server als Sinowal, wat volgens Symantec teken is dat de malware alleen als springplank fungeert. "We kunnen zeggen dat de rootkit zich in een soort "release candidate" fase bevindt. Het aantal infecties is beperkt, en de bende wacht waarschijnlijk op de resultaten van deze test om te zien of ze doorgaan met het compromitteren van meer computers," zegt Elia Florio.

        Volgens Florio zijn de auteurs zeer vaardige programmeurs, die ver boven de gemiddelde virusschrijver uitsteken. De rootkit, die zich verspreidt via iFrames en ongepatchte beveiligingslekken, infecteert de eerste 16 fysieke harde schijven van de computer, maar kan ook USB-sticks en externe schijven infecteren. De malware werkt probleemloos op Windows XP, Linux-gebruikers hoeven nog niet te vrezen.

        security.nl

        • Citaat

        Comment

        • #5
          Ik heb al nooit zo geloofd in dat '3x kloppen'...
          Hoe verspreiden deze rootkits zich eigenlijk? Via geïnfecteerde sites?
          • Citaat

          Comment

          • #6
            Oorspronkelijk geplaatst door Stijnson Bekijk Berichten
            Hoe verspreiden deze rootkits zich eigenlijk? Via geïnfecteerde sites?
            De rootkit, die zich verspreidt via iFrames en ongepatchte beveiligingslekken,...

            • Citaat

            Comment

            Vorige template Volgende
            Sorry, you are not authorized to view this page
            Working...
            X