Kaspersky wijst 'rootkit'-beschuldiging van de hand

Kaspersky ontkent dat het gebruikmaakt van een 'rootkit' in zijn antivirussoftware. Mark Russinovich van Winternals Software beschuldigde Symantec en Kaspersky ervan gebruik te maken van een rootkit. De term rootkit wordt gebruikt voor technieken die ingezet worden om bepaalde processen en bestanden te verbergen en worden tegenwoordig vaak ingezet door virussen. De laatste tijd was de term veel in het nieuws door de 'rootkit' die werd gebruikt door Sony's DRM-software. Zowel Symantec als Kaspersky geven toe dat ze informatie verbergen voor de Windows API, maar zeggen dat de gebruikte technieken niet uitgebuit kunnen worden door kwaadwillende software. Toch kwam Symantec met een update voor Norton SystemWorks die de NProtect-directory zichtbaar maakt.

Hacker in actieKasperksky legt uit dat het checksumgegevens van alle bestanden opslaat door gebruik te maken van 'NTFS Alternate Data Streams'. Deze technologie werd bijna twee jaar geleden in Anti-Virus 5.x geïntroduceerd onder de naam iStreams. De checksums worden gebruikt om te controleren of bestanden niet zijn veranderd tussen twee virusscans. Hierdoor kan de antivirussoftware snel beslissen of het bestand gescand moet worden. De technologie is niet gevaarlijk volgens Kaspersky, omdat het alleen door de antivirussoftware gebruikt kan worden wanneer deze actief is. Wanneer de antivirussoftware is uitgeschakeld, zijn de gegevens zichtbaar met speciale software. Als een programma de checksums aanpast, zou de antivirussoftware het formaat niet meer herkennen en een nieuwe database met gegevens aanleggen door de oude gegevens te overschrijven. Kaspersky geeft echter wel aan dat het in de volgende versie van zijn antivirussoftware afstapt van iStreams. Dit zouden ze doen om de deïnstallatietijd te verkorten. Dit nieuws lijkt dan ook vooral een storm in een glas water. Een jaar geleden was al bekend dat de checksumbestanden van iStreams gedetecteerd werden als rootkit.

Door Thijs Terlouw

Nieuwsposter

Feedback • 14-01-2006 12:39 38

14-01-2006 • 12:39

38

Bron: Kaspersky

Lees meer

Sony zet vaart achter 'rootkit'-schikkingen
Sony zet vaart achter 'rootkit'-schikkingen Nieuws van 22 december 2006
Microsoft neemt Winternals en Sysinternals over
Microsoft neemt Winternals en Sysinternals over Nieuws van 18 juli 2006
Makers ransomware versterken encryptie
Makers ransomware versterken encryptie Nieuws van 28 juni 2006
Eerste virus voor StarOffice duikt op
Eerste virus voor StarOffice duikt op Nieuws van 31 mei 2006
Onderzoekers ontwikkelen virtual-machine rootkit
Onderzoekers ontwikkelen virtual-machine rootkit Nieuws van 12 maart 2006
'Verbod op rootkits wenselijk'
'Verbod op rootkits wenselijk' Nieuws van 17 februari 2006
Controversiële beveiliging ontdekt op Duitse video-dvd's
Controversiële beveiliging ontdekt op Duitse video-dvd's Nieuws van 16 februari 2006
Rootkit maakt mogelijk stap naar BIOS
Rootkit maakt mogelijk stap naar BIOS Nieuws van 28 januari 2006
Anti-virusproducent waarschuwt voor eigen product
Anti-virusproducent waarschuwt voor eigen product Nieuws van 20 januari 2006
Reactiesnelheid virusbestrijders in kaart gebracht
Reactiesnelheid virusbestrijders in kaart gebracht Nieuws van 22 december 2005
Symantec AntiVirus kwetsbaar voor gearchiveerde aanval
Symantec AntiVirus kwetsbaar voor gearchiveerde aanval Nieuws van 22 december 2005
Intel werkt aan rootkit-detectie
Intel werkt aan rootkit-detectie Nieuws van 8 december 2005
Bug in Symantec AntiVirus maakt remote exploit mogelijk
Bug in Symantec AntiVirus maakt remote exploit mogelijk Nieuws van 6 oktober 2005
Virusschrijvers richten zich meer op zakelijke LAN's
Virusschrijvers richten zich meer op zakelijke LAN's Nieuws van 22 augustus 2005
Sysinternals brengt tool uit om rootkits in Windows te vinden
Sysinternals brengt tool uit om rootkits in Windows te vinden Nieuws van 24 februari 2005
Meer producten en artikelen
Software

Reacties (38)

-Moderatie-faq
38
38
15
5
0
18
Wijzig sortering

Sorteer op:

Weergave:
cyco_nico 14 januari 2006 12:54
Mijn Windows XP installatie is een keer compleet verpest door een tooltje van Kaspersky om die iStreams allemaal te verwijderen |:( .

Geef mij maar een iets langere scantijd, dan dit soort meuk die aan m'n bestanden wordt gehangen.

Ik gebruik nu al tijden AVG en daar heb ik nooit problemen mee.
Mizitras @cyco_nico14 januari 2006 17:11
Juiste procedure gevolgd?

http://www.kaspersky.com/faq?qid=156636746
To remove it then uninstall Kaspersky first. Then reinstall following the
information provided in
http://www.kaspersky.com/...d=170366556&qtype=3594740
Verwijderd @Mizitras14 januari 2006 23:42
Juiste procedure gevolgd?
In principe ben ik tegen alle procedures die op websites worden uitgelegd en niet ofwel met grote rode letters in de papieren handleiding staan, ofwel zo simpel zijn dat "iedereen" ze intuitief snapt.

Ik zou dus waarschijnlijk hard op mijn bek gaan met deze "juiste" procedure. Ik vind de procedure dus eerder onjuist.
memento__mori @cyco_nico14 januari 2006 14:22
AVG is goed zolang je de virussen niet hoeft te verwijderen. Dat soort meuk heb je met gratis antivirussoftware, er zit altijd wel iets achter. Kaspersky mag dan wel zulke dingen gebruiken, het is imo één van de meest agressieve virusscanners.
Verwijderd 14 januari 2006 12:53
De term "rootkit" krijgt wel weer een nieuwe defintie. Je kan hier helemaal niet spreken van een "rootkit" omdat dat typisch iets is wat je als cracker gebruikt om je sporen op een gecracked systeem te verbergen. Hier installeert de gebruiker de software gewoon zelf (AV software) of geeft hij er (impliciet) toestemming voor (Sony CD's).

http://en.wikipedia.org/wiki/Rootkit
Mizitras @Verwijderd14 januari 2006 17:10
Ik heb er ook naar Kaserpsky om geschreven, en zelf ook nagezien, en inderdaad, je gaat bij de installatie akkoord dat dergelijke acties goedkeurd. Daarbij, dit heeft geen gat gemaakt in de veiligheid, dus ik voelde mij bij het 'ontdekken' ervan ook niet bedrogen. Meer nog, ik was blij dat Kaserpsky tenminste ADS nakijkt tov. andere antivirusscanners waar zij niets daarover reppen, noch hun site, noch hun help-files.

Met tests merkte ik zelfs dat zij de ADS zelfs niet nakijken!!! (Uitzonderlijk wel, als je 'scan all files' en dan zonder exceptions.... En dan nog!
mashell @Mizitras14 januari 2006 20:39
ADS? Active Directory Services of gewoon het engelse woorden voor advertenties met hoofdletters geschreven?
Mizitras @mashell14 januari 2006 21:18
"Alternate Data Streams"
Zie ook het artikel hierboven....
Verwijderd @Mizitras14 januari 2006 23:38
Het idee van ADS is leuk maar heeft ook enkele nadelen. Het is niet voor niets dat Kaspersky er nu ook al weer vanaf stapt. Zo is het maar de vraag of een extern programma (lees virus) die ADS niet kan beinvloeden of de opgeslagen gegevens kan wijzigen.

Een leuke toevoeging, maar één waarin ik eigenlijk te weinig vertrouwen heb om mij daarvan afhankelijk te willen laten worden. In mijn ogen is dit dus wel degelijk een veiligheidsrisico van Kaspersky.
Jrz 14 januari 2006 14:08
ADS worden ook door explorer gebruikt.
Bijv. om aan te geven dat een bestand gedownload is en dus 'unsafe' is (stream:"Zone.Identifier") of om een koppeling tussen 2 bestanden aan te geven (Als je een webpage saved met images).
Je kan in principe de hele HDD vol maken, zonder dat iemand ziet waar die ruimte in zit, want er wordt alleen de main stream aangegeven.

je kan met o.a. notepad die stream editten:
notepad FILE:stream.

Als je een file download zie je daar bijv:
[ZoneTransfer]
ZoneId=3

staan.
Mizitras @Jrz14 januari 2006 17:16
In Winxp en 2K is het vele simpeler aan te tonen dat er zoiets bestaat als een 'bijkomende' plaats om data op te slagen:

1- Rechtse klik op een bestand - EIGENSCHAPPEN
2- Laatste tabblad, Samenvatting.

De dingen die daar staan worden in een 2de deel ingevuld van dat bestand, en worden niet bij de totaalsom van dat bestand gerekend.
Verwijderd 14 januari 2006 13:01
Pffffffft.
Temporary Internet Files en de Recycle Bin word ook dmv het "rootkit" principe geregeld.

www.sysinternals.com heeft een rootkitrevealer-application (freeware ^^).

De checksums, zoals Kaspersky ze heeft, worden door vele Anti-Virus software gebruikt (al dan niet met een "rootkit" om de bestanden te verbergen).

Ik zie het probleem wel, maar als de technieken in het Windows OS zelf gebruikt worden hebben we geen third party software nodig om misbruik te maken van een systeem, lijkt me.

[edit-again]Touché Nazgul ;) CMD gedaan en idd zichtbaar. Nooit echt over nagedacht zo, dacht dat het overbleef van een vorige Windows-install, en daarom zichtbaar was voor mij. Link dus weg :)
Zou een beter gedrag zijn voor Kaspersky denk ik meteen
[/edit-again]
Nazgul @Verwijderd14 januari 2006 13:38
Pffffffft.
Temporary Internet Files en de Recycle Bin word ook dmv het "rootkit" principe geregeld.
Daar klopt dus niets van. Een rootkit is een stuk software dat dingen verbergt voor de Windows API. Het gedrag daarintegen van de Recycle Bin wordt geregeld door zogenaamde Shell Extensions en is bedoeld om het gebruiksgemak te verhogen en niet om het geheel te verbergen. Als je via een Command Prompt gaat kijken zul je ook keurig netjes de inhoud kunnen zien. Iets wat je bij een rootkit kunt vergeten.
mashell @Nazgul14 januari 2006 20:46
En "System Volume Information"? Die zie je alleen met een dir /a maar de toegang er in wordt je geweigerd.
MneoreJ @mashell14 januari 2006 22:36
cacls "C:\System Volume Information" /G <user>:R

Vervang <user> door jouw loginnaam. Na dit commando heb je leesrechten op de directory. Kan ook met Explorer, hoor, als je CMD niet leuk vindt. Rechtsklik, Properties, Security. Geef jezelf alsjeblieft geen schrijfrechten; die heb je niet nodig en je kunt dingen stukmaken.

Er is een reden dat standaard alleen het besturingssysteem toegang heeft tot die informatie. En nee, met een rootkit heeft ook dit niets te maken. Security instellen kan iedereen die daar genoeg rechten voor heeft (in dit geval alleen administrators).

Rootkit-achtige praktijken zijn wanneer je dingen volkomen onzichtbaar maakt voor welke API dan ook, door het systeem zelf voor de gek te houden. Dat is een slecht idee omdat zulke dingen zich aan alle controle onttrekken, zelfs van beheerders.
Sir_Eleet 14 januari 2006 14:12
Ik vind dat antivirussoftware in bepaalde mate wel rootkit technieken mag gebruiken om zijn aanwezigheid te verbergen voor bv. malware die kan proberen de av software uit te schakelen oid. Zolang het maar goed z'n werk doet en natuurlijk niet moeilijk doet wanneer je het wilt uninstallen.
Verwijderd @Sir_Eleet14 januari 2006 15:49
Tjah maar niemand programmeert foutloos, en je kunt als producent niet het risico lopen dat jou Anti-virus product een lek heeft in hun rootkit (of verborgen informatie als je rootkit niet de juiste term vindt) systeem waardoor het voor virus doodsimpel wordt om binnen in het systeem te komen. Het principe van zo'n beveiliging is goed alleen brengt het veel risico's met zich mee.
Mizitras @Verwijderd14 januari 2006 17:18
Iedereen kan aan dat stuke ADS-code van Kasersky aan, en evengoed modificeren. Dat is geen gebruik maken van rootkit-technologie, maar van een ingebakken (sinds Windows NT 3.0 !!!) feature.
nero355 14 januari 2006 15:17
Euhm..... iedereen die Kaspersky een keer uninstalled heeft weet dat je dan wordt gevraagd die iStreams te laten op je HD of te verwijderen !!!
En ja dat duurt lang en nee ik heb er geen problemen mee het is gewoon een top AV :)

Kortom : Stelletje prutsers blijf van mijn Kaspersky af |:(
ironx @nero35514 januari 2006 16:09
Euhm..... iedereen die Kaspersky een keer uninstalled heeft weet dat je dan wordt gevraagd die iStreams te laten op je HD of te verwijderen !!!
Iedereen die Kaspersky installeert weet dat er wordt gevraagd of je iStreams wilt gebruiken ja of nee (tenminste, toen ik 'm installeerde paar maanden terug nog wel :P), maar men klikt maar als te graag op 'Ja', 'Ja', 'Ja'...

Dus een keer lezen wat je doet kan ook geen kwaad alvorens moord en brand te gaan schreeuwen :)
Mizitras 14 januari 2006 17:08
1) Het gebruik van ADS door Kaspersky was bekend
2) Als je hen vraagt hoe je dit kan verwijderen, leggen ze dat ook uit. Daarbij, je -vroeger toch- werd daarvan op de hoogte gesteld bij de installatie en moest zelf met de muis op yes klikken.
3) Een instelling in de anti-vir ervoor is er niet. Het is gewoon een feature van het bestandssysteem.

En Kasperksy werd er indertijd door geprezen, omdat zij tenminste de gevaren op gebied van aanvallen via ADS al aanpakten, en anderen niet (Mcafee, Norton !!!).

Ah, hier een stukje uit een artikel van 2003:
"By default, anti-virus programs check only the main data stream. There will be no problems protecting users from this particular virus," Eugene
Kaspersky continues. "However, the viruses can move to additional data
Streams. In this case, many anti-virus products will become obsolete, and
their vendors will be forced to urgently redesign their anti-virus engines."
So your current antivirus shall be of little help in case a virus is exploiting the ADS feature so you better keep in touch with your antivirus vendor and find out if the gave the necessary update for this problem , it seems so far only Kaspersky Labs are providing antiviral solution to this problem .
bsander 14 januari 2006 13:10
Kaspersky geeft echter wel aan dat het in de volgende versie van zijn antivirussoftware afstapt van iStreams. Dit zouden ze doen om de deïnstallatietijd te verkorten.
Kom dan alsjeblieft met iets geloofwaardigs, met zo'n kutexcuus kan je 't toch niet drooghouden? :D
Verwijderd @bsander14 januari 2006 13:27
Kutexcuus? Ik verwacht dat bij de-installatie van de iStreams/Checksums elke map op je computer doorlopen moet worden om 1 file weg te halen (met de informatie). Tijdvretend process (zeker met veel data/folders op je computer).

Geloofwaardig vind ik het dus wel
Verwijderd @Verwijderd14 januari 2006 13:34
Kortom, de AV fabrikanten zijn zich terdege bewust dat een degelijke AV beveiliging enorm resource vretend is voor je systeem waardoor dit bina onbruikbaar wordt.

Conclusie : AV makers zoeken technieken die niet zichtbaar zijn en waardoor ze de indruk kunnen wekken dat hun software flitsend snel 100% veiligheid biedt terwijl dat helemaal het geval niet is.
Verwijderd @Verwijderd14 januari 2006 13:39
uhm, nee. Als er een realtime scan actief is herleest hij (in dezelfde map) de oude Checksum en vergelijkt het met de Checksum van het nieuwe/aangepaste bestand. (en desnoods scant/update hem).

Toen men nog onder DOS werkte was mijn Shark! AV op dezelfde manier bezig. Tis juist ontwikkeld om tijd te winnen. Maja, de-installeren doe je maar 1 keer, scannen continu (of op vaste tijden een full scan).

Conclusie: De Rootkit word alleen gebruikt om problemen te voorkomen. (Lees mijn verhaaltje maar over de Recycle Bin en Temporary Internet Files, waarbij precies hetzelfde truukje word gedaan).
Mizitras @Verwijderd14 januari 2006 17:13
Green.velvet, je hebt het mis. Het is juist tijdswinst die je boekt. Zie ook reactie van fl!pull die het 100% samenvat ook.
CyberSnooP 14 januari 2006 19:41
...Kaspersky geven toe dat ze informatie verbergen voor de Windows API
ADS is een feature van de Windows (bestands systeem) API en dat is dus hooguit "verbergen" voor de eindgebruiker, maar niet verbergen voor de API, maar met de API.

Overigens snap ik de omschrijving van de feature niet, want het klinkt alsof een virus de checksum alleen maar mee hoeft aan te passen om Kaspersky voor de gek te houden.
Mizitras @CyberSnooP14 januari 2006 21:23
"een feature van het bestandssysteem"
zei iemand hierboven ook al.

En ADS is enkel van toepassing op NTFS, FAT en FAT32 zijn hiervoor niet geschikt.

Ivm je 'checksum', Kaspersky voegt ook nog een eigen signature toe, en als die gewijzigd wordt, eender bij welk bestand, zal hij wél de volledige file terug bekijken.
Stel dat de checksum van het bestand nagekeken is in 1 seconde, maar het nakijken van de file zelf van 25GB vele langer duurt, dan is de anti-virusscanner vele sneller klaar als hij gewoon even de checksum vergelijkt.
Verwijderd 14 januari 2006 12:51
Wellicht dat daarom Norton2005 ineens niet meer werkte en een reinstall nodig had.

Kreeg telkens de melding dat een repair actie niet gelukt was. Dit na een update van een aantal dagen geleden.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq