Rootkit blijkt oorzaak XP-vastloper

Door: Jasper Bakker | 15 februari 2010 14:02

Apps & Software

Het crashen van Windows XP na installatie van een securitypatch ligt aan een rootkit. De Microsoft-patch zit de infectie onbedoeld dwars.

De patch zelf is toch niet de directe oorzaak van het 'blue screen of death' waar sommige XP-gebruikers onder lijden na de installatie van een securitypatch. De getroffen systemen zijn namelijk vóór de installatie van de patch besmet door de TDSS-rootkit. Dit heeft security-onderzoeker Patrick Barnes ontdekt.

Drivers en kernel

Barnes meldt dit ook in de nog altijd aanzwellende discussie op Microsofts Answers-forum. De infectie betreft in ieder geval het Windows-bestand atapi.sys, dat door online-scans wordt gedetecteerd, blogt Barnes. De Microsoft-patch voert wijzigingen door in de Windows-kernel, waar de malware vervolgens op vastloopt. Door de aard van een rootkit, dat zich verschuilt diep in het besturingssysteem, haalt dit het hele systeem onderuit.

Barnes waarschuwt nog dat er meer Windows-onderdelen besmet kunnen zijn. Andere geïnfecteerde drivers die aanhaken op de kernel - die door de patch is gewijzigd - kunnen ook voor vastlopers zorgen. Securityleverancier Symantec bevestigt deze theorie en noemt nog 5 andere .sys-bestanden die mogelijk besmet zijn.

Volledige malwarescan

Het advies is dan ook een volledige scan, door securitysoftware die ook rootkits kan opsporen. Dit dient te gebeuren vóór de installatie van de vorige week uitgebrachte patch. Barnes verwijst naar de rootkit-cleaner van eSage Lab, die specifiek TDSS opspoort en opschoont.

De security-onderzoeker biedt op zijn blog instructies om de infectie te ruimen. Daarvoor is wel een Windows XP-installatie-cd nodig, om de oorspronkelijke atapi.sys te herstellen. Ook daarna is dus een volledige malwarescan nodig.

'Zakelijke' rootkit

De TDSS-rootkit waart al enige tijd rond. De derde variant daarvan is in november vorig jaar waargenomen en draagt bij aan de snelle verspreiding van deze 'rootkit-familie'. Deze malware is specifiek geschreven door cybercriminelen om samen met Trojans en backdoor-software pc's te kapen.

Vervolgens worden die ingezet als onderdeel van botnetten, waar de malwaremakers hun geld mee verdienen. Het gebruik van een rootkit moet detectie en opschoning nutteloos maken; de malware schuilt immers 'onder' het besturingssysteem zelf en de daarop draaiende securitysoftware.

De rootkit in combinatie met MS10-015 (in een virtuele machine):

[youtube]QK4rF2EGa5E[/youtube]

Bron: Webwereld.nl

0 Reactie(s) op: Rootkit blijkt oorzaak XP-vastloper

  • Om te reageren moet je ingelogd zijn. Nog geen account? Registreer je dan en praat mee!
  • Er zijn nog geen reacties op dit artikel.

Wanneer je een reactie plaatst ga je akoord
met onze voorwaarden voor reacties.