Rootkit blijkt stiekem oorzaak XP-vastloper

Blue Screen of Death

Artikelgereedschap

  • Tip ons
  • Printen
  • Reacties (1)
Aanbevelen

Gepubliceerd: Maandag 15 februari 2010
Auteur: Jasper Bakker

Het crashen van Windows XP na installatie van een securitypatch ligt aan een rootkit. De Microsoft-patch zit de infectie onbedoeld dwars.

De patch zelf is toch niet de directe oorzaak van het 'blue screen of death' waar sommige XP-gebruikers onder lijden na de installatie van een securitypatch. De getroffen systemen zijn namelijk vóór de installatie van de patch besmet door de TDL3-rootkit. Dit heeft security-onderzoeker Patrick Barnes ontdekt.

Drivers en kernel

Barnes meldt dit ook in de nog altijd aanzwellende discussie op Microsofts Answers-forum. De infectie betreft in ieder geval het Windows-bestand atapi.sys, dat door online-scans wordt gedetecteerd, blogt Barnes. De Microsoft-patch voert wijzigingen door in de Windows-kernel, waar de malware vervolgens op vastloopt. Door de aard van een rootkit, dat zich verschuilt diep in het besturingssysteem, haalt dit het hele systeem onderuit.

Barnes waarschuwt nog dat er meer Windows-onderdelen besmet kunnen zijn. Andere geïnfecteerde drivers die aanhaken op de kernel - die door de patch is gewijzigd - kunnen ook voor vastlopers zorgen. Securityleverancier Symantec bevestigt deze theorie en noemt nog 5 andere .sys-bestanden die mogelijk besmet zijn.

Volledige malwarescan

Het advies is dan ook een volledige scan, door securitysoftware die ook rootkits kan opsporen. Dit dient te gebeuren vóór de installatie van de vorige week uitgebrachte patch. Barnes verwijst naar de rootkit-cleaner van eSage Lab, die specifiek TDSS opspoort en opschoont.

De security-onderzoeker biedt op zijn blog instructies om de infectie te ruimen. Daarvoor is wel een Windows XP-installatie-cd nodig, om de oorspronkelijke atapi.sys te herstellen. Ook daarna is dus een volledige malwarescan nodig.

'Zakelijke' rootkit

De TDSS-rootkit waart al enige tijd rond. De derde variant daarvan is in november vorig jaar waargenomen en draagt bij aan de snelle verspreiding van deze 'rootkit-familie'. Deze malware is specifiek geschreven door cybercriminelen om samen met Trojans en backdoor-software pc's te kapen.

Vervolgens worden die ingezet als onderdeel van botnetten, waar de malwaremakers hun geld mee verdienen. Het gebruik van een rootkit moet detectie en opschoning nutteloos maken; de malware schuilt immers 'onder' het besturingssysteem zelf en de daarop draaiende securitysoftware.

Bron: Techworld

De rubriek Tips & Tools biedt praktische informatie die IT-professionals in hun dagelijkse werk kunnen toepassen.

Relevante whitepapers

Alle whitepapers >>

Nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox

Whitepapers

  • Maximaliseer het voordeel van SaaS

    Cloud-applicaties hebben grote invloed op het gebruik van de IT-architectuur en niet ieder project levert de verwachte voordelen op.

    Downloaden
  • Flexibele IT noodzaak voor bankenOnderzoeksrapport over de beperkte flexibiliteit van veel IT-systemen in de bancaire wereld. Lees meer!
  • Kostenbesparing voor long tail appsOplossing voor kostenkwesties in VDI. Technologie geschikt voor long tail apps.
» Meer whitepapers

Peiling

Loading Poll

Video: Review: HTC One X-smartphone met vijf...

Review: HTC One X-smartphone met vijf cores (video)