image

Harde schijf rootkit in het wild gesignaleerd

maandag 7 januari 2008, 15:19 door Redactie, 20 reacties

Virusbestrijders hebben in het wild een rootkit ontdekt die het Master Boot Record (MBR) van harde schijven infecteert, en zo onopgemerkt Windows systemen overneemt. De malware wordt verspreidt via exploits voor oude Windows en applicatie lekken. Eenmaal actief overschijft het het MBR met de eigen code, en maakt een kopie van de originele MBR. De rootkit driver wordt opgeslagen op een niet gebruikt gedeelte van de harde schijf, meestal de laatste sectoren. Deze code zorgt ervoor dat Windows de driver laadt.

Tijdens de eerstvolgende herstart, iets wat de malware zelf kan regelen, neemt de rootkit BIOS interrupt 13h over, zodat het volledige controle heeft over wat het besturingssysteem laadt, en kan het de Windows kernel real-time aanpassen en overnemen. Op deze manier hoeft de malware niet het Windows register aan te passen en is er ook geen bestand nodig.

Om zichzelf in Windows te verbergen, wijzigt de rootkit verschillende disk.sys routines. Als een applicatie het MBR wil lezen, wordt de backup van het origineel getoond, zodat niemand wat door heeft. Daarnaast maakt de malware verbinding met verschillende hosts.

Windows Vista zou alleen kwetsbaar zijn als UAC is uitgeschakeld, omdat het dan het MBR kan overschrijven. Iets wat niet mogelijk is als UAC aan staat. Zelfs als de rootkit toch de code in het MBR weet te injecteren, kan die het systeem niet overnemen omdat het laadproces tussen Windows XP en Vista verschilt. Beveiligingsexperts verwachten dat we meer van dit soort rootkits kunnen zien, omdat veel anti-rootkit oplossingen die niet kunnen detecteren. "De strijd verlaat het besturingssysteem, en is het begin van een heel nieuwe oorlog", zegt Marco Giuliani van Prevx.

Reacties (20)
07-01-2008, 15:25 door SirDice
Om zichzelf in Windows te verbergen, wijzigt de rootkit verschillende disk.sys routines. Als een applicatie het MBR wil lezen, wordt de backup van het origineel getoond, zodat niemand wat door heeft.
Jaren geleden deed de Lamer Exterminator iets vergelijkbaars.

Windows Vista zou alleen kwetsbaar zijn als UAC is uitgeschakeld, omdat het dan het MBR kan overschrijven. Iets wat niet mogelijk is als UAC aan staat.
Het MBR kan ook niet worden overschreven wanneer de gebruiker geen administrator rechten heeft.
07-01-2008, 16:08 door Anoniem
En dat terwijl er gasten zijn die UAC (User Account Controle) in Vista niet nodig vinden.

In Vista gewoon laten aanstaan levert een betere beveiliging op. Dat bewijst de bovenstaande thread wel.
07-01-2008, 16:44 door SirDice
Door X-2
En dat terwijl er gasten zijn die UAC (User Account Controle) in Vista niet nodig vinden.

In Vista gewoon laten aanstaan levert een betere beveiliging op.
De administrator rechten weghalen levert een nog betere bescherming op (en dan is UAC overbodig).
07-01-2008, 16:50 door Anoniem
Inloggen met minder rechten is minder veilig dan je hier
stelt. Er bestaat malware die hier mee rekening mee houdt,
zoals escalation of priveleges


Advies: UAC gewoon aanzetten.
07-01-2008, 16:51 door SirDice
Door X-2
Inloggen met minder rechten is minder veilig dan je hier stelt. Er bestaat malware die hier mee rekening mee houdt, zoals escalation of priveleges
Dan helpt UAC ook niet meer hoor...

advies: haal die administrator rechten van het account.
07-01-2008, 16:51 door Anoniem
Wel in Vista.
07-01-2008, 16:52 door SirDice
Door X-2
Wel in Vista.
Hoe dan?
07-01-2008, 18:16 door Anoniem
Als deze rootkit de MBR aanpast, dan is linux en freebsd ook
de dupe.
07-01-2008, 19:51 door Skizmo
Door Anoniem
Als deze rootkit de MBR aanpast, dan is linux en freebsd ook
de dupe.
nee. . het zijn compleet verschillende OS-en
07-01-2008, 20:29 door Anoniem
WOW! Er zijn nog kiddies die ECHT kunnen programmeren!
Niet dat ik nou blij ben met zo'n virus, maar ik had de
indruk dat bootsector- en MBR-virussen hun langste tijd
intussen al lang gezien hadden.
07-01-2008, 20:43 door Anoniem
Door Skizmo
Door Anoniem
Als deze rootkit de MBR aanpast, dan is linux en freebsd ook
de dupe.
nee. . het zijn compleet verschillende OS-en

Wachten op een hypervisor MBR rootkit ;-)
07-01-2008, 21:58 door Anoniem
Door Skizmo op maandag 07 januari 2008 19:51

quote:Door Anoniem
Als deze rootkit de MBR aanpast, dan is linux en freebsd ook
de dupe.


nee. . het zijn compleet verschillende OS-en

Na je laatste installatie heb je een backup gemaakt van je mbr:
dd bs=512 count=1 if=/dev/sda of=pc-eric.mbr
en het bestandje pc-eric.mbr op een cd gebrand

Start je je pc met knoppix of andere live-ix en dan hersteld
men de mbr met:
dd bs=512 count=1 if=/media/cdrom/backupcdtje/pc-eric.mbr
of=/dev/sda
reboot, virus-warning enablen in bios.

Je weet alleen niet wat voor rommel zo'n rootkit nog meer
binnenhaald en in welke mate die rommel bijvoorbeeld ook
linux kan infecteren.
07-01-2008, 22:00 door Anoniem
Door SirDice op maandag 07 januari 2008 15:25

Om zichzelf in Windows te verbergen, wijzigt de
rootkit verschillende disk.sys routines. Als een applicatie
het MBR wil lezen, wordt de backup van het origineel
getoond, zodat niemand wat door heeft.

Jaren geleden deed de Lamer Exterminator iets vergelijkbaars.
En het werkt nog steeds! :)
08-01-2008, 08:54 door SirDice
Door Skizmo
Door Anoniem
Als deze rootkit de MBR aanpast, dan is linux en freebsd ook de dupe.
nee. . het zijn compleet verschillende OS-en
Anoniem heeft wel een beetje gelijk. Als dit ding het MBR aanpast boot je Linux/BSD niet meer. Maar echt de dupe dat weer niet (wel mogelijk overigens mits specifiek aangepast voor)..
08-01-2008, 13:04 door Skizmo
Anoniem heeft wel een beetje gelijk. Als dit ding het
MBR aanpast boot je Linux/BSD niet meer. Maar echt de dupe
dat weer niet (wel mogelijk overigens mits specifiek
aangepast voor)..
Ja.. als je het zo bekijkt wel ja. Wat ik meer bedoelde is
dat een virus niet native-cross-platform is (heb er
tenminste nog nooit van gehoord).
08-01-2008, 14:57 door pikah
Voor mensen die meer willen lezen....
http://www2.gmer.net/mbr/
08-01-2008, 18:22 door Anoniem
Euhm boot from floppy misschien een maatregel ?
Of voortaan alleen nog maar een virtual Os gebruiken ?
10-01-2008, 13:28 door Anoniem
Gmer detecteert die rootkit dus wel begrijp ik?
Is dat fixmbr commando trouwens wel zo eenvoudig als er
staat? Ik heb wel eens begrepen dat het je hele systeem naar
de vaantjes kan helpen.
Hoe moet je je dan goed beschermen tegen dit soort malware?

Is er trouwens bekend welke websites (ik las ergens dat er
al 30.000 websites zijn waar bezoekers met deze variant
geïnfecteerd kunnen raken) 'besmet' zijn?
11-01-2008, 17:51 door SirDice
Door Anoniem
Euhm boot from floppy misschien een maatregel ?
Ook floppies hebben een MBR, daar boot je tenslotte van..
Maar goed, een floppy kun je beveiligen tegen schrijven. En nu ik er over na denk.. Hoe zit dat met die BIOS optie om je MBR tegen schrijven te beveiligen?

Door Anoniem
Is dat fixmbr commando trouwens wel zo eenvoudig als er staat?
Yep.
Hoe moet je je dan goed beschermen tegen dit soort malware?
Administrator rechten van je account afhalen.
12-01-2008, 03:17 door Anoniem
nitDiskillegal partition table *
drive 00 sector 0
illegal partition table * drive 00 sector 0
illegal partition table * drive 00 sector 0
illegal partition table * drive 00 sector 0
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.