Beveiligingsbedrijf Kaspersky heeft een nieuwe rootkit ontdekt die niet alleen de master boot record van een harde schijf infecteert maar ook de code van de loader voor het NTFS-bestandssysteem besmet. Dat bestandssysteem wordt standaard op alle recente versies van Windows gebruikt.

32- en 64-bits

De rootkit, Cidox gedoopt, is er standaard met twee drivers: één voor 32-bits versies van Windows en één voor 64-bits versies. Onderzoeker Vyacheslav Zakorzhevsky van Kaspersky legt uit dat de malware kijkt welke Windows-versie er gebruikt wordt. Vervolgens installeert het de juiste driver op de eerste vrije sectoren van de harddisk.

Daarnaast infecteert het virus de bootpartitie van het besturingssysteem. De malware doet dit alleen als die NTFS gebruikt. Als derde schrijft de malware zijn code over de Extended NTFS Initial Program Loader (IPL). Daarbij doorzoekt de rootkit de master file table voor de loader ntldr of bootmgr. Over dat bestand neemt het virus controle. Tegelijkertijd slaat de rootkit de gegevens voor de originele IPL op, versleutelt het die en plaatst het achter zijn eigen code.

De eerstvolgende keer dat het besmette systeem wordt opgestart, wordt de kwaadaardige code aangeroepen. Daarna laadt de malware met behulp van een bekende kwetsbaarheid en wat features uit de Windows kernel de kwaadwaardige drivers in het systeem.

Betalen voor update

De rootkit neemt dan de controle over svchost, een onderdeel van Windows dat er voor zorgt dat verschillende bibliotheken van dat besturingssysteem onder één proces kunnen draaien over. Belangrijker is dat de browsers Internet Explorer, Firefox, Opera en Chrome worden gepakt.

Als Cidox detecteert dat de gebruiker één van die applicaties opent, zal hij daar een eigen component aan toevoegen. Die laadt het virus vanuit een eigen bibliotheek. Het component zorgt ervoor dat alles in de browsers wordt omgeleid naar een kwaadaardige pagina. Hier is op te lezen dat de browser een update nodig heeft.

Voor die update moet de gebruiker betalen via een duur SMS-nummer. Doet de gebruiker dat niet, dan is browsen onmogelijk. De malware is dus eigenlijk ransomware. Opvallend is de goede afwerking van de nep-pagina's. Voor iedere browser is er een eigen pagina die sterk op de vormgeving van de browser zelf lijkt.

Verschillende virusscanners, zoals bijvoorbeeld AVG, ClamAV en Kaspersky zelf, herkennen de malware al.