McAfee bezorgd over toename rootkits

McAfee heeft de eerste paper uit een serie van drie gepubliceerd waarin het bedrijf zijn ongerustheid uit over het toenemende aantal rootkits. Het blijkt dat zowel het aantal rootkits als de complexiteit van de rootkits in een rap tempo toeneemt. In drie jaar tijd is het gebruik van stealth technieken in malware toegenomen met maar liefst 600 procent terwijl de complexiteit met meer dan 900 procent is toegenomen. Een andere trend die is waar te nemen is de toenemende populariteit van Windows voor rootkit schrijvers.

McAfee logo (cropped) Terwijl in 2001 nog 71 procent van alle rootkits gericht waren op Linux is dit ondertussen een bijna verwaarloosbaar percentage geworden. De reden hiervan blijkt niet alleen de veel grotere groep potentiële slachtoffers, maar ook de uitdaging om gebruik te kunnen maken van vele niet gedocumenteerde Windows API’s. McAfee voorziet dat de groei van rootkits qua aantallen en complexiteit voorlopig nog niet zal afnemen. Een oplossing voor het probleem wordt niet gepresenteerd in de paper. Microsoft adviseert voorlopig een complete herinstallatie van Windows bij een besmetting.

Lees meer

Nieuwste IT Banen

IT trainingen bij Computrain

Reacties (37)

Volvados
18 april 2006 19:31

Zou je nu na een antivirus, firewall en antispyware nu ook nog een anti-rootkit nodig gaan hebben? Zo kan je ook blijven doorgaan hé

successor
@Volvados • 18 april 2006 19:34

ik zou denken dat je met al die rootkits gewoon een virtueel systeem zou gaan opzetten om te gaan surfen op de niet zo gecertificeerde sites en het downloaden van niet gecertificeerde bestanden en bijlagen. virtual pc besmet ? backup er over en een kwartiertje later weer verder doen.

dan is het maar goed dat ik de luxe van 2 PC's heb

Splorky
@successor • 18 april 2006 20:50

op tweakers.net was er al te zien dat VMware niet geschikt daarvoor is omdat een virus zich kan verplaatsen naar de host

kan link niet vinden, maar dit wel:

Het omgekeerde is helemaal leuk, dat de rootkit JOU met een virtuele windows laat spelen
nieuws: Onderzoekers ontwikkelen virtual-machine rootkit

KingOfDos
@Volvados • 18 april 2006 19:35

Die zijn er al (sysinternals).

+2 Gomez12
@Volvados • 18 april 2006 19:39

Kort antwoord : JA.
En over een aantal jaar heb je nog wat extra programmaatjes nodig, wen er maar aan.

Computergebruik wordt steeds meer, dus computermisbruik ook. En vroeger was het kraken van computers nog een kunst, nu download je een kit die gewoon eventjes 500 vulnerabilities afgaat.

Plus dat bijv. de EU steeds meer gaat kijken naar het monopolie van MS dus zullen die ook steeds minder snel iets als antivirus / antispyware / antirootkit standaard in het OS stoppen, want dan krijgen ze weer x rechtszaken...

Telt allemaal mee.

RetepV
@Gomez12 • 19 april 2006 09:06

Computergebruik wordt steeds meer, dus computermisbruik ook. En vroeger was het kraken van computers nog een kunst, nu download je een kit die gewoon eventjes 500 vulnerabilities afgaat.

Vroeger waren Operating Systems hele simpele dingen. Doordat ze zo simpel waren, zaten er amper fouten in. Microsoft heeft echter de 'bloatware' uitgevonden. Een Operating System dat zo groot en ingewikkeld is dat ze ZELF niet eens meer weten welke fouten er wel of niet in zitten.

Wat dat betreft is Linux dus een stuk beter. Het Operating System is veel modulairder, de onderdelen (drivers, GUI, scheduler, etc.) zijn allemaal losse onderdelen die met elkaar praten. Als de losse onderdelen goed zijn en de communicatie goed is, dan is het OS ook goed.

Linux is vooral veiliger omdat het veel modulairder is. Alle modules kunnen apart getest worden.

Overigens ben ik niet van plan om te accepteren dat het simpelweg bij computergebruik hoort. Het hoeft namelijk helemaal niet zo te zijn. Het OS is de basis waar alles op gebouwd is. Een OS *kun* je niet behandelen alsof het een applicatieprogramma is. En bij Microsoft hebben ze dat nu ook eindelijk door, gezien de veranderingen die ze bij Vista doorgevoerd hebben.

+1 KRGT

@RetepV • 19 april 2006 09:19

Leuk dat je alle losse modules kan testen, maar als ze los van elkaar getest zijn, wil het niet zeggen dat als alles bij elkaar gevoegt wordt, er geen gaten invallen en dat het alsnog probleemloos is.

SED
@RetepV • 19 april 2006 14:35

je gaat in je "analyse" voorbij aan het feit dat rootkits een Unix "uitvinding" is.
Jouw visie op een OS heeft daar weinig mee te maken. Dat windows inmiddels zijn OS aanpast aan de tijd is niks nieuws. Wel de aanhangers van bepaalde OSsen die telkens een oud OS afrekenen op moderne maatstaven. Linux is net zo onveilig als welk ander OS ook. De gebruiker blijft uiteindelijk het zwakke punt.

+1 gamepower2005
@Gomez12 • 18 april 2006 22:14

waarom zou dit niet gewoon in anti-spyware programma's geintegreerd worden? Niemand heeft tegenwoordig toch een 'anti-trojan' programma? Als je het mij vraagt zien we bij de volgende Norton Indernet Security een anti-rootkit functie erbij verschijnen. Ondertussen heeft iedere zichzelf respecterende anti-spyware maken dit al in z'n programma zitten.

Creesch
@Volvados • 19 april 2006 01:42

tja... imho is rootkit alleen maar een modewoord voor iets wat al langer bestond onder de algemene naam "virus" of "spyware"

voor de hele affaire met sony gebruikte nauwelijks iemand het en nu zie je in 1 keer een paar keer maand berichten verschijnen over rootkits...

RetepV
@Creesch • 19 april 2006 09:10

Nee, toch niet helemaal.

- Een virus maakt je systeem op subtiele wijze kapot.
- Spyware loopt continue gegevens van jou door te sturen naar een ontvanger.
- Een rootkit verschaft iemand (zonodig) volledige toegang tot jouw systeem.

Drie heel verschillende dingen dus.

+2 RaptorRaider
18 april 2006 20:02

Wat jullie in dit artikel niet noemen (het wordt genoemd onder "Key Finding" 4 in de bron) is dat McAfee "open-source" de schuld geeft van een groot deel van de groei van rootkits.
Op sites zoals rootkit.com wordt namelijk vaak de broncode van vele rootkits geplaatst, wat (betwistbaar) zou kunnen leiden tot een grote groei van rootkits en de verdere ontwikkeling ervan.

Een artikel erover kan men hier vinden, alhoewel nogmaals in de bron van Tweakers.net al enige informatie staat.

Zelf ben ik bang dat (het bijna voor zich spreekt dat) het publiekelijk publiceren van de code van rootkits de rootkits alleen maar verbeterd.
McAfee echter zou zelf moeten kijken naar de code en hun software erop af moeten stemmen; zou dit niet net zo gemakkelijk moeten gaan?

moto-moi
@RaptorRaider • 18 april 2006 20:46

Op sites zoals rootkit.com wordt namelijk vaak de broncode van vele rootkits geplaatst, wat (betwistbaar) zou kunnen leiden tot een grote groei van rootkits en de verdere ontwikkeling ervan.

Dat betekend dus alleen maar dat microsoft die sites goed in de gaten moet houden en patches zo snel als mogelijk moet uitrollen in plaats van 1 keer per maand

het is heel geinig om nu naar opensource te wijzen, maar daarbij ga je voorbij aan het echte probleem: het feit dat de win32 api gewoon misbruik uitlukt. Dat in combinatie met de onmogelijkheid om goed met 2 gebruikers op je systeem te werken, zoals onder de unices allemaal standaard is, helpt natuurlijk niet mee.

+1 imagica
@RaptorRaider • 19 april 2006 09:57

Deze redenering over het openbaren van sourcecode over rootkits e.d. bewijst dus dat wanneer microsoft veel meer openheid zou hebben gegeven over de vele windows api´s e.d. bedrijven zoals F/Secure , mcafee etc veel sneller en makkelijker dit soort phenomenen aan had kunnen pakken doordat ze dan ten minste weten wat een api doet/kan doen dan eerst de hele hap te reverse-engineren en te toesten aan de informatie welke zij krijgen van MS...

Verder werkt het openbaren van code 2 kanten op. Beveiligers kunnen het gedrag van de code bestuderen voor detectie en criminelen kunnen het eventueel incorpereren in hun eigen rootkit.

Mijn inziens blijft het de fout van microsoft door bewust of onbewust (NSA?) de mogelijkheid te creeren om software/code te kunnen laten draaien welke totaal onzichtbaar is voor het OS en alle andere programma's welke daarop draaien. Dit is de grootste fout geweest.

Klaus_1250
@RaptorRaider • 18 april 2006 20:25

Onzin-verhaal van McAfee. Die klappen in hun handjes. Stel je voor dat er geen virussen, malware en rootkits waren, dan waren ze allemaal werkeloos :-)

Tis gewoon marketing. Je publiceert wat onrustwekkende cijfers, geef de schuld aan open-source (wat immer hun eigen bedrijfsmodel deels ondermijnt) en je kan weer een paar mooie nieuwe producten aan je portfolio toevoegen.

En over hun product gemakkelijk afstemmen; ik heb niet zo'n hoge pet van McAfee, maar das vooral ook door vervelende in het verleden (naast een trage PC ook ineens al je email kwijt

) Maar ze behoren niet tot de absolute top van anti-virusgebied (ze zijn niet slecht) en dat verbaasd me gezien het feit dat ze toch vrij veel producten en diensten verkopen tov van andere kleinere spelers (die beter presteren).

+1 CrazyJay
18 april 2006 22:28

Rootkits; Nieuw fenomeen, maar een oude basisgedachte: Virus.

Net zo goed als 'spyware' in feite een virus is, is ook een rootkit weer een virus. Het gedrag ervan is echter van dusdanige aard dat de av-makers hier graag een apart label aan hangen.
Verder is een rootkit naar mijn idee ook ooit ontwikkeld met andere 'goedaardige' doeleinden, zoals al in veel software (inclusief av-software) naar voren is gekomen.

De kunst zal dus worden de 'goedaardige' van de 'kwaadaardige' rootkits te onderscheiden en de eventuele kwetsbaarheden die door de goedaardige veroorzaakt worden te ondervangen met een av-programma.
En dit laatste, daar ligt denk ik de belangrijkste uitdaging in de ontwikkeling van rootkits.

daft_dutch
@CrazyJay • 18 april 2006 22:45

FOUT FOUT FOUT

Een rootkit is van orgine een backdoor van een cracker naar een gecracked systeem zodat deze onopgemerkt de pc binnen kan komen.
niet registeren van de login in de logs bijvoorbeeld.
Dat script ook verbergen en klaar iemand die wat ziet.
Dat is de basic van een rootkit. of het nu een virus verbergt of een spyware programma.
Rootkits zijn ouder dan virusen en zeker spyware.
Rootkits zijn Evil en maken gebruik van fouten in een OS.

dat er in windows nu zoveel rootkits opduiken is door mijn idee zo omdat ze vroeger niet nodig waren. denk maar niet dat dit bij vista voorbij is
edit: meer een rewrite

+1 RedLizard
@daft_dutch • 18 april 2006 23:28

Matige definitie.

Een rootkit is van orgine een backdoor van een cracker naar een gecracked systeem zodat deze onopgemerkt de pc binnen kan komen.

Van orgine wel ja. Persoonlijk zie ik 'rootkits' als een bepaalde technologie, die zich voor allerlei dingen laat gebruiken, zowel in de positieve zin als in de negatieve. Virusscanners bijvoorbeeld maken van vrijwel dezelfde techniek gebruik als rootkits, en datzelfde geld voor semi-malicious zaken als de Sony rootkit. Maar ik denk dat de sterke relatie tussen een rootkit en een backdoor een beetje een achterhaald concept is. De techniek staat in principe los van het gebruik, en is ook niet 'evil' ofzo. Ook maakt hij geen gebruik van 'fouten' in het OS; dan zou voorziening X een fout zijn als hij door een virus zou worden gebruikt, maar een feature als het om een virusscanner gaat.

+1 145209
@RedLizard • 19 april 2006 10:00

Matige definitie.

Persoonlijk zie ik 'rootkits' als een bepaalde technologie, die zich voor allerlei dingen laat gebruiken, zowel in de positieve zin als in de negatieve.

In die definitie is alles een rootkit. Een Japans keuken-mes is ook "een bepaalde technologie, die zich voor allerlei dingen laat gebruiken, zowel in positieve zin als in de negatieve".

De wikipedia definitie:

A rootkit is a set of software tools frequently used by a third party (usually an intruder) after gaining access to a computer system. These tools are intended to conceal running processes, files or system data, which helps an intruder maintain access to a system without the user's knowledge.

+1 Loninkwoner493
18 april 2006 19:42

Ik heb al een stand alone executable gevonden dat rootkits kan elimineren. Het heet blbeta, is van f-secure en een trial is te downloaden op: http://www.f-secure.com/blacklight/
Ik denk dat je binnen de kortste keren ook wel freeware-producten kan downloaden om de problemen op te lossen. Zoiets gaat immers heel snel. (Misschien een leuke plugin op Hitmanpro?)

* Loninkwoner @ Sander1136: Helder (Thnx, een gewaarschuwd mens telt voor 2)

Klaus_1250
@Loninkwoner493 • 18 april 2006 20:17

Verheug je maar niet. Een goede rootkit heeft geen last van Blacklight, nog van de meeste andere beschikbare rootkit-hunters. En een echt profi-rootkit update zichzelf ook vaak genoeg om niet gedetecteerd te worden.

+1 MneoreJ
18 april 2006 20:58

terwijl de complexiteit met meer dan 900 procent is toegenomen.

Oh nee!!! De rootkits zijn negen keer zo ingewikkeld!!!oneone

Of tien keer, dat weet je maar nooit. Hoe dan ook, ik ben blij dat McAfee dat soort dingen nauwkeurig nameet...

Aha:

One measure of complexity is the number of components in a software package. For example, if a rootkit package named a.exe installs the files b.exe, c.dll, and d.sys, in which d.sys installs the rootkit's stealth component, the total number of components is counted as four. We make the assumption that d.sys is hiding or protecting other files in the package.

Kortom: voor "complexiteit", lees "aantal gebruikte bestanden". Hier kun je zelf de kanttekeningen wel bijzetten, lijkt me...

0 Zaphod69
@MneoreJ • 19 april 2006 09:52

Dit is maar één van de indicitaoren voor complexiteit. Je doet nu net of de complexiteit alleen afhangt van het aantal gebruikte bestanden. Dat staat er echter niet.

0 meneer r
@Zaphod69 • 19 april 2006 14:23

Ik stel voor dat we de algoritmische complexiteit nemen. Van alle code die _geen_ turing machiene vereist kan je formeel (zonder het uit te voeren) controleren of het kwaad wilt doen. Zodra het wel een turing machiene nodig heeft kan je dat niet meer controleren: maar is wel een reden om achterdochtig te zijn. De meeste software (99,9999%) vereist namelijk helemaal geen turing machiene.

Voorbeeld: het berekenen van de faculteit is primitief recursief. Het berekenen van de beroemde fibonacci reeks is niet primitief recursief (en vereist dus een turing machine). Merk op we juist dat zo intressant vinden aan de fibonacci reeks. Ik vermoed dat de meeste virussen ook primitief recursief zijn, en dus zouden die zonder een database over die virussen nog steeds herkenbaar kunnen zijn als zodoende. Dito voor root-kits.

En dan zul je om een virus te moeten schrijven wel heel goed in je informatica moeten zitten :-) Ben je in ieder geval van de scriptkiddies af.

flippy
18 april 2006 20:31

gewoon windows in vmware draaien, krijg je er veel last van, eventjes je verse windows image weer terugzetten en 40sec later heb je weer een verse windows zonder problemen, werkt hier erg goed tenminste

+1 Olaf van der Spek
@flippy • 18 april 2006 21:29

En voor elke website waar je een account voor hebt een eigen virtuele machine gebruiken zeker?

benoni
18 april 2006 22:00

En wie komt er het eerst uit met een Knoppix-style CD die systemen kan vergelijken met een eerder bewaarde image of met checksum repositories van internet?

+1 Dreamvoid
@benoni • 18 april 2006 23:13

Tsja, dat is het hele idee achter trusted computing. Binnen bedrijfsnetwerken zeker te doen, maar het heeft als nadeel dat je geen semilegale of eigen gecompileerde software kan draaien.

RetepV
19 april 2006 09:02

Hmz. Microsoft heeft de afgelopen jaren genoeg waarschuwingen gehad m.b.t. rootkits onder hun Operating System. Nu het blijkt dat ze er toch niet op reageren zijn er een heleboel mensen die hun kans schoon zien. Was te verwachten. Hier is vorig jaar al de vraag van een pornoboer langs gekomen of het niet mogelijk is of het niet mogelijk is om een programma 'diep in het systeem weg te stoppen zodat mensen het niet uit kunnen zetten'.

+1 Floor
@RetepV • 19 april 2006 09:16

Zolang de batteijen blijven werken is er niks aan de hand

Walchelijk, mensen (de pornoboer) die op deze manier klanten proberen te behouden. Dit lijkt me toch wel een misdrijf, hoewel ik geen juridische achtergrond heb.
Ik denk dat je als bedrijf erg moet oppassen om met dit soort "oplossingen"mee te werken, vooral wanneer er bekend is wat de bedoeling van de software is..

0 Karelta
19 april 2006 19:06

De meeste van deze rotzooi ( Virussen, spyware, trojans, rootkits etc) moeten steeds achteraf op je hd getraceerd & verwijdert worden.
Weet er natuurlijk te weinig van af , maar komt het nog ooit zover dat het onding vooraf wordt gedetecteerd en direct verwijdert?

0 bondje33
@Karelta • 20 april 2006 15:25

SpywareBlaster doet al heel veel preventief, Windows Defender ook, AdAware Ad-Watch ook, etc etc Er zijn zat preventieve programmaatjes.....

Maar nu dit: Sysinternals kan wel rootkits ontdekken, maar ze ook goed verwijderen niet volgens mij. Ook kan ik geen goede handleiding vinden om te verwijderen.

Van de 6 "dingen" die Sysinternals vond in mijn systeem bleken er 3 bij Alcohol 120% te horen, die andere is zelfs niks over via Google te vinden......waar wel?

+1 25556
18 april 2006 20:55

Totdat je ontdekt dat je windows-in-vmware ook je windows-om-vmware kan besmetten.

Daarnaast.. je gaat toch niet alles in VMware draaien? wat, 30% van je systeemperformance inleveren?

1 2 Volgende

Op dit item kan niet meer gereageerd worden.

Cookies op Tweakers