Nieuws
image

Bescherm Windows Veilige modus tegen malware

zaterdag 2 januari 2010, 11:21 door Redactie, 13 reacties

Er verschijnt steeds meer malware die voorkomt dat besmette Windows computers nog in de Veilige modus kunnen opstarten, maar de Belgische beveiligingsonderzoeker Didier Stevens heeft een oplossing. Het programma dat hij ontwikkelde maakt een speciale registersleutel aan die niet is te verwijderen. Ook is het mogelijk om al verwijderde registersleutels voor het opstarten in Veilige modus weer terug te zetten. Dat cybercriminelen dit niet willen blijkt wel uit het feit dat er inmiddels ook malware is die actief het register monitort om te voorkomen dat men verwijderde registersleutels weer terugzet. In dit geval moeten gebruikers via een LiveCD het systeem starten, wat volgens Stevens een complexe procedure is. Het zorgt er in ieder geval voor dat de malware niet draait terwijl men de Veilige modus registersleutel herstelt.

De registersleutel die het programma van de onderzoeker maakt zorgt ervoor dat zelfs systeembeheerders en het systeem account de sleutel niet kunnen verwijderen. Daardoor is het zelfs voor malware onmogelijk om dit te doen. Deze speciale rechten worden alleen aangemaakt als de registersleutel ontbreekt. "Je zult nu misschien denken dat virusschrijvers deze beveiliging kunnen omzeilen door de rechten aan te passen voordat ze de sleutels verwijderen. Dat klopt helemaal." Aangezien er op dit moment nog geen malware is die de Veilige modus registersleutel aanpast, is het nog niet nodig om de rechten van systeembeheerders of systeem accounts te wijzigen. "Dit zal ik oplossen als het uiteindelijk verschijnt."

Probleem
Volgens Stevens is het een groot probleem. "Ik heb in 2006 voor de eerste keer gepost over malware die de Veilige modus sleutels verwijderd om zo te vermijden dat de gebruiker in Veilige modus start om de malware uit te schakelen. Later heb ik een oplossing geplaatst om de Veilige modus te herstellen", zo laat de onderzoeker aan Security.nl weten. Het .REG bestand zou meer dan 30.000 keer gedownload zijn. "En het valt mij op dat de populariteit van deze oplossing de laatste maanden sterk toeneemt, wat mij doet geloven dat het probleem van malware die registersleutels verwijdert zich aan het uitbreiden is."

Reacties (13)
02-01-2010, 11:35 door Syzygy
Als ik iets installeer waarvan ik de bron niet ken dan doe je natuurlijk als eerste een AV scan op de exe.
Mocht deze geen MW aangeven dan kan het natuurlijk altijd nog iets nieuws zijn, dus altijd oppassen.
Voor dat ik dan het progje installeer maak ik altijd eerst even een exportje van mijn Registry.
Mocht ik dan toch geïnfecteerd zijn dan doe nog een export van de Registry en vervolgens doe ik een File Compare om te zien wat voor bende zich heeft genesteld in de Registry.
Daarna doe ik een uninstall en zoek als laatste even welke files zijn blijven hangen (selecteer *.* op datum van die dag)
en dan Registry nog even terugzetten.

Niet helemaal waterdicht maar het werkt meestal wel goed !!
02-01-2010, 14:24 door Anoniem
Werkt,dit alleen onder Xp of is deze beveiliging al in Windows7 gebouwd?.
02-01-2010, 16:17 door Didier Stevens
Door Anoniem: Werkt,dit alleen onder Xp of is deze beveiliging al in Windows7 gebouwd?.
Werkt voor alle Windows versies vanaf 2000. En in Windows 7 zijn de permissions op de SafeBoot key dezelfde: Administrators and System heeft Full Control.
02-01-2010, 17:54 door Anoniem
@Syzygy: je kunt toch niet van iedereen verwachten dat hij/zij zoiets ingewikkelds onderneemt?
Ik vind het allang tof dat er een tool is om mij, of mensen om mij heen te helpen, mocht dat ooit het geval zijn.
Alle lof gaat naar Didier, goed werk.
Henk.
02-01-2010, 18:10 door [Account Verwijderd]
[Verwijderd]
02-01-2010, 19:23 door Syzygy
Door Anoniem: @Syzygy: je kunt toch niet van iedereen verwachten dat hij/zij zoiets ingewikkelds onderneemt?
Ik vind het allang tof dat er een tool is om mij, of mensen om mij heen te helpen, mocht dat ooit het geval zijn.
Alle lof gaat naar Didier, goed werk.
Henk.

Ingewikkeld ??

Het gebeuren met die File Compare is alleen als je gedesinteresseerd bent in het hoe en wat van de Malware.
Een copy (export) van je registry maken is vrij eenvoudig hoor.
Regedit opstarten - File - Export en een naampje geven. (Niet veel anders als een download)
02-01-2010, 20:55 door [Account Verwijderd]
[Verwijderd]
03-01-2010, 11:00 door lievenme
Bij mij bestond safeboot al.
Didier raadt dan aan de permissions aan te passen met regedit.
Kan iemand mij zeggen hoe je dat precies doet?
Bedankt alvast.
03-01-2010, 13:46 door Didier Stevens
Door lievenme: Bij mij bestond safeboot al.
Didier raadt dan aan de permissions aan te passen met regedit.
Kan iemand mij zeggen hoe je dat precies doet?
Bedankt alvast.

De SafeBoot keys moeten er altijd zijn. Als ze ontbreken is dit sterke aanwijzing van een besmette PC.

Heb je ooit al de permissions veranderd op een bestand?
Zo ja, is hetzelde, maar je start regedit, selecteerd the SafeBoot key en dan right-click Permissions...
Zo niet zal ik zien of ik tijd heb voor een nieuwe post met screenshots.
03-01-2010, 15:04 door Syzygy
F 3 zoeken op Safeboot

/*
UndeletableSafebootKey
Source code put in public domain by Didier Stevens, no Copyright
http://didierstevens.com
Use at your own risk

Shortcommings, or todo's ;-)

History:
2009/12/22: start
*/

#define REGKEY_SAFEBOOT TEXT("SYSTEM\\CurrentControlSet\\Control\\SafeBoot") ;-)
04-01-2010, 15:26 door Anoniem
Leest iets van 'veilige modus' 'malware' en 'windows' in een kop...Heb het gelezen en getracht te begrijpen maar haakt af..
04-01-2010, 19:35 door Syzygy
Door Anoniem: Leest iets van 'veilige modus' 'malware' en 'windows' in een kop...Heb het gelezen en getracht te begrijpen maar haakt af..

Echt waar ??

Als je Windows in Veilige Modus start dan start je eigenlijk Windows MINIMAAL op (alleen Windows dus en geen andere applicaties) dus vaak ook je Malware niet. Deze situatie (Veilige Modus) leent zich dan om je Computer van de Malware te ontdoen. Er bestaat nu Malware die de optie "Opstarten in Veilige Modus" uitschakelt. Vriend Didier heeft echter een applicatie gemaakt (die een patch genereert) die je op voorhand kunt uitvoeren zodat dit niet meer kan gebeuren (voorlopig) en stelt deze gratis ter beschikking.

Aardig toch ??
05-01-2010, 22:46 door Anoniem
Door drroogte: Vanwege deze 'fout' boot ik altijd zonder netwerk; of ben ik nu blond?
Nee, niet blond. Zie je, als je bv. video's afspeelt ook niet de ware kleuren, maar meer een soort 'golven' die de kleuren moeten voorstellen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search