donderdag 17 januari 2008

Trojan graaft zich in op harde schijf


Verschillende beveiligingsbedrijven waarschuwen voor een nieuwe Trojan die heel moeilijk te blokkeren is. Het onding deponeert een rootkit op de eerste sector van de harde schijf, wat het voor securitysoftware bijna onmogelijk maakt om hem te verwijderen.

De rootkit installeert zich op de master boot record (MBR) van de harde schijf. Dat is het eerste ding dat gelezen wordt als een pc opstart, en dus een goede plek voor malafide software om zich te verbergen. Malware op die locatie zal immers altijd vóór eventuele securitysoftware opstarten. Het verwijderen gaat ook niet zolang het besturingssysteem draait.

In een ver verleden was de MBR daarom een geliefkoosd doelwit van malware. De hoogtijdagen waren in de tijd van MS-DOS. "Het is ongelooflijk dat we bijna tien jaar later opnieuw aanvallen gericht tegen de master boot record zien", merkt Symantec op.

De securitybedrijven hebben verschillende namen voor deze Trojan: Trojan.Mebroot, Troj/Mbroot-A, StealthMBR, TROJ_SINOWAL.AD, StealthMBR!rootkit en MBRtool. Vooralsnog is het onding zeldzaam, maar het is wel los op het internet. De Trojan is in staat om Windows 2000, XP en Server 2003 te infecteren, aldus Symantec. Maar enkel onder XP kan het effectief naar de MBR schrijven.

Moeilijk aan te pakken Vooralsnog lijkt het verwijderen van Mebroot heel moeilijk. Virusbestrijder Panda Software merkt op dat de bestrijding nog lastiger is dan op het eerste gezicht lijkt. De rootkit is namelijk slim genoeg om een kopie van de MBR te maken voor de schijf te infecteren. Als securitysoftware op een later tijdstip de harde schijf onderzoekt, verwijst de malware de scanner door naar de legitieme MBR-kopie.

Het verwijderen van de rootkit is gelukkig niet overdreven moeilijk, althans niet voor een onderlegde computergebruiker. Hij moet eerst de pc opstarten met een gepaste schijf (zoals de installatieschijf van Windows of een Linux-cd) en dan de MBR overschrijven, bijvoorbeeld met de commando 'fixmbr'.

Geen opmerkingen: