Windows-malware saboteert virusscanners
In november heeft Microsoft om meer dan 83.000 computers een Trojaans paard aangetroffen dat geinstalleerde beveiligingssoftware saboteert. Het gaat om de Necurs Trojan, die zich via drive-by downloads verspreidt. Zodra gebruikers beveiligingsupdates niet installeren kunnen ze alleen door het bezoeken van gehackte of kwaadaardge websites door Necurs besmet raken.
Zodra de malware op de computer is schakelt die een groot aantal virusscanners en firewalls uit of zorgt ervoor dat deze niet meer volledig functioneren. Daarnaast probeert de malware zich op de computer te verbergen en wordt er aanvullende malware gedownload.
Deze aanvullende malware kan uit nep-virusscanners bestaan of spamsoftware, waardoor de computer wordt gebruikt voor het versturen van spam via Gmail.
Driver
Om zich te verbergen gebruikt Necurs een speciale driver die het mogelijk maakt om op 64-bit Windows-versie de PatchGuard kernelbescherming te omzeilen. Hierdoor kan de malware zich dieper op het systeem nestelen en is die lastiger te detecteren.
In het geval gebruikers Microsoft Security Essentials gebruiken, kan Necurs voor onverwachte problemen zorgen. "We hebben een aantal meldingen van gebruikers ontvangen dat ze problemen met de real-time bescherming van Microsoft Security Essentials hadden nadat hun computer opnieuw was gestart", zegt Tim Liu van het Microsoft Malware Protection Center.
Als de realtime bescherming dus uitgeschakeld wordt hoe kun je dan als gebruiker gered worden heren van Microsoft?
Sarcasme mode off/
http://www.kaspersky.com/news?id=207576337
Wat wel nieuw is, is dat deze rootkit nu (volgens MS dan, ik kan geen andere bronnen vinden zo snel) exploits misbruikt, tot nu toe was het namelijk een reguliere trojan (die je dus zelf moest installeren).
1] MS heeft op meer dan...
2] ...kunnen ze alleen al door het bezoeken...
3] Zodra de malware op de computer op de computer geïnstalleerd is
En als aanvulling:
Om zich te verbergen gebruikt Necurs een speciale driver, de zogenaamde 'testing digital signature' die het mogelijk...
(Ik weet dat het vrijdag is, alvast een prettig en welverdiend weekend toegewenst!)
EDIT: typo's
http://www.adviceall.com/rootkit.php
Rootkits aka bootkits (gevolg=botnets) gaan allemaal via drivers en low-level API calls tegenwoordig, direct de kernel in dus, anders is het ook geen rootkit, die heb root-rechten.
boot.sys wordt bij ZA gebruikt om een hidden en encrypted volume aan te maken in de %sysdrive%, erg sneaky allemaal. Maar bovenstaande reactie is veel duidelijker, alleen niet technisch (express denk ik)
De exploit wordt gebruikt om de code (payload=de rootkit) op het doel-systeem uit te kunnen voeren, toegang verkrijgen dus. Exploit is de sleutel, lading is malware.
Necurs uit het artikel hierboven gebruikt onder andere een digitaal certificaat dat normaal wordt gebruikt door programmeurs om software te a & bèta-testen, daarom vermeldde ik het ook als aanvulling in mijn eerste reactie. Het gaat dus om meerdere kleine "exploits."
Als je daadwerkelijk technische analyses wil lezen kun je beter zelf even zoeken, dit forum heeft namelijk een enorme diversiteit aan gebruikers dus lang niet alles is voor iedereen direct te begrijpen. Ik probeer mijn reacties begrijpelijk te houden voor iedereen, maar een naar mijn mening goed uitgewerkt voorbeeld van return-oriented programming (low level API hooks e.d.) in een rootkit kun je hier vinden:http://static.usenix.org/event/sec09/tech/full_papers/hund.pdf
Je moet dan wel over iets meer kennis beschikken dan een reguliere eindgebruiker.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior specialist OSINT
Ben jij enthousiast en leergierig en wil je het cybercrimeteam Oost Nederland verder helpen in de aanpak van digitale criminaliteit? We zijn op zoek naar een junior specialist Open Source Intelligence (OSINT). Weet jij de digitale wereld van buiten naar binnen te halen? Dan is deze functie iets voor jou!
