Nieuwe worm gebruikt oude trucs
Gepubliceerd: Woensdag 27 februari 2008
Auteur: Wilbert de Vries en Maarten Reijnders
Het nieuwe virus Joydotto maakt gebruik van enkele old school-trucs om detectie te vermijden.
De worm, die zichzelf kopieert naar alle randapparatuur met een FAT-partitie, gebruikt geen bestandsnaam. Dat betekent dat het niet mogelijk is de worm te zien met behulp van een tool waarmee je alle bestanden kunt zien. Bovendien zorgt het virus ervoor dat een deel van de geïnfecteerde disk wordt aangemerkt als 'corrupt'. Dat is een slimme truc om de levensduur van de malware te verlengen. Een corrupt deel van de disk zal immers niet worden overschreven.
"Het besturingssysteem weet niet dat er gegevens zijn opgeslagen op die plaats", legt virusdeskundige Liam O'Murchu uit op het Symantec Security Response Weblog. "Daarom bestaat er het gevaar dat het OS de opgeslagen data overschrijft. Om te voorkomen dat dat gebeurt, markeert de worm de gebruikte clusters als 'corrupted/reserved'."
De enige manier om de worm te vinden, is door de precieze locatie op de disk te achterhalen, samen met de benodigde decryptie-sleutels. Deze informatie is voorhanden in een loader-bestand dat de worm gebruikt om zichzelf uit te voeren. De loader bevat de drie sleutels die nodig zijn om de worm te 'decrypten'.
Volgens O'Murchu is dit een oude truc die onder meer populair was bij de makers van DOS-virussen. De virusdeskundige trekt een vergelijking met andere recente malware die gebruikmaakte van een old school-truc: de Trojan.Mebroot. Mebroot nestelt zich in de master boot record (MBR), een methode die eveneens dateert uit het MS-DOS-tijdperk.
Bron: Techworld
