Rootkitprobleem leidt tot uiteenlopende oplossingen
Directe aanleiding voor de nieuwe verwijderingsmethoden is een nieuw stuk malware, Popureb.E geheten. Popureb.E weet zich in de zogeheten master boot record van de harde schijf te nestelen. Omdat het dan als eerste opstart, kan het zich prima verborgen houden voor andere progammatuur, en dus ook voor antivirussoftware. Popureb.E staat daarin niet alleen. Ook het gevreedse TDL-4-botnet maakt van dit mechanisme gebruik.
Shutterstock
Shutterstock
Chun Feng van het Microsoft Malware Protection Center adviseerde in eerste instantie slachtoffers van die rootgast om de master boot record te herstellen en vervolgens de recovery-cd te gebruiken om het systeem te herstellen. Dat impliceert het opnieuw installeren van het besturingssysteem, een nogal rigoureuze aanpak, omdat een getroffene dan ook alle bestanden op zijn computer verspeelt.
Problemen voor systemen zonder cd- of dvd-station
In tweede instantie kwam Feng daarop terug; klanten kregen nu het advies om de Recovery Console van Windows te gebruiken, en dan met name de fixmbr-routine van BOOTREC.exe. Na een herstart zouden ze dan meteen overige malware van het systeem moeten verwijderen. De Recovery Console wordt echter niet standaard op de harde schijf gezet bij installatie. Men moet dus over een CD of DVD-station beschikken. Dat is bij laptops, en zeker bij netbooks, niet altijd het geval. In Windows Vista en Windows 7 is de console bovendien verdwenen. Er zijn wel alternatieve tools beschikbaar, maar het hangt vaak van de leverancier af welke dat zijn, en waar ze te vinden zijn, aldus Microsofts eigen documentatie.
Symantec kwam met een eigen oplossing. Die Norton Bootable Recovery Tool biedt de mogelijkheid om een opstart-USB te maken. Door het systeem via die USB-stick te starten, wordt de master boot record gepasseerd, en kan men vanuit die status de harde schijf opschonen. Ook in dit geval hoeft men dus niet tot herinstallatie over te gaan.
Elegantere oplossing
De elegantste oplossing tot nog toe is die van SurfRight, dat het probleem met zijn Hitman Pro geheel via de internetverbinding afhandelt. SurfRight heeft een methode ontwikkeld die aangrijpt op de onhebbelijkheid van rootkits om schijfacties te manipuleren. Hitman Pro kan een database consulteren met informatie over de vele duizenden harddisk-drivers die in omloop zijn. Aan de hand van die informatie kan Hitman Pro zien of een schijf gemanipuleerd wordt door een rootkit, en kan het indien nodig rechtstreeks met de schijf communiceren. Omdat het daarbij buiten Windows om werkt, kan de rootkit zich niet aan ontdekking en verwijdering uit de master boot record onttrekken.
In Hitman Pro versie 3.5.9 build 126 kan men de vervuilde master boot record laten vervangen door een standaard MBR. De nieuwe aktie is alleen beschikbaar voor gebruikers als ze een computer scannen met Hitman Pro in de Early Warning Scoring (EWS) mode.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee