image

Windows 64-bit rootkit actief op pornosites

maandag 30 augustus 2010, 11:28 door Redactie, 19 reacties

De Windows 64-bit rootkit die vorige week werd ontdekt, is vooral actief op crack- en pornosites, maar gebruikers met verminderde rechten hoeven zich geen zorgen te maken. Het gaat dan om de dropper die via social engineering uiteindelijk de TDL3 (Alureon) rootkit op systemen installeert. Toch verwacht beveiligingsbedrijf Prevx dat de malware ook aan exploitkits zal worden toegevoegd, waardoor ook ongepatchte gebruikers risico lopen. Iets wat ook met huidige TDL3 infecties het geval is.

De dropper gebruikt twee verschillende technieken om systemen te infecteren. Als het een 32-bit systeem is, laadt de malware de rootkit driver via de 'AddPrintProvidor API truc." Vervolgens wordt na het laden van de driver de master boot record overschreven. In het geval van een 64-bit Windows versie kan de malware de driver niet laden, omdat Windows 64-bit het laden van ongesigneerde drivers niet toestaat. De dropper gebruikt daarom de "MBR truc", waarbij de MBR meteen wordt overschreven en het systeem wordt herstart.

Zowel bij de 32 als 64-bit versies van de dropper, worden alle onderdelen van de infectie in de laatste ongebruikte secties van de harde schijf opgeslagen. Deze onderdelen worden bij de volgende reboot aangeroepen.

Rechten
"Als deze versie 64-bit versie van de TDL3 rootkit zich net als de oudere versies verspreidt, is er geen twijfel dat het snel een ernstige dreiging zal worden", zegt Marco Giuliani van Prevx. "De deuren naar het hart van 64-bit zijn officieel geopend." De overgangsperiode van 32-bit naar 64-bits besturingssystemen is enige jaren geleden al ingezet. Een beweging die virusschrijver nauwlettend volgen. "Ze willen natuurlijk niet onvoorbereid zijn."

Gebruikers die met verminderde rechten surfen hoeven zich vooralsnog geen zorgen te maken. "De dropper infecteert niet het systeem als het met een limited account of UAC draait. Zegt social engineering je iets?", aldus Giuliani.

Reacties (19)
30-08-2010, 11:36 door [Account Verwijderd]
[Verwijderd]
30-08-2010, 11:55 door _Peterr
Goede doelgroep. De 64bit gebruikers zijn toch over het algemeen jonge mannen.
30-08-2010, 12:16 door Anoniem
Alleen mensen die niet weten hoe ze UAC uit moeten zetten doen dat niet volgens mij. Kan microsoft niet een update uitbrengen waardoor het voor de rootkit lijkt alsof het UAC geactiveerd is?
30-08-2010, 12:46 door Reacher
Door _Peterr: Goede doelgroep. De 64bit gebruikers zijn toch over het algemeen jonge mannen.
Kun je dat toelichten?
30-08-2010, 13:18 door Korakies
Indien opgelopen, kan Malewarebytes deze dreiging op beide de 32 en 64 bit systemen verwijderen? Kan bij gebruik van Sandboxie het gevaar van besmetting worden voorkomen? Ik ben zeker geen expert, maar ben wel vaak de persoon die anderen moet helpen als het fout is gegaan.

Alvast bedankt,

Henk
30-08-2010, 13:27 door Korakies
Indien opgelopen, kan Malewarebytes deze dreiging op beide de 32 en 64 bit systemen verwijderen? Kan bij gebruik van Sandboxie het gevaar van besmetting worden voorkomen? Ik ben zeker geen expert, maar ben wel vaak de persoon die anderen moet helpen als het fout is gegaan.

Alvast bedankt,

Henk
30-08-2010, 15:13 door xy22
Door Korakies: Indien opgelopen, kan Malewarebytes deze dreiging op beide de 32 en 64 bit systemen verwijderen?
http://www.malwarebytes.org/malwarenet.php
de oudere Alureon versies in ieder geval wel. Dus waarschijnlijk zal er binnenkort wel een definitie update komen, die de nieuwe variant kan detecteren.
30-08-2010, 16:30 door Anoniem
Malwarebytes kun je niet gebruiken om TDL3 te vinden, laat staan dat het deze rootkit kan verwijderen (zojuist nog getest met een TDL3 sample uit januari 2010).
Om complexe rootkits te vinden en te verwijderen kun je het beste Hitman Pro 3.5.6 build 112 gebruiken (op 32-bit en 64-bit, incl. MBR support) of de TDSSKiller tool van Kaspersky (alleen voor 32-bit en kan nog niet met MBR variant overweg).
30-08-2010, 17:33 door Anoniem
Ook al eerder vermeld op security.nl volgens mij, maar MSE gebruikers zijn wel bestand tegen de laatste versie van deze maleware. Correct me if I am wrong ...
30-08-2010, 17:42 door Anoniem
Door xy22:
Door Korakies: Indien opgelopen, kan Malewarebytes deze dreiging op beide de 32 en 64 bit systemen verwijderen?
http://www.malwarebytes.org/malwarenet.php
de oudere Alureon versies in ieder geval wel. Dus waarschijnlijk zal er binnenkort wel een definitie update komen, die de nieuwe variant kan detecteren.

Wat betreft wanneer men browser(s) in een virtuele omgeving draait kunnen deze verder geen impact hebben op het OS.
Maar nu moet ik er wel bij vermelden dat ook virtueel werken niet 100 % waterdicht is.
Héél sporadisch wil er wel eens iets tussen glippen, maar dit is wel minimaal.
Zaak is natuurlijk niet alleen virtueel te werken, maar ook je browser(s) up-2-date te houden.
(Tijdelijk uit de virtuele box, updates uitvoeren, en wanneer klaar wederom in de virtuele box plaatsen)
Velen maken toch weer de fout dat ze de browser virtueel draaien, vervolgens updates draaien.
Dan gerust de browser opstarten en het web opgaan, maar na herstart van je browser draai je dus wederom een ongepatchte browserversie.

share the knowledge ...
30-08-2010, 17:48 door Reacher
Door Korakies: Ik ben zeker geen expert, maar ben wel vaak de persoon die anderen moet helpen als het fout is gegaan.
Okee, makkelijke, maar kunnen ze dan niet beter een expert bellen?
30-08-2010, 19:22 door Rene V
Door Anoniem: Hitman Pro 3.5.6 build 112


Kom die nergens tegen. Nieuwste build die aangegeven wordt is 111.

27 augustus 2010 - Hitman Pro 3.5.6 (build 111)

Heb je een link om build 112 te downloaden dan?
30-08-2010, 20:04 door Korakies
Door Reacher:
Door Korakies: Ik ben zeker geen expert, maar ben wel vaak de persoon die anderen moet helpen als het fout is gegaan.
Okee, makkelijke, maar kunnen ze dan niet beter een expert bellen?

Dat lijkt makkelijker dan het is; ik woon op Kreta en daar zijn de experts dun gezaaid. Naar een computerwinkel gaan wordt door de meeste mensen al helemaal niet gezien als een optie......kosten onbekend!!!

Dus alle hulp van buitenaf (security .nl) is welkom.
30-08-2010, 21:08 door Mark Loman
Door René V:
Door Anoniem: Hitman Pro 3.5.6 build 112


Kom die nergens tegen. Nieuwste build die aangegeven wordt is 111.

27 augustus 2010 - Hitman Pro 3.5.6 (build 111)

Heb je een link om build 112 te downloaden dan?
Die kun je hier downloaden:
32-bit: http://dl.surfright.nl/HitmanPro35beta.exe
64-bit: http://dl.surfright.nl/HitmanPro35beta_x64.exe

Meer info over welke tools een met TDL3 besmet systeem zouden kunnen redden vind je hier (de 'gewone' antivirusprogramma's kun je vergeten, zijn er al maanden niet tegen opgewassen): http://www.kernelmode.info/forum/viewtopic.php?f=16&t=19
30-08-2010, 21:29 door Patio
Ik zie een er.... eh stijging van het marktaandeel van Apple 'komen' :-)
31-08-2010, 06:32 door Martijn2
Door Patio: Ik zie een er.... eh stijging van het marktaandeel van Apple 'komen' :-)
En met dat een stijging in Apple malware ;-)
31-08-2010, 09:13 door Mysterio
En we weten dat Apple de malware eerst zal ontkennen en zeggen dat het ligt aan hoe gebruikers hun toetsenbord hebben liggen of zo. ;)
31-08-2010, 11:33 door Anoniem
en daarom is porno kijken zonder linux een beetje hetzelfde als naar de hoeren gaan zonder condoom.
31-08-2010, 15:16 door Martijn2
Door Anoniem: en daarom is porno kijken zonder linux een beetje hetzelfde als naar de hoeren gaan zonder condoom.
Nou ja, mijn systeempje is niet zo gemakkelijk te infecteren als ik een SRP of Applocker aan heb staan ;-) Sowieso is een "no-execute" policy (met een whitelist uiteraard) ontzettend veilig.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.