Een nieuw virus dat onlangs werd ontdekt gebruikt een eigen vorm van systeemherstel om verwijdering door anti-virussoftware te voorkomen, zo hebben onderzoekers van het Vietnamese beveiligingsbedrijf Bkav ontdekt. De malware "bevriest" namelijk de harde schijf, aldus de onderzoeksanalyse.

Alle wijzigingen die de gebruiker op de harde schijf uitvoert nadat het systeem geïnfecteerd is geraakt, zoals het opstellen van documenten, het installeren van nieuwe software, het kopiëren van gegevens en het downloaden van data, worden ongedaan gemaakt zodra de gebruiker zijn computer opnieuw start.

Modules

Het is onbekend hoe de malware zich verspreidt, maar eenmaal actief op de computer worden verschillende modules geïnstalleerd. Eén van deze modules maakt alle aanpassingen op de harde schijf vanaf het moment van de infectie ongedaan. Dankzij deze module wordt het virus dus weer "herboren" nadat het eerder verwijderd is, zo stellen de onderzoekers.

Een andere module genaamd 'Diskflt' creëert een aparte virtuele schijf die alles opslaat wat de gebruiker na het moment van de infectie op de computer uitvoert, waardoor er geen aanpassingen op de originele schijf plaatsvinden. Na elke herstart wordt alles op deze virtuele schijf verwijderd.

Verwijdertool

"Vanzelfsprekend kan dit virus als een rootkit worden beschouwd, hoewel het een zeer bijzonder zelfverdedigingsmechanisme heeft", aldus de onderzoekers. "In plaats van het voorkomen van aanpassingen aan de virusmodule, zoals bij een normale rootkit het geval is, voorkomt deze variant aanpassingen aan de gehele harde schijf." Bkav heeft naar eigen zeggen een tool ontwikkeld die de malware kan verwijderen.