Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 38 reacties
Bron: Kaspersky

Kaspersky ontkent dat het gebruikmaakt van een 'rootkit' in zijn antivirussoftware. Mark Russinovich van Winternals Software beschuldigde Symantec en Kaspersky ervan gebruik te maken van een rootkit. De term rootkit wordt gebruikt voor technieken die ingezet worden om bepaalde processen en bestanden te verbergen en worden tegenwoordig vaak ingezet door virussen. De laatste tijd was de term veel in het nieuws door de 'rootkit' die werd gebruikt door Sony's DRM-software. Zowel Symantec als Kaspersky geven toe dat ze informatie verbergen voor de Windows API, maar zeggen dat de gebruikte technieken niet uitgebuit kunnen worden door kwaadwillende software. Toch kwam Symantec met een update voor Norton SystemWorks die de NProtect-directory zichtbaar maakt.

Hacker in actieKasperksky legt uit dat het checksumgegevens van alle bestanden opslaat door gebruik te maken van 'NTFS Alternate Data Streams'. Deze technologie werd bijna twee jaar geleden in Anti-Virus 5.x geïntroduceerd onder de naam iStreams. De checksums worden gebruikt om te controleren of bestanden niet zijn veranderd tussen twee virusscans. Hierdoor kan de antivirussoftware snel beslissen of het bestand gescand moet worden. De technologie is niet gevaarlijk volgens Kaspersky, omdat het alleen door de antivirussoftware gebruikt kan worden wanneer deze actief is. Wanneer de antivirussoftware is uitgeschakeld, zijn de gegevens zichtbaar met speciale software. Als een programma de checksums aanpast, zou de antivirussoftware het formaat niet meer herkennen en een nieuwe database met gegevens aanleggen door de oude gegevens te overschrijven. Kaspersky geeft echter wel aan dat het in de volgende versie van zijn antivirussoftware afstapt van iStreams. Dit zouden ze doen om de deïnstallatietijd te verkorten. Dit nieuws lijkt dan ook vooral een storm in een glas water. Een jaar geleden was al bekend dat de checksumbestanden van iStreams gedetecteerd werden als rootkit.

Moderatie-faq Wijzig weergave

Reacties (38)

Mijn Windows XP installatie is een keer compleet verpest door een tooltje van Kaspersky om die iStreams allemaal te verwijderen |:( .

Geef mij maar een iets langere scantijd, dan dit soort meuk die aan m'n bestanden wordt gehangen.

Ik gebruik nu al tijden AVG en daar heb ik nooit problemen mee.
Juiste procedure gevolgd?

http://www.kaspersky.com/faq?qid=156636746
To remove it then uninstall Kaspersky first. Then reinstall following the
information provided in
http://www.kaspersky.com/...d=170366556&qtype=3594740
Juiste procedure gevolgd?
In principe ben ik tegen alle procedures die op websites worden uitgelegd en niet ofwel met grote rode letters in de papieren handleiding staan, ofwel zo simpel zijn dat "iedereen" ze intuitief snapt.

Ik zou dus waarschijnlijk hard op mijn bek gaan met deze "juiste" procedure. Ik vind de procedure dus eerder onjuist.
AVG is goed zolang je de virussen niet hoeft te verwijderen. Dat soort meuk heb je met gratis antivirussoftware, er zit altijd wel iets achter. Kaspersky mag dan wel zulke dingen gebruiken, het is imo één van de meest agressieve virusscanners.
De term "rootkit" krijgt wel weer een nieuwe defintie. Je kan hier helemaal niet spreken van een "rootkit" omdat dat typisch iets is wat je als cracker gebruikt om je sporen op een gecracked systeem te verbergen. Hier installeert de gebruiker de software gewoon zelf (AV software) of geeft hij er (impliciet) toestemming voor (Sony CD's).

http://en.wikipedia.org/wiki/Rootkit
Ik heb er ook naar Kaserpsky om geschreven, en zelf ook nagezien, en inderdaad, je gaat bij de installatie akkoord dat dergelijke acties goedkeurd. Daarbij, dit heeft geen gat gemaakt in de veiligheid, dus ik voelde mij bij het 'ontdekken' ervan ook niet bedrogen. Meer nog, ik was blij dat Kaserpsky tenminste ADS nakijkt tov. andere antivirusscanners waar zij niets daarover reppen, noch hun site, noch hun help-files.

Met tests merkte ik zelfs dat zij de ADS zelfs niet nakijken!!! (Uitzonderlijk wel, als je 'scan all files' en dan zonder exceptions.... En dan nog!
ADS? Active Directory Services of gewoon het engelse woorden voor advertenties met hoofdletters geschreven?
"Alternate Data Streams"
Zie ook het artikel hierboven....
Het idee van ADS is leuk maar heeft ook enkele nadelen. Het is niet voor niets dat Kaspersky er nu ook al weer vanaf stapt. Zo is het maar de vraag of een extern programma (lees virus) die ADS niet kan beinvloeden of de opgeslagen gegevens kan wijzigen.

Een leuke toevoeging, maar één waarin ik eigenlijk te weinig vertrouwen heb om mij daarvan afhankelijk te willen laten worden. In mijn ogen is dit dus wel degelijk een veiligheidsrisico van Kaspersky.
ADS worden ook door explorer gebruikt.
Bijv. om aan te geven dat een bestand gedownload is en dus 'unsafe' is (stream:"Zone.Identifier") of om een koppeling tussen 2 bestanden aan te geven (Als je een webpage saved met images).
Je kan in principe de hele HDD vol maken, zonder dat iemand ziet waar die ruimte in zit, want er wordt alleen de main stream aangegeven.

je kan met o.a. notepad die stream editten:
notepad FILE:stream.

Als je een file download zie je daar bijv:
[ZoneTransfer]
ZoneId=3

staan.
In Winxp en 2K is het vele simpeler aan te tonen dat er zoiets bestaat als een 'bijkomende' plaats om data op te slagen:

1- Rechtse klik op een bestand - EIGENSCHAPPEN
2- Laatste tabblad, Samenvatting.

De dingen die daar staan worden in een 2de deel ingevuld van dat bestand, en worden niet bij de totaalsom van dat bestand gerekend.
Pffffffft.
Temporary Internet Files en de Recycle Bin word ook dmv het "rootkit" principe geregeld.

www.sysinternals.com heeft een rootkitrevealer-application (freeware ^^).

De checksums, zoals Kaspersky ze heeft, worden door vele Anti-Virus software gebruikt (al dan niet met een "rootkit" om de bestanden te verbergen).

Ik zie het probleem wel, maar als de technieken in het Windows OS zelf gebruikt worden hebben we geen third party software nodig om misbruik te maken van een systeem, lijkt me.

[edit-again]Touché Nazgul ;) CMD gedaan en idd zichtbaar. Nooit echt over nagedacht zo, dacht dat het overbleef van een vorige Windows-install, en daarom zichtbaar was voor mij. Link dus weg :)
Zou een beter gedrag zijn voor Kaspersky denk ik meteen
[/edit-again]
Pffffffft.
Temporary Internet Files en de Recycle Bin word ook dmv het "rootkit" principe geregeld.
Daar klopt dus niets van. Een rootkit is een stuk software dat dingen verbergt voor de Windows API. Het gedrag daarintegen van de Recycle Bin wordt geregeld door zogenaamde Shell Extensions en is bedoeld om het gebruiksgemak te verhogen en niet om het geheel te verbergen. Als je via een Command Prompt gaat kijken zul je ook keurig netjes de inhoud kunnen zien. Iets wat je bij een rootkit kunt vergeten.
En "System Volume Information"? Die zie je alleen met een dir /a maar de toegang er in wordt je geweigerd.
cacls "C:\System Volume Information" /G <user>:R

Vervang <user> door jouw loginnaam. Na dit commando heb je leesrechten op de directory. Kan ook met Explorer, hoor, als je CMD niet leuk vindt. Rechtsklik, Properties, Security. Geef jezelf alsjeblieft geen schrijfrechten; die heb je niet nodig en je kunt dingen stukmaken.

Er is een reden dat standaard alleen het besturingssysteem toegang heeft tot die informatie. En nee, met een rootkit heeft ook dit niets te maken. Security instellen kan iedereen die daar genoeg rechten voor heeft (in dit geval alleen administrators).

Rootkit-achtige praktijken zijn wanneer je dingen volkomen onzichtbaar maakt voor welke API dan ook, door het systeem zelf voor de gek te houden. Dat is een slecht idee omdat zulke dingen zich aan alle controle onttrekken, zelfs van beheerders.
Ik vind dat antivirussoftware in bepaalde mate wel rootkit technieken mag gebruiken om zijn aanwezigheid te verbergen voor bv. malware die kan proberen de av software uit te schakelen oid. Zolang het maar goed z'n werk doet en natuurlijk niet moeilijk doet wanneer je het wilt uninstallen.
Tjah maar niemand programmeert foutloos, en je kunt als producent niet het risico lopen dat jou Anti-virus product een lek heeft in hun rootkit (of verborgen informatie als je rootkit niet de juiste term vindt) systeem waardoor het voor virus doodsimpel wordt om binnen in het systeem te komen. Het principe van zo'n beveiliging is goed alleen brengt het veel risico's met zich mee.
Iedereen kan aan dat stuke ADS-code van Kasersky aan, en evengoed modificeren. Dat is geen gebruik maken van rootkit-technologie, maar van een ingebakken (sinds Windows NT 3.0 !!!) feature.
Euhm..... iedereen die Kaspersky een keer uninstalled heeft weet dat je dan wordt gevraagd die iStreams te laten op je HD of te verwijderen !!!
En ja dat duurt lang en nee ik heb er geen problemen mee het is gewoon een top AV :)

Kortom : Stelletje prutsers blijf van mijn Kaspersky af |:(
Euhm..... iedereen die Kaspersky een keer uninstalled heeft weet dat je dan wordt gevraagd die iStreams te laten op je HD of te verwijderen !!!
Iedereen die Kaspersky installeert weet dat er wordt gevraagd of je iStreams wilt gebruiken ja of nee (tenminste, toen ik 'm installeerde paar maanden terug nog wel :P), maar men klikt maar als te graag op 'Ja', 'Ja', 'Ja'...

Dus een keer lezen wat je doet kan ook geen kwaad alvorens moord en brand te gaan schreeuwen :)
Wat ik dan niet begrijp... NTFS Alternate Data Streams bestaat niet voor niets. Nu gebruikt een softwarepakket een feature van het bestandssysteem (geimplementeerd door o.a. MS!) en dan is dat slecht? Waarom is die feature er dan?
Weet je, origineel diende die feature om te communiceren met Apple Macintosh pc's. Omdat Apple ook zoiets gelijkaardigs (hééél kort de door de bocht verteld) gebruikt.

Nadien zag MS dat men daar ook andere informatie kon insteken, en heeft men de mogelijkheid opengelaten om daar zelf bijvoorbeeld dingen als "Titelnaam" "Auteursnaam" en "Commentaarlijnen" in te schrijven. Eingeschappen van ene bestand -> Samenvatting en je ziet wat ik bedoel.
Op ELKE NTFS-partitie met een Windows OS is ADS 'actief'.

"Nu gebruikt een softwarepakket een feature van het bestandssysteem (geimplementeerd door o.a. MS!) en dan is dat slecht? "

Inderdaad. Het is eerder frappant als je weet hoeveel anti-virusscanners virussen en malware NIET zien (en dus ook NIET verwijderen!!!) als die zich schuilhouden in een ADS-stukje van een windowsbestand. Een Windowsbestand dat bijvoorbeeld bij elke boot wordt uitgevoerd.
...Kaspersky geven toe dat ze informatie verbergen voor de Windows API
ADS is een feature van de Windows (bestands systeem) API en dat is dus hooguit "verbergen" voor de eindgebruiker, maar niet verbergen voor de API, maar met de API.

Overigens snap ik de omschrijving van de feature niet, want het klinkt alsof een virus de checksum alleen maar mee hoeft aan te passen om Kaspersky voor de gek te houden.
"een feature van het bestandssysteem"
zei iemand hierboven ook al.

En ADS is enkel van toepassing op NTFS, FAT en FAT32 zijn hiervoor niet geschikt.

Ivm je 'checksum', Kaspersky voegt ook nog een eigen signature toe, en als die gewijzigd wordt, eender bij welk bestand, zal hij wél de volledige file terug bekijken.
Stel dat de checksum van het bestand nagekeken is in 1 seconde, maar het nakijken van de file zelf van 25GB vele langer duurt, dan is de anti-virusscanner vele sneller klaar als hij gewoon even de checksum vergelijkt.
1) Het gebruik van ADS door Kaspersky was bekend
2) Als je hen vraagt hoe je dit kan verwijderen, leggen ze dat ook uit. Daarbij, je -vroeger toch- werd daarvan op de hoogte gesteld bij de installatie en moest zelf met de muis op yes klikken.
3) Een instelling in de anti-vir ervoor is er niet. Het is gewoon een feature van het bestandssysteem.

En Kasperksy werd er indertijd door geprezen, omdat zij tenminste de gevaren op gebied van aanvallen via ADS al aanpakten, en anderen niet (Mcafee, Norton !!!).

Ah, hier een stukje uit een artikel van 2003:
"By default, anti-virus programs check only the main data stream. There will be no problems protecting users from this particular virus," Eugene
Kaspersky continues. "However, the viruses can move to additional data
Streams. In this case, many anti-virus products will become obsolete, and
their vendors will be forced to urgently redesign their anti-virus engines."
So your current antivirus shall be of little help in case a virus is exploiting the ADS feature so you better keep in touch with your antivirus vendor and find out if the gave the necessary update for this problem , it seems so far only Kaspersky Labs are providing antiviral solution to this problem .
Jullie vergeten dat windows zelf al een rootkit is.
Jij als dokter zou het wel weten hé. :>
De docter heeft ntoskrnl.exe gevonden, klasse! Jip, ook Windows heeft een kernel.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True