Warning! Rootkit in Safemode.
installatie op een computer in safemode kon opereren. De schrik in de
beveiligingswereld zat er goed in. Een Rootkit in safemode? Dat kon toch
niet waar zijn! Maar, het was waar... Rootkits worden als buitengewoon
gevaarlijk geacht en het is duidelijk dat computergebruikers er alles aan
moeten doen om deze kwaadaardige software te vermijden. Maar wat
gebeurt er, als er toch onverhoopt een dergelijke rootkit op het systeem
wordt gevonden?
Het Internet Storm Centrum (http://isc.sans.org/diary.php?storyid=757) heeft op zijn eigen website van 12 oktober 2005 aandacht besteed aan deze Safemode-rootkit (die door Symantec wordt aangeduid als: Backdoor.Haxdoor.E. Informatie over deze rootkit kan op de volgende webpagina worden gevonden:
http://www.happypc.symantec.com/avcenter/venc/data/backdoor.haxdoor.e.html
Er worden de volgende methoden voor verwijdering aangeraden:
1. De methode van Symantec. Hierbij moet de computergebruiker
de ontsmettingprocedure van de bovenstaande website volgen. Er wordt
gebruik gemaakt van een website van Microsoft (Windows Recovery
Console). Daarbij is de installatie XP CD-ROM noodzakelijk om de
computer via deze CD op te starten. Hoe dit precies moet gebeuren leest
men op de bovenstaande website van Symantec.
2. Men kan de Rootkit Killer van F-Secure (een Bèta versie)
gebruiken. Deze scanner is erg eenvoudig in gebruik. Men dient wel
rekening te houden met het feit dat deze F-Secure scanner een Bètaversie
is. Het gebruik ervan is voor eigen risico! Dit geldt ook als het systeem niet
meer na gebruik van de scanner reageert. Schadevergoeding is voor de
gebruiker! Men kan de tool (vrij gebruik tot 1 januari 2006) van F-Secure downloaden via de onderstaande link:
http://www.f-secure.com/blacklight/try.shtml
Deze tool heb ik getest op XP home edition SP1, inclusief alle patches (tot
aan de laatste van 11 oktober 2005). De tool controleert of er Rootkits
aanwezig zijn en verwijdert deze (ook in het Register).
Systeemvereisten: De F-Secure BlackLight Bèta werkt alleen op een 32-bit Windows 2000, Windows XP and Windows 2003 Server. De huidige F-Secure BlackLight beta werkt niet op Windows NT, 95, 98, ME, of een 64-bit Windows.
rootkit zat die in safe mode bleef werken (hardware firewall - WinXPPro(E)
sp1 build 2600 met alle updates behalve sp2 - Nod32 updated en
HitmanPro 2.2.1 updated).
format c: was de al lang geleden nog eens beproefde oplossing.
griezelig!
http://www.sysinternals.com/Utilities/RootkitRevealer.html
Onderaan vindt men de link om scanner te downloaden. Tevens is op
dezelfde pagina de informatie te vinden hoe men de resultaten van deze Rootkit-scanner moet interpreteren. Ook hier is het verwijderen van Register-items voor eigen risico. Maak voor alle zekerheid altijd een kopie van het Windows Systeem Register. Gaat er toch onverhoopt iets fout, dan kan men de kopie in zijn geheel terugzetten.
Dat virusscanners (NOD32 is een zeer goede scanner) geen Rootkits laten zien, komt o.a. door de werking van virusscanners. Het is daarom geen overbodige luxe om naast de traditionele virusscanner ook een Rootkit-scanner op de PC te hebben.
F-Secure is van plan om de Internet Security suit voor 2006 met deze Rootkit-killer uit te rusten. Dit zouden de andere anti-virusfabrikanten m.i. ook moeten doen. Het is dus afwachten.
Voor Linux gebruikers is er de volgende Rootkit-scanner aanwezig.
http://www.hsc.fr/ressources/outils/rkscan/index.html.en
Microsoft is van plan om de Strider Ghostbuster Research Project in te
voeren in de nieuwste versies van het Windows Antispyware programma.
De ontwikkelingen staan gelukkig ook hier niet stil. Dit betekent dus dat
toekomstige applicaties van Microsoft Antispyware met een Rootkit-
scanner zal worden uitgebreid. Uit verhalen van MS-technici maakt men
zich in Redmond in toenemende mate zorgen om deze stealth-Rootkits.
We kunnen hier niet meer van spyware, maar van Ghostware spreken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.