Nieuws
image

Toename rootkits die harde schijf infecteren

donderdag 21 februari 2013, 13:28 door Redactie, 8 reacties

In het vierde kwartaal van 2012 is het aantal rootkits en andere malware die de Master Boot Record (MBR) van harde schijven kan infecteren met maar liefst 27% gegroeid en heeft zo een nieuw hoogtepunt bereikt. De MBR bevat verschillende gegevens over het soort en de locatie van de logische partities van de harde schijf. Door zich in de MBR te verstoppen zijn rootkits vaak lastiger te vinden.

Zelfs het formatteren van de harde schijf kan in dit geval de infectie niet verhelpen. Hoewel deze MBR-aanvallen nog altijd een relatief klein percentage vertegenwoordigen van de totale hoeveelheid pc-malware, verwacht anti-virusbedrijf McAfee dat dit in 2013 zal uitgroeien tot één van de belangrijkste aanvalsvormen.

Reacties (8)
21-02-2013, 13:38 door M_iky
Wat ik dus raar vind is dat de infectie gebeurt terwijl de gebruiker ingelogd is op het systeem, dus met OS geladen. MAAR het kan niet verwijderd worden tijdens dat het OS geladen is?

Als ik een herinstallatie van het systeem beoog, kan ik dan met gerust geweten (bv met Hiren's boot cd) het MBR overschrijven? Dan pas formateren of wipen en dan herinstalleren van een OS?
21-02-2013, 14:03 door MisterY
Meestal zal de malware een vorm van file- of proces locking toepassen, zoals de swap file en de verborgen folder "System Volume Information" ook exclusief locked zijn. Vroeg in het bootproces is het nog mogelijk om dit mechanisme voor te zijn en de malware te verwijderen.

Dat kan geen kwaad, de MBR wordt dan met default bootloader code overschreven, net zoals de tools FDISK /MBR of BOOTREC /FIXMBR dat doen. Eigenlijk zijn de MBR virussen hiermee "terug van weggeweest".
21-02-2013, 14:32 door Anoniem
was het hele idee van uefi niet om dit voor te zijn?
21-02-2013, 15:02 door spatieman
mijn idee, uefi fail dus..
tenzij persoon in kwestie GEEN modern bord heeft.
21-02-2013, 15:10 door Anoniem
Vroeger met fdisk /mbr, maar of dat nog werkt weet ik niet. Of een bootmanager in de MBR installeren. De MBR wordt dan simpelweg overschreven met iets nieuws; weg MBR virus.
Formatteren is wat kansloos: dat doet niets met de MBR. Wipen van de disk is voor zover mij bekend echt niet nodig als je een MBR virus hebt. Overschrijven van de MBR met iets anders nuttigs is doorgaans de oplossing.
22-02-2013, 07:16 door M_iky
Dank voor de reacties maar verklaart nog steeds niet hoe zo'n rootkit toch in het MBR terecht komt terwijl het OS draait. Is dit normaal gezien niet gelocked zoals MisterY al aangaf?
22-02-2013, 08:39 door Anoniem
Door M@iky: Dank voor de reacties maar verklaart nog steeds niet hoe zo'n rootkit toch in het MBR terecht komt terwijl het OS draait. Is dit normaal gezien niet gelocked zoals MisterY al aangaf?
Een goed OS of een goed AV product zou je daar tegen moeten beschermen. In veel BIOS'en zit overigens ook een optie om de MBR te locken zodat deze niet overschreven kan worden. Maar idd mag je van het OS verwachten dat dat in ieder geval in staat zou moeten zijn om het overschrijven van het MBR te voorkomen. Dat zoiets niet gebeurd is een dikke fail voor zowel het OS als een zogenaamd Anti-Virus pakket. ACV pakketten beginnen steeds meer op Pro-Virus pakketten te lijken want echt veel houden ze niet meer tegen behalve dan zaken die er voor de media maffia zijn ingestopt.
23-02-2013, 00:19 door Binsbergen
Door M@iky: Dank voor de reacties maar verklaart nog steeds niet hoe zo'n rootkit toch in het MBR terecht komt terwijl het OS draait. Is dit normaal gezien niet gelocked zoals MisterY al aangaf?
Tenzij de malware zich vooraan in het boot-proces van het OS verstopt, wacht op een reboot, dan dus de MBR wijzigt, en daarna het OS laat booten. Voila.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search