Re: TDL4 detecteren
Op 08-10-12 16:25, Stephan Verrips schreef:
> Laat maar... ik weet het andwoord al.
>
> dd if=/dev/sda1 of=vbr.img count=1 bs=512
>
> levert het gewenste resultaat. Raar trouwens dat een vebeiligingsbedrijf
> het dan niet kan vinden ??
Het "dd" commando kijkt niets na, zoals je het gebruikt kopieert het
alles, bit voor bit. Altijd goed natuurlijk om een kopie te hebben, maar
een kopie van het dd-commando kost wel net zoveel ruimte als het
origineel. Als je dus een partitie van 2 TB kopieert dan zal de kopie
ook 2 TB zijn, ook al staat er maar 1 GB op. Dat kan lastig zijn.
Geen idee wat wat VBR of VMB is, bedoel je wellicht het MBR?
Groet,
Paul.
> Stephan
>
> On 08.10.2012 14:20, Stephan Verrips wrote:
>> Ik ben altijd bezig met recovery zaken en virusbeveiligingen enzo. Ik
>> vroeg mij af na aanleiding van het onderstaande stuk van nu.nl of ik
>> met een:
>>
>> dd if=/dev/sdaX of=vmb.img count=1 bs=2048
>>
>> De zaak kan nakijken als sdaX de opstart partitie is ?
>>
>> Iemand ervaring met het uitlezen van de VBR en hoe groot is de VMB
>> normaal ?
>>
>> Stephan
>>
>> ---
>>
>>
>> Een variant van de beruchte TDL4-rootkit is nu ook in staat om de
>> volume boot record (VBR) van de harde schijf te infecteren en is
>> daarmee veel anti-virusbedrijven te slim af. Op een standaard harde
>> schijf staat een Master Boot Record (MBR), die verschillende gegevens
>> bevat over het soort en de locatie van de logische partities van de
>> harde schijf.
>>
>> De eerste sector van een partitie, waar de MBR naar wijst, wordt ook
>> de volume boot sector, boot block of volume boot record (VBR) genoemd.
>> In het verleden zijn verschillende rootkits ontdekt die de MBR
>> besmetten.
>>
>> Besmetting
>> Onlangs rapporteerde beveiligingsbedrijf Damballa dat een variant van
>> de TDL4-rootkit zeker 250.000 computers had geïnfecteerd. Opmerkelijk
>> genoeg wist het beveiligingsbedrijf geen exemplaren van de malware te
>> vinden. Alleen aan de hand van netwerkanalyse werden de infecties
>> vastgesteld.
>>
>> "Als er geen exemplaren bestaan, en we hebben meer dan twee maanden
>> geprobeerd om ze te vinden, zijn er geen signatures om de malware te
>> blokkeren of potentieel geïnfecteerde machines te scannen", zo liet de
>> beveiliger destijds weten.
>>
>> Rootkit
>> Het Nederlandse anti-virusbedrijf SurfRight meldt dat het exemplaren
>> van de mysterieuze rootkit in bezit heeft. Die zou zich inmiddels op
>> grote schaal verspreiden. "Het probleem is dat de meeste commerciële
>> anti-virusprogramma's geen ondersteuning hebben om de VBR te lezen. De
>> meeste zijn ook al niet in staat om de MBR te scannen als de
>> bedreiging actief is op het systeem. Dit komt omdat de rootkit
>> volledige controle heeft over alles wat er op het systeem gebeurt,
>> inclusief de virusscanner", zegt Mark Loman tegenover Security.nl.
>>
>> De onderzoeker van SurfRight meldt op het eigen blog dat de malware
>> daardoor een nog grotere uitdaging voor commerciële
>> anti-virusprogramma's is. "Dit betekent dat commerciële
>> anti-virusprogramma's deze malware niet kunnen detecteren, laat staan
>> verwijderen."
>>
>> In de Malware Prevalence Top 25 van het anti-virusbedrijf staat de
>> TDL4-variant inmiddels op een tweede plek. Het gaat hier om scans van
>> besmette systemen door Hitman Pro. Hoe de systemen met de malware
>> besmet zijn geraakt is nog niet bekend.
>
>
--
Paul van der Vlis Linux systeembeheer, Groningen
http://www.vandervlis.nl
Reply to: