Hoe een 64-bits Alureon Rootkit-infectie te detecteren

• Categorie: Software

Probeer Ons Instrument Voor Het Oplossen Van Problemen

Selecteer Het Besturingssysteem Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Kies Een Projectieprogramma (Optioneel) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Beschrijf Uw Probleem

Krijg Een Antwoord

Stuur Me Per E -Mail Toon Op De Site

Alureon, of TDL, TLD3 en Tidserv, is de eerste rootkit die 64-bits Windows-pc's kan infecteren. Voordien werden alleen 32-bits systemen beïnvloed door rootkits, en veel Windows-gebruikers realiseerden zich dat in februari, toen Microsoft patch MS10-015 ervoor zorgde dat geïnfecteerde machines een blauw scherm vertoonden. Het was toen duidelijk niet de schuld van Microsoft, die voor het eerst werd aangenomen door zowel professionals als gebruikers. Na enig onderzoek bleek dat de TLD3-rootkit verantwoordelijk was voor dat gedrag.

De ontwikkelaars van de rootkit hebben het sindsdien aanzienlijk verbeterd en zijn erin geslaagd om de mogelijkheid toe te voegen om 64-bits Windows-systemen te infecteren. Dat is een primeur, en beveiligingsleveranciers zijn gealarmeerd over die trend.

De auteurs van deze aanvallen hebben echter niet gerust. Iets minder dan een maand geleden ontdekten we een nieuwe variant van Alureon die de Master Boot Record (MBR) infecteert in plaats van een geïnfecteerde driver. Hoewel deze nieuwe variant geen invloed had op 64-bits machines, had het een inert bestand genaamd ldr64 als onderdeel van zijn virtuele bestandssysteem. Meer recentelijk hebben we een bijgewerkte variant ontdekt die met succes 64-bits machines met Windows Vista of hoger heeft geïnfecteerd, terwijl 64-bits Windows XP- en Server 2003-machines niet meer kunnen worden opgestart.

Veel beveiligingsbedrijven hebben detectie van de 64-bit variant al aan hun beveiligingstoepassingen toegevoegd, zo heeft Microsoft begin augustus handtekeningen toegevoegd aan Microsoft Security Essentials.

Toch willen Windows 64-bit-eigenaren zelf controleren of de rootkit niet op hun besturingssysteem is geïnstalleerd. Zoals de bovenstaande informatie suggereert, zullen eigenaren van Windows XP en Windows Server 2003 onmiddellijk merken dat er iets mis is, aangezien hun besturingssysteem niet zal opstarten. Gebruikers van Windows Vista of Windows 7 64-bit moeten verder lezen.

Er zijn minstens twee opties om dat te doen, allemaal met tools die al in het besturingssysteem zijn opgenomen:

Open een opdrachtprompt met Windows-R, typ cmd en voer in.

Gebruik het commando diskpart om Diskpart te openen in een nieuw opdrachtregelvenster.

Enter lees zeggen in de nieuwe prompt, als deze leeg blijft, is de computer geïnfecteerd met de rootkit. Als de schijven worden weergegeven, is dat niet het geval.

Goed

Slecht

De tweede optie om de 64-bits rootkit te detecteren is de volgende: Start Schijfbeheer vanuit het paneel Computerbeheer.

Als het geen schijven toont, betekent dit dat het systeem is geïnfecteerd met de rootkit. Als het schijven toont, is alles in orde.

Geïnfecteerd systeem

Aanvullende informatie is beschikbaar op Technet en Symantec .

Hoe de rootkit te verwijderen als het systeem is geïnfecteerd:

Verschillende programma's zijn in staat om de rootkit te verwijderen en de MBR te repareren, zodat het systeem normaal opstart na de reparatie.

Hitman Pro Beta 112 en later kunnen het bijvoorbeeld.