Microsoft: Verwijderen rootkit vereist geen herinstallatie
Windows computers die met de Popureb rootkit besmet zijn, hoeven hun systeem niet opnieuw te installeren, aldus Microsoft. De softwaregigant waarschuwde via een blogposting voor de harde schijf kaper, die de Master Boot Record (MBR) van systemen infecteert.
Microsoft liet Windows-gebruikers eerst weten dat ze de MBR moesten repareren om vervolgens via een recovery CD het systeem te herstellen. Daar komt het nu op terug. Nu stelt de softwaregigant via een update dat het gebruik van de Windows Recovery Consolse voldoende is om malware van de MBR te verwijderen. Vervolgens kan men een virusscanner gebruiken om het systeem op achtergebleven malware te scannen.
Herinstallatie
Gebruikers moeten echter niet te vroeg juichen. Volgens beveiligingsexpert Joe Stewart is het opnieuw installeren van Windows de enige zeker methode om ervoor te zorgen dat MBR rootkits en andere malware compleet verwijderd is. "Als je eenmaal geinfecteerd bent, is het beste advies om Windows opnieuw te installeren. MBR rootkits downloaden een aantal andere malware. Hoeveel weet je er daarvan te vinden? Dit plaatst de gebruiker in een lastige situatie."
Marco Giuliani van Webroot vindt het advies van Stewart te ver gaan en benadrukt dat een volledige herinstallatie niet nodig. "Wat wel een nachtmerrie is, is dat de Trojan bugs lijkt te hebben waardoor een systeem tijdens het herstarten vastloopt. Dit kan een probleem worden wat een volledige herinstallatie vereist", zegt Giuliani. "Zelfs als deze malware zijn goede potentie toont, hebben we ontdekt dat de huidige versie zonder grote problemen te verwijderen is."
dit los je niet op met een herinstallatie.
tevens kan een virus instellingen en bestanden hebben overschreven.
alle instellingen nalopen is onmogelijk; er zijn er te veel
en de recovery tool weet niet wat er stond ingesteld voor dat de instelling werd overschreven; die zal de instellingen terug zetten naar de default
wat betreft bestanden;
daar rusten meestal rechten op; een repair tool van 3de heeft geen rechten om deze te herstellen
Greetingz,
Jacco
Virusscanners lopen gemiddeld een maand achter. En als het een gerichte aanval betreft, kun je er vanuit gaan dat de malware specifiek is geschreven voor die aanval. Dan vindt geen enkele virusscanner die malware. Ook niet na een maand.
Bij ons is het zo dat als malware wordt ontdekt, maar hij heeft nog niets gedaan, dan dan volstaan worden met verwijderen van die hardware. Is de malware echter ontdekt omdat hij al acties aan het uitvoeren was, zoals scannen of spammen, dan moet de machine opnieuw geinstalleerd worden. Dat duidt er namelijk op dat de malware ook al andere malware heeft geinstalleerd en die vind je niet allemaal. Bij een recidivist vind altijd herinstallatie plaats.
Peter
Het puur opnieuw installeren van Windows doet niets met de MBR. De malware zal zich zonder al te veel problemen weer up and running krijgen. Eerder dan jij je anti-virus hebt geïnstalleerd.
Aan specifiek voor jou geschreven malware doe je weinig, behalve je verkeer goed monitoren. Een beetje firewall kan vervolgens alles wat jij niet toelaat blokkeren. het is allemaal niet zo heel moeilijk zolang het niet om thuisgebruikers gaat.
Microsoft heeft Popureb in de definities opgenomen en dus hoef je niet meer te klooien met recovery CD's. Prima toch?
Ik las gisteren dat hitman pro popureb moeiteloos weghaalt, dus ik zie eigenlijk niet in waarom zoveel commotie?? Zal wel komen om de opmerking van microsoft i guess..
Groeten, Jacques Orthen
Het puur opnieuw installeren van Windows doet niets met de MBR. De malware zal zich zonder al te veel problemen weer up and running krijgen. Eerder dan jij je anti-virus hebt geïnstalleerd.
Aan specifiek voor jou geschreven malware doe je weinig, behalve je verkeer goed monitoren. Een beetje firewall kan vervolgens alles wat jij niet toelaat blokkeren. het is allemaal niet zo heel moeilijk zolang het niet om thuisgebruikers gaat.
Microsoft heeft Popureb in de definities opgenomen en dus hoef je niet meer te klooien met recovery CD's. Prima toch?
Niet helemaal juist. De MBR wordt bij een systeemkopie bij Win7 ( en ook Acronis) wel degelijk gekopieeerd. Het is natuurlijk evident dat de MBR (in de image) al geinfecteerd kan zijn.
Problemen zijn er wel bij sommige merken zoals Acer die een aangepaste MBR hebben om een recovery uit te voeren.
op het moment dat 1 van deze functies bruikbaar is heb je gen high security, hoeveel software je ook plaatst...
Het puur opnieuw installeren van Windows doet niets met de MBR. De malware zal zich zonder al te veel problemen weer up and running krijgen. Eerder dan jij je anti-virus hebt geïnstalleerd.
Aan specifiek voor jou geschreven malware doe je weinig, behalve je verkeer goed monitoren. Een beetje firewall kan vervolgens alles wat jij niet toelaat blokkeren. het is allemaal niet zo heel moeilijk zolang het niet om thuisgebruikers gaat.
Microsoft heeft Popureb in de definities opgenomen en dus hoef je niet meer te klooien met recovery CD's. Prima toch?
Niet helemaal juist. De MBR wordt bij een systeemkopie bij Win7 ( en ook Acronis) wel degelijk gekopieeerd. Het is natuurlijk evident dat de MBR (in de image) al geinfecteerd kan zijn.
Problemen zijn er wel bij sommige merken zoals Acer die een aangepaste MBR hebben om een recovery uit te voeren.
Dus als je eerst wist, & dan partitioneert, activeert & formatteert met de herstelconsole via de installatie-cd/dvd, dan kan je dus zonder de oude besmette MBR toch het systeem volledig functioneel terug zetten.
Dus zo'n groot probleem is het niet.
En waarom worden Symantec en SurfRight niet genoemd in het artikel? Is security.nl misschien biased?
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.