Ik ben altijd bezig met recovery zaken en virusbeveiligingen enzo. Ik
vroeg mij af na aanleiding van het onderstaande stuk van nu.nl of ik
met een:
dd if=/dev/sdaX of=vmb.img count=1 bs=2048
De zaak kan nakijken als sdaX de opstart partitie is ?
Iemand ervaring met het uitlezen van de VBR en hoe groot is de VMB
normaal ?
Stephan
---
Een variant van de beruchte TDL4-rootkit is nu ook in staat om de
volume boot record (VBR) van de harde schijf te infecteren en is
daarmee veel anti-virusbedrijven te slim af. Op een standaard harde
schijf staat een Master Boot Record (MBR), die verschillende gegevens
bevat over het soort en de locatie van de logische partities van de
harde schijf.
De eerste sector van een partitie, waar de MBR naar wijst, wordt ook
de volume boot sector, boot block of volume boot record (VBR)
genoemd.
In het verleden zijn verschillende rootkits ontdekt die de MBR
besmetten.
Besmetting
Onlangs rapporteerde beveiligingsbedrijf Damballa dat een variant van
de TDL4-rootkit zeker 250.000 computers had geïnfecteerd. Opmerkelijk
genoeg wist het beveiligingsbedrijf geen exemplaren van de malware te
vinden. Alleen aan de hand van netwerkanalyse werden de infecties
vastgesteld.
"Als er geen exemplaren bestaan, en we hebben meer dan twee maanden
geprobeerd om ze te vinden, zijn er geen signatures om de malware te
blokkeren of potentieel geïnfecteerde machines te scannen", zo liet
de
beveiliger destijds weten.
Rootkit
Het Nederlandse anti-virusbedrijf SurfRight meldt dat het exemplaren
van de mysterieuze rootkit in bezit heeft. Die zou zich inmiddels op
grote schaal verspreiden. "Het probleem is dat de meeste commerciële
anti-virusprogramma's geen ondersteuning hebben om de VBR te lezen.
De
meeste zijn ook al niet in staat om de MBR te scannen als de
bedreiging actief is op het systeem. Dit komt omdat de rootkit
volledige controle heeft over alles wat er op het systeem gebeurt,
inclusief de virusscanner", zegt Mark Loman tegenover Security.nl.
De onderzoeker van SurfRight meldt op het eigen blog dat de malware
daardoor een nog grotere uitdaging voor commerciële
anti-virusprogramma's is. "Dit betekent dat commerciële
anti-virusprogramma's deze malware niet kunnen detecteren, laat staan
verwijderen."
In de Malware Prevalence Top 25 van het anti-virusbedrijf staat de
TDL4-variant inmiddels op een tweede plek. Het gaat hier om scans van
besmette systemen door Hitman Pro. Hoe de systemen met de malware
besmet zijn geraakt is nog niet bekend.