image

"Anti-virusbedrijven negeren gevaarlijke rootkit"

maandag 1 juni 2009, 11:14 door Redactie, 8 reacties

Er is een nieuwe variant van een zeer gevaarlijke harde schijf rootkit in omloop en anti-virusbedrijven doen niets om deze dreiging aan te pakken, zo beweert beveiligingsaanbieder PrevX. De vernieuwde MBR Rootkit is volgens het bedrijf de gevaarlijkste rootkit van dit moment en is naar eigen zeggen de enige die deze dreiging kan detecteren. In de nieuwste versie zijn verschillende veranderingen aangebracht, waardoor bijna geen enkele virusscanner de rootkit detecteert. De auteurs zouden hiervoor naar een concept bootkit genaamd Tophet.A hebben gekeken. Eenmaal actief op het systeem kan de rootkit de twee-factor authenticatie van internetbankieren omzeilen, om vervolgens rekeningen te plunderen. Daarnaast is het in staat om het formatteren van de harde schijf te overleven.

De malware verspreidt zich via gehackte websites die kwaadaardige iframes en geobfusceerde JavaScript hosten. Wie zijn software niet up-to-date heeft, loopt dus risico om besmet te raken. "Anti-virusbedrijven moeten deze dreiging aanpakken, in plaats van te wachten tot het einde van 2009 om dan te zeggen dat de MBR rootkit de gevaarlijkste dreiging van dit jaar was, zoals vorig jaar al gebeurde", zegt onderzoeker Marco Giulian. De uithaal naar collega's is niet nieuw. PrevX zoekt de laatste tijd steeds vaker de confrontatie met anti-virusbedrijven.

Reacties (8)
01-06-2009, 11:18 door [Account Verwijderd]
[Verwijderd]
01-06-2009, 11:42 door [Account Verwijderd]
[Verwijderd]
01-06-2009, 11:47 door Anoniem
Even gedraaid.
Één valse positive

https://www.virustotal.com/nl/analisis/075d012bae39daa9be12732a758a8dcffd1edc4cde2ddee385fba7fd036e0239-1243718450
01-06-2009, 13:42 door Anoniem
Door Anoniem: Even gedraaid.
Één valse positive

https://www.virustotal.com/nl/analisis/075d012bae39daa9be12732a758a8dcffd1edc4cde2ddee385fba7fd036e0239-1243718450

Keygen.exe een false positive?!
01-06-2009, 15:31 door Anoniem
Weet iemand hoe dit virus de 2 Factor authenticatie van bankieren via internet kan omzeilen, zoals in dit artikel wordt beweerd?
01-06-2009, 19:09 door prikkebeen
Daarnaast is het in staat om het formatteren van de harde schijf te overleven.

Als je deze trojan al hebt kan je toch van het installatie medium opstarten en repairmodus kiezen? Eenmaal in de console het commando fdisk/mbr en er wordt een nieuwe mbr geschreven. Probleem verholpen. Of zit ik er nu helemaal naast?
01-06-2009, 23:03 door [Account Verwijderd]
[Verwijderd]
02-06-2009, 05:43 door Anoniem
Door Jos Visser: "en is naar eigen zeggen de enige die deze dreiging kan detecteren"

En daarom adviseren wij van WC-eend: WC-eend!

Tja, bedrijven komen met een Engelstalig nieuwsbericht en 't wordt hier in het Nederlands geplaatst.
A Toilet-Duck story wordt een WC-Eend verhaal ;-)


Door Peter V: PrevX beweert iets wat aantoonbaar onjuist is.

Ook [url=http://www.kaspersky.nl]Kaspersky[/url] detecteert deze (Master Boot Record)-Rootkit al op 27 mei 2009.

http://www.kaspersky.nl/en/virus-news/kaspersky-lab-implements-detection-and-treatment-for-unique-mbr-rootkit.html

Dat is een andere (oudere) variant van de MBR-rootkit


Door Anoniem: Even gedraaid.
Een valse positive

https://www.virustotal.com/nl/analisis/075d012bae39daa9be12732a758a8dcffd1edc4cde2ddee385fba7fd036e0239-1243718450

Ga naar http://info.prevx.com/aboutprogramtext.asp?PX5=8C63B757006369B83EE0010FAD380800576BA28E en klik rechtsboven op "Disagree with this determination?" en vertel Prevx even dat het een FP is.
Heeft verder ook helemaal niets met de MBR rootkit te maken.


Door prikkebeen:
Daarnaast is het in staat om het formatteren van de harde schijf te overleven.

Als je deze trojan al hebt kan je toch van het installatie medium opstarten en repairmodus kiezen? Eenmaal in de console het commando fdisk/mbr en er wordt een nieuwe mbr geschreven. Probleem verholpen. Of zit ik er nu helemaal naast?

Door Duckman:
Door prikkebeen:
Daarnaast is het in staat om het formatteren van de harde schijf te overleven.

Als je deze trojan al hebt kan je toch van het installatie medium opstarten en repairmodus kiezen? Eenmaal in de console het commando fdisk/mbr en er wordt een nieuwe mbr geschreven. Probleem verholpen. Of zit ik er nu helemaal naast?

Ja volgens mij wel. MBR ligt er bij mij al vrij snel uit als ik een oude PC op nieuwe ga opbouwen. Gebruik alleen wat handige live CDtjes voor dit soort klusjes. Gebruik vaak Hirin's boot CD http://www.hiren.info/pages/bootcd
Op basis van dos trouwens :)

Met fdisk/mbr of fixmbr vanaf een ander medium wordt de MBR-rootkit inderdaad onschadelijk gemaakt. Maar dit doe je alleen wanneer je weet of vermoed dat er een MBR-rootkit actief is, niet elke keer wanneer je het systeem start.


Omdat nog niemand Microsoft de schuld heeft gegeven in dit topic zal ik 't maar doen. Schijnt normaal te zijn op security.nl
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.