Nieuwe rootkit pakt NTFS-bootloader en browsers

Rootkit.Foto:Symantec

Artikelgereedschap

  • Tip ons
  • Printen
  • Reacties (25)
1x Aanbevolen

Gepubliceerd: Donderdag 7 juli 2011
Auteur: Uhro van der Pluijm

Een nieuwe rootkit besmet niet alleen het master boot record van de harde schijf maar pakt ook de bootloader van het NTFS-bestandssysteem. De malware gedraagt zich als ransomware.

Beveiligingsbedrijf Kaspersky heeft een nieuwe rootkit ontdekt die niet alleen de master boot record van een harde schijf infecteert maar ook de code van de loader voor het NTFS-bestandssysteem besmet. Dat bestandssysteem wordt standaard op alle recente versies van Windows gebruikt.

32- en 64-bits

De rootkit, Cidox gedoopt, is er standaard met twee drivers: één voor 32-bits versies van Windows en één voor 64-bits versies. Onderzoeker Vyacheslav Zakorzhevsky van Kaspersky legt uit dat de malware kijkt welke Windows-versie er gebruikt wordt. Vervolgens installeert het de juiste driver op de eerste vrije sectoren van de harddisk.

Daarnaast infecteert het virus de bootpartitie van het besturingssysteem. De malware doet dit alleen als die NTFS gebruikt. Als derde schrijft de malware zijn code over de Extended NTFS Initial Program Loader (IPL). Daarbij doorzoekt de rootkit de master file table voor de loader ntldr of bootmgr. Over dat bestand neemt het virus controle. Tegelijkertijd slaat de rootkit de gegevens voor de originele IPL op, versleutelt het die en plaatst het achter zijn eigen code.

De eerstvolgende keer dat het besmette systeem wordt opgestart, wordt de kwaadaardige code aangeroepen. Daarna laadt de malware met behulp van een bekende kwetsbaarheid en wat features uit de Windows kernel de kwaadwaardige drivers in het systeem.

Betalen voor update

De rootkit neemt dan de controle over svchost, een onderdeel van Windows dat er voor zorgt dat verschillende bibliotheken van dat besturingssysteem onder één proces kunnen draaien over. Belangrijker is dat de browsers Internet Explorer, Firefox, Opera en Chrome worden gepakt.

Als Cidox detecteert dat de gebruiker één van die applicaties opent, zal hij daar een eigen component aan toevoegen. Die laadt het virus vanuit een eigen bibliotheek. Het component zorgt ervoor dat alles in de browsers wordt omgeleid naar een kwaadaardige pagina. Hier is op te lezen dat de browser een update nodig heeft.

Voor die update moet de gebruiker betalen via een duur SMS-nummer. Doet de gebruiker dat niet, dan is browsen onmogelijk. De malware is dus eigenlijk ransomware. Opvallend is de goede afwerking van de nep-pagina's. Voor iedere browser is er een eigen pagina die sterk op de vormgeving van de browser zelf lijkt.

Verschillende virusscanners, zoals bijvoorbeeld AVG, ClamAV en Kaspersky zelf, herkennen de malware al.

Relevante whitepapers

Alle whitepapers >>

Nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox

Whitepapers

  • Maximaliseer het voordeel van SaaS

    Cloud-applicaties hebben grote invloed op het gebruik van de IT-architectuur en niet ieder project levert de verwachte voordelen op.

    Downloaden
  • Houdt grip op UC-uitdagingenUnified communications biedt heel veel, maar heeft ook specifieke uitdagingen!
  • Flexibele IT noodzaak voor bankenOnderzoeksrapport over de beperkte flexibiliteit van veel IT-systemen in de bancaire wereld. Lees meer!
» Meer whitepapers

Peiling

Loading Poll

Video: Review: HTC One X-smartphone met vijf...

Review: HTC One X-smartphone met vijf cores (video)