TDL4 detecteren

To: Debian Mailinglist <debian-user-dutch@lists.debian.org>
Subject: TDL4 detecteren
From: Stephan Verrips <info@stephanverrips.nl>
Date: Mon, 08 Oct 2012 14:20:26 +0000
Message-id: <[🔎] 14156eb338f2cc4fb0bb20015d6fd5bb@stephanverrips.nl>

Ik ben altijd bezig met recovery zaken en virusbeveiligingen enzo. Ikvroeg mij af na aanleiding van het onderstaande stuk van nu.nl of ik meteen:


dd if=/dev/sdaX of=vmb.img count=1 bs=2048

De zaak kan nakijken als sdaX de opstart partitie is ?

Iemand ervaring met het uitlezen van de VBR en hoe groot is de VMBnormaal ?


Stephan

---

Een variant van de beruchte TDL4-rootkit is nu ook in staat om devolume boot record (VBR) van de harde schijf te infecteren en is daarmeeveel anti-virusbedrijven te slim af. Op een standaard harde schijf staateen Master Boot Record (MBR), die verschillende gegevens bevat over hetsoort en de locatie van de logische partities van de harde schijf.

De eerste sector van een partitie, waar de MBR naar wijst, wordt ook devolume boot sector, boot block of volume boot record (VBR) genoemd. Inhet verleden zijn verschillende rootkits ontdekt die de MBR besmetten.


Besmetting

Onlangs rapporteerde beveiligingsbedrijf Damballa dat een variant vande TDL4-rootkit zeker 250.000 computers had geïnfecteerd. Opmerkelijkgenoeg wist het beveiligingsbedrijf geen exemplaren van de malware tevinden. Alleen aan de hand van netwerkanalyse werden de infectiesvastgesteld.

"Als er geen exemplaren bestaan, en we hebben meer dan twee maandengeprobeerd om ze te vinden, zijn er geen signatures om de malware teblokkeren of potentieel geïnfecteerde machines te scannen", zo liet debeveiliger destijds weten.


Rootkit

Het Nederlandse anti-virusbedrijf SurfRight meldt dat het exemplarenvan de mysterieuze rootkit in bezit heeft. Die zou zich inmiddels opgrote schaal verspreiden. "Het probleem is dat de meeste commerciëleanti-virusprogramma's geen ondersteuning hebben om de VBR te lezen. Demeeste zijn ook al niet in staat om de MBR te scannen als de bedreigingactief is op het systeem. Dit komt omdat de rootkit volledige controleheeft over alles wat er op het systeem gebeurt, inclusief devirusscanner", zegt Mark Loman tegenover Security.nl.

De onderzoeker van SurfRight meldt op het eigen blog dat de malwaredaardoor een nog grotere uitdaging voor commerciëleanti-virusprogramma's is. "Dit betekent dat commerciëleanti-virusprogramma's deze malware niet kunnen detecteren, laat staanverwijderen."

In de Malware Prevalence Top 25 van het anti-virusbedrijf staat deTDL4-variant inmiddels op een tweede plek. Het gaat hier om scans vanbesmette systemen door Hitman Pro. Hoe de systemen met de malware besmetzijn geraakt is nog niet bekend.

Reply to:

Follow-Ups:
- Re: TDL4 detecteren
  - From: Stephan Verrips <info@stephanverrips.nl>

Prev by Date: Re: Opzetten van een Postfix, ik zie door de bomen het bos niet meer
Next by Date: Re: TDL4 detecteren
Previous by thread: Fwd: Re: Opzetten van een Postfix, ik zie door de bomen het bos niet meer
Next by thread: Re: TDL4 detecteren
Index(es):
- Date
- Thread