Ik ben altijd bezig met recovery zaken en virusbeveiligingen enzo. Ik
vroeg mij af na aanleiding van het onderstaande stuk van nu.nl of ik met
een:
dd if=/dev/sdaX of=vmb.img count=1 bs=2048
De zaak kan nakijken als sdaX de opstart partitie is ?
Iemand ervaring met het uitlezen van de VBR en hoe groot is de VMB
normaal ?
Stephan
---
Een variant van de beruchte TDL4-rootkit is nu ook in staat om de
volume boot record (VBR) van de harde schijf te infecteren en is daarmee
veel anti-virusbedrijven te slim af. Op een standaard harde schijf staat
een Master Boot Record (MBR), die verschillende gegevens bevat over het
soort en de locatie van de logische partities van de harde schijf.
De eerste sector van een partitie, waar de MBR naar wijst, wordt ook de
volume boot sector, boot block of volume boot record (VBR) genoemd. In
het verleden zijn verschillende rootkits ontdekt die de MBR besmetten.
Besmetting
Onlangs rapporteerde beveiligingsbedrijf Damballa dat een variant van
de TDL4-rootkit zeker 250.000 computers had geïnfecteerd. Opmerkelijk
genoeg wist het beveiligingsbedrijf geen exemplaren van de malware te
vinden. Alleen aan de hand van netwerkanalyse werden de infecties
vastgesteld.
"Als er geen exemplaren bestaan, en we hebben meer dan twee maanden
geprobeerd om ze te vinden, zijn er geen signatures om de malware te
blokkeren of potentieel geïnfecteerde machines te scannen", zo liet de
beveiliger destijds weten.
Rootkit
Het Nederlandse anti-virusbedrijf SurfRight meldt dat het exemplaren
van de mysterieuze rootkit in bezit heeft. Die zou zich inmiddels op
grote schaal verspreiden. "Het probleem is dat de meeste commerciële
anti-virusprogramma's geen ondersteuning hebben om de VBR te lezen. De
meeste zijn ook al niet in staat om de MBR te scannen als de bedreiging
actief is op het systeem. Dit komt omdat de rootkit volledige controle
heeft over alles wat er op het systeem gebeurt, inclusief de
virusscanner", zegt Mark Loman tegenover Security.nl.
De onderzoeker van SurfRight meldt op het eigen blog dat de malware
daardoor een nog grotere uitdaging voor commerciële
anti-virusprogramma's is. "Dit betekent dat commerciële
anti-virusprogramma's deze malware niet kunnen detecteren, laat staan
verwijderen."
In de Malware Prevalence Top 25 van het anti-virusbedrijf staat de
TDL4-variant inmiddels op een tweede plek. Het gaat hier om scans van
besmette systemen door Hitman Pro. Hoe de systemen met de malware besmet
zijn geraakt is nog niet bekend.
--
To UNSUBSCRIBE, email to debian-user-dutch-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive:
http://lists.debian.org/14156eb338f2cc4fb0bb20015d6fd...@stephanverrips.nl
