Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Rootkit blijkt oorzaak XP-vastloper

Door: Jasper Bakker | 15 februari 2010 14:02

None
Apps & Software

Het crashen van Windows XP na installatie van een securitypatch ligt aan een rootkit. De Microsoft-patch zit de infectie onbedoeld dwars.

De patch zelf is toch niet de directe oorzaak van het 'blue screen of death' waar sommige XP-gebruikers onder lijden na de installatie van een securitypatch. De getroffen systemen zijn namelijk vóór de installatie van de patch besmet door de TDSS-rootkit. Dit heeft security-onderzoeker Patrick Barnes ontdekt.

Drivers en kernel

Barnes meldt dit ook in de nog altijd aanzwellende discussie op Microsofts Answers-forum. De infectie betreft in ieder geval het Windows-bestand atapi.sys, dat door online-scans wordt gedetecteerd, blogt Barnes. De Microsoft-patch voert wijzigingen door in de Windows-kernel, waar de malware vervolgens op vastloopt. Door de aard van een rootkit, dat zich verschuilt diep in het besturingssysteem, haalt dit het hele systeem onderuit.

Barnes waarschuwt nog dat er meer Windows-onderdelen besmet kunnen zijn. Andere geïnfecteerde drivers die aanhaken op de kernel - die door de patch is gewijzigd - kunnen ook voor vastlopers zorgen. Securityleverancier Symantec bevestigt deze theorie en noemt nog 5 andere .sys-bestanden die mogelijk besmet zijn.

Volledige malwarescan

Het advies is dan ook een volledige scan, door securitysoftware die ook rootkits kan opsporen. Dit dient te gebeuren vóór de installatie van de vorige week uitgebrachte patch. Barnes verwijst naar de rootkit-cleaner van eSage Lab, die specifiek TDSS opspoort en opschoont.

De security-onderzoeker biedt op zijn blog instructies om de infectie te ruimen. Daarvoor is wel een Windows XP-installatie-cd nodig, om de oorspronkelijke atapi.sys te herstellen. Ook daarna is dus een volledige malwarescan nodig.

'Zakelijke' rootkit

De TDSS-rootkit waart al enige tijd rond. De derde variant daarvan is in november vorig jaar waargenomen en draagt bij aan de snelle verspreiding van deze 'rootkit-familie'. Deze malware is specifiek geschreven door cybercriminelen om samen met Trojans en backdoor-software pc's te kapen.

Vervolgens worden die ingezet als onderdeel van botnetten, waar de malwaremakers hun geld mee verdienen. Het gebruik van een rootkit moet detectie en opschoning nutteloos maken; de malware schuilt immers 'onder' het besturingssysteem zelf en de daarop draaiende securitysoftware.

De rootkit in combinatie met MS10-015 (in een virtuele machine):

[youtube]QK4rF2EGa5E[/youtube]

Bron: Webwereld.nl

0 Reacties op: Rootkit blijkt oorzaak XP-vastloper

  • Om te reageren moet je ingelogd zijn. Nog geen account? Registreer je dan en praat mee!
  • Er zijn nog geen reacties op dit artikel.

Wanneer je een reactie plaatst ga je akoord
met onze voorwaarden voor reacties.