2011-07-06

Security.nl 6 juli 2011 over NTFS rootkit

(In zijn geheel, zodat link niet hoeft deze keer)

"Vandaag, 14:48 door Redactie

Onderzoekers hebben een rootkit ontdekt die niet alleen de Master Boot Record(MBR) infecteert, maar ook de NTFS-lader.
NTFS (New Technology File System) is het bestandssysteem dat alle moderne Windows-versies gebruiken.
Cidox, zoals de rootkit heet, infecteert de lader op de boot partitie van de harde schijf.
De dropper die de rootkit installeert, bevat twee drivers, één voor 32-bit en één voor 64-bit systemen. Cidox bewaart de relevante driver op de eerste vrije sectoren van de harde schijf.
Vervolgens wordt wordt de boot partitie geïnfecteerd, als die NTFS gebruikt. Partities met bijvoorbeeld FAT32 worden overgeslagen.
De volgende stap is het aanpassen van de code van de Extended NTFS IPL (Initial Program Loader), die voor het parsen van de MFT tabel (Master File Table) verantwoordelijk is.
De rootkit zoekt hierbij naar het bestand ntldr of bootmgr. De malware wordt door deze aanpassing de volgende keer bij het starten van het systeem geladen. De kwaadaardige driver manipuleert vervolgens de processen van Internet Explorer, Firefox, Opera, Chrome en svchost.
Start de gebruiker één van deze processen, dan wordt de browser output gewijzigd. Daardoor ziet de gebruiker een venster dat voor kwaadaardige programma's op het systeem waarschuwt. Om de infectie te verwijderen moet het slachtoffer vervolgens zijn browser via een speciale code verlengen. De code is door het versturen van een sms te verkrijgen."

Dus digiboer pas op uw bitjes.