Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 138 reacties
Submitter: 80466

Na het installeren van Windows-updates van 9 februari werden sommige Windows XP-gebruikers geconfronteerd met een blue screen of death. Inmiddels is duidelijk geworden dat de foutmeldingen mogelijk ontstaan naar aanleiding van een rootkit.

Computer-expert Patrick W. Barnes ontdekte een overeenkomst in de door hem geanalyseerde systemen die last hadden van de bsod's. Hij vond bij alle drie een geïnfecteerd atapi.sys-bestand. Dit bestand is een systeemdriver voor opslagapparaten. Na het vervangen van de driver door een schone versie, verdwenen de foutmeldingen en startten de pc's weer normaal op.

De rootkit waar het om gaat, heet onder andere 'Tdss' en is bij Microsoft bekend onder de naam 'Alureon.A'. Deze malware wordt in verband gebracht met zombie-machines en botnets. Het is voor virusscanners moeilijk om infecties in atapi.sys te detecteren, omdat het zo vroeg in het opstartproces geladen wordt. Volgens Barnes waren de systemen voor het updaten al besmet en zorgt de update, in combinatie met het corrupte atapi.sys-bestand, voor de foutmeldingen.

Barnes heeft op zijn site gepost hoe via de recovery-console het corrupte bestand vervangen kan worden. Ook adviseert hij het systeem verder goed te controleren op andere malware, aangezien de infectie slechts een voorbode is van meer problemen. De Tdss-rootkit is mogelijk niet de enige aanleiding voor de bsod's. Wellicht zijn er andere corrupte drivers die in combinatie met de update problemen veroorzaken. Microsoft verricht momenteel onderzoek en zegt update MS10-015 uit voorzorg uit Windows Update te hebben gehaald.

Moderatie-faq Wijzig weergave

Reacties (138)

Op het moment dat blijkt dat deze (en mogelijk andere) rootkits de oorzaak is dat er na het installeren van de patches een BSOD ontstaat, dan rijst bij mij wel de vraag in hoeverre je dan Microsoft nog verantwoordelijk kunt stellen voor het feit dat de patch een BSOD oplevert.

In eerdere berichten hierover werd de zwarte piet al naar de QA-afdeling toegespeelt, maar als nu blijkt dat het op een 100% correct systeem (laten we zeggen een versie MS-Windows-XP installatie) nooit een BSOD optreedt dan kun je dus niet meer zonder meer naar Microsoft wijzen...

Blijkbaar maken deze rootkits gebruik van functionaliteit die door de recente patches afgesneden zijn (mogelijk ook ongedocumenteerde internals van MS-Windows) en gaat het systeem hierop onderuit - met een BSOD omdat deze drivers op een erg laag niveau werken...
De schuld voor de BSOD's is nu inderdaad niet meer bij Microsoft te leggen, maar je kunt je wel afvragen of het Řberhaupt normaal is dat een atapi.sys besmet kan raken en virusscanners het hier blijkbaar moeilijk mee hebben. Dan zit er structureel iets niet goed, en dat kun je Microsoft uiteraard wel aanrekenen.
Datgene wat er structureel niet goed is, is dat de meeste gebruikers op administrator niveau zitten te werken. Dat is iets wat historisch zo gegroeid is, en wat 'lekker makkelijk' is voor de gebruiker. Het is ook iets dat Microsoft al tijden probeert om te buigen. Maar gebruikers zijn hardleers... Toen men in Vista gedwongen werd zonder admin account te werken, waren alle Tweakers er al de kippen bij om te vertellen hoe je UAC e.d. uit kon schakelen, en weer volle admin rechten kon krijgen. Met als gevolg dat virussen en rootkits weer vrij spel kregen. Windows 7 vindt iedereen o.a. zo fantastisch, omdat de security zoveel lager is... (Namelijk niet meer 'zeuren' als je software wil schrijven op een plek waar dat niet mag)

Uiteindelijk is het een gebruikers probleem... Die moet accepteren dat je voor dit soort security een beetje gebruiksgemak moet opgeven. En dat je niet zomaar alles wat los en vast zit installeert...
Niet alleen een gebruikers probleem, ook de programma's zijn hier gretig in mee gegaan. Een heleboel programma's uit het XP tijdperk werken alleen met local-admin rechten. Al zou je willen, het is echt niet werkbaar als gewone gebruiker onder XP.
En juist vanwege die luie progammeurs heeft Microsoft dus UAC gemaakt, zodat je geen last heb van die programmas die alleen werken met local-admin rechten.

In XP is het inderdaad niet werkbaar als gewone gebruiker, maar XP is zo langzamerhand wel heeeeeel lang geleden.
Er worden anders nog steeds pc's verkocht met XP hoor, alleen netbooks, maar toch.
XP is nog lang niet dood. XP will never die. Over een 5 jaar is voor de meeste mensen Vista nog slechts een (slechte) herinnering maar zal XP nog steeds gebruikt worden, en waarschijnlijk IE6 ook nog.
maar je kunt je wel afvragen of het Řberhaupt normaal is dat een atapi.sys besmet kan raken en virusscanners het hier blijkbaar moeilijk mee hebben.
Een populaire manier van besmetten is bijvoorbeeld met een illegale download van Windows XP. Zelfs legale bezitters gebruiken deze downloads soms omdat er veel applicaties in meegeslipstreamed worden en je in 1 keer een compleet pakket applicaties meegeleverd krijgt.
Helaas zit er dan in zo'n illegale download ook wel eens een rootkit in die nauwelijk te detecteren is omdat de drivers naar de harddisk de smetting verhullen (atapi.sys is de IDE hardware driver). Daardoor zijn ook veel virusscanners die geen rootkit detectie kennen kansloos.
edit:
onderstaande toegevoegd

Hieronder een link naar de TDL3 rootkit analyse. Deze rootkit is in ieder geval aangetroffen bijeen aantal van de gevallen met deze problemen
http://blog.cmclab.net/wordpress/?p=37

[Reactie gewijzigd door 80466 op 13 februari 2010 14:32]

Dat is bekend, structureel is Windows XP niet in orde, aangezien het gewoonte is om op een standaard systeem als Administrator aan de gang te gaan. Alle applicaties starten dus op met toegang tot het gehele bestandssysteem. Dit is opvallend, want zelfs als redelijk ervaren gebruiker is dan niet altijd goed in te schatten of een applicatie kwade bijbedoelingen heeft. Nieuwere versies van Windows lossen dit redelijk goed op, de gemiddelde gebruiker kan in elk geval even achter de oren krabben als een losse applicatie om rechten vraagt. Tja, ik vind het een inferieure oplossing als je het bijvoorbeeld vergelijkt met zo'n beetje elk ander OS, maar goed, beter dan niets, en in de meeste omstandigheden ligt nu de schuld bij de gebruiker (maar dus wel ten gevolge van slecht ontworpen usability, waar met name Vista inmiddels een schoolvoorbeeld van is).
Dat is bekend, structureel is Windows XP niet in orde, aangezien het gewoonte is om op een standaard systeem als Administrator aan de gang te gaan.
Wacht even, omdat de gebruiker de gewoonte heeft om standaard als administrator te werken, is MS-Windows niet in orde? Zo'n bewering gaat wel heel erg ver, op zich kun je namelijk een MS-Windows XP systeem goed inrichten, zodat je met beperkte rechten wel degelijk in staat bent om de computer goed te gebruiken - dat zoiets niet gebeurt is vers 2.

Het enige wat je Microsoft mogelijk kan verwijten, dat is dat men het wel erg gemakkelijk gemaakt heeft om met administrator-rechten te werken - op het moment dat ze het moeilijker gemaakt hadden om als administrator te werken zou de software ook eerder aangepast zijn t.o.v. het kunnen werken als een normale gebruiler.

In hoevere UAC het juiste antwoord is, dat is een open vraag - maar om nu gelijk het besturingssysteem als schuldige aan te wijzen, dat gaat wel heel erg ver...
Ik snap niet waarom je dat ver vind gaan, het lijkt mij eerder een minimale eis aan een besturingssysteem. Security is toch een van de kerntaken van een OS. Zeker als desktop OS behoort windows dat op een zo toegankelijk mogelijke wijze te implementeren. Dat het mogelijk is een veilig systeem te maken is niet zo heel boeiend, het gaat erom wat je systeem out-of-the-box aan veiligheid kan bieden zonder teveel aan gebruiksgemak in te boeten. Hierin faalt windows xp hard, vista en 7 zijn iets beter.

Ik snap niet waarom MS niet gewoon een model als *nix heeft gekozen, dat werkt al decennia op een relatief veilige en gebruiksvriendelijke manier out-of-the-box. Dat kan dus echt wel, ik geloof er niets van dat het een probleem van de gebruikers is.

Het is trouwens wel goed die BSOD's, komen gebruikers er tenminste achter dat hun systeem besmet is.

[Reactie gewijzigd door Antipater op 13 februari 2010 13:56]

Ik snap niet waarom je dat ver vind gaan, het lijkt mij eerder een minimale eis aan een besturingssysteem. Security is toch een van de kerntaken van een OS
Het besturingssysteem is op orde, je kunt gewoon werken met een systeem dat out-of-the-box ook met beperkte rechten kan werken...

Waar het mis gaat, dat is dat de gebruikers ook software uit het "DOS-based MS-Windows (95-Me)"-tijdperk wilden gebruiken. Technisch was dat mogelijk, mits men admin-rechten uitdeelde aan de gebruiker die dat wilde...

Het enige dat je Microsoft mijns inziens aan kan rekenen, dat is dat men nooit moeite gedaan heeft om de gebruiker af te helpen van dit idee - met MS-Windows V/7 probeert men het overigens wel, dus mogelijk dat in de toekomst het probleem wel de wereld uit is...
[...]

Het besturingssysteem is op orde, je kunt gewoon werken met een systeem dat out-of-the-box ook met beperkte rechten kan werken...
Niet echt, veel applicaties vereisen admin rechten. Bovendien is het veel te makkelijk om toch onder admin te draaien. run-as zou daarnaast een wachtwoord moeten vragen bijvoorbeeld, en inloggen onder administrator zou onaantrekkelijk moeten zijn.
Waar het mis gaat, dat is dat de gebruikers ook software uit het "DOS-based MS-Windows (95-Me)"-tijdperk wilden gebruiken. Technisch was dat mogelijk, mits men admin-rechten uitdeelde aan de gebruiker die dat wilde...
Technisch gezien hadden ze hier best een andere oplossing voor kunnen bedenken, desnoods een modus die herkent dat het om oude software gaat en die met admin rechten draaien, of telkens een wachtwoord vragen om zo'n app op te starten.
Heb je het eigenlijk wel eens geprobeerd zonder admin rechten te werken?

Dat was 8 jaar geleden moeizaam, maar tegenwoordig geen enkel probleem! Bij mij op het werk heeft geen enkele gebruiker admin rechten op zijn XP computer. En alle software werkt gewoon zonder enig probleem, en dat al vele jaren! En dat is een wetenschappelijk instituut waar we dus niet alleen Office hebben,maar juist ook veel "exotische" software draaien.

Het probleem zit 'm al lang niet meer in de software. Het is gewoon een mentaliteit kwestie bij de gebruiker.
Het enige dat je Microsoft mijns inziens aan kan rekenen, dat is dat men nooit moeite gedaan heeft om de gebruiker af te helpen van dit idee
Mijns inziens kun je het Microsoft ook wel aanrekenen dat ze software developers nooit aangemoedigd hebben om programma's te schrijven die geen admin-rechten nodig hebben.
Ik heb ooit geprobeerd om een installatie (XP 64bit) te maken met een admin-account en een account voor dagelijks gebruik. Ik kan niet garanderen dat ik zelf niks verkeerd heb gedaan, maar dat was niet bepaald een succes: de helft van de snelkoppelingen zitten onder een "run as" omdat het programma anders niet werkt (vooral spellen zijn volstrekt waardeloos wat dat betreft) en de snelkoppeling naar mijn cmd prompt met admin-rechten wordt veel gebruikt. Bovendien, als je via de grafische interface iets wilt doen (bijvoorbeeld Start\Search\Search for files and folders) dan is het mij nog niet gelukt om dat met admin-rechten te doen (toegegeven, dat is niet een dagelijks en/of groot probleem, maar een keer in de zoveel tijd is het erg onhandig).
Ik snap niet waarom MS niet gewoon een model als *nix heeft gekozen
Ik zou niet weten wat er op *nix beter is...

De enige reden dat het daar werkt, is omdat ˇf de gebruikers zich perfect gedragen , ˇf dat ze Řberhaupt geen rechten hebben, omdat een (bedrijfs) administrator alles regelt. Maar als je je als gebruiker slecht wilt gedragen door met admin rechten te werken, dan kan dat gewoon. wat dat betreft geen enkel verschil. Alleen het soort gebruikers is anders.
Genoeg distrobuties die je out of the box niet grafisch als root laten inloggen
De drempel is dus een stuk hoger dan bij windows
Ik snap niet waarom MS niet gewoon een model als *nix heeft gekozen, dat werkt al decennia op een relatief veilige en gebruiksvriendelijke manier out-of-the-box.
Dat hÚbben ze gedaan, in Vista. UAC werkt EXACT hetzelfde als KDESU in KDE, maar wat doen de mensen (en zelfs Linuxgebruikers)? Erop kotsen, want nu moet er opeens op Doorgaan worden geklikt (of zelfs een wachtwoord worden ingevoerd, naar gelang de instellingen van UAC), en dat hoefde in XP nooit.

MOORD, BRAND!
Mijn hoor je klagen over Vista omdat het panisch is. Het vraagt voor ALLES een wachtwoord, en dat doet Ubuntu gewoon niet. Het vroeg bij het verwijderen van een bestand 2x of ik het echt wou, en dat is gewoon 1x te veel. Daarom zeur ik over Vista. UAC op zich is niet slecht, maar de implimentatie is wel slecht. Waarom denk je dat Windows 7 daarin verbeterd is?
Als jij XP installeert dan word je automatisch Administrator in de proffesional editie tenminste.
[...]
Wacht even, omdat de gebruiker de gewoonte heeft om standaard als administrator te werken, is MS-Windows niet in orde? Zo'n bewering gaat wel heel erg ver, op zich kun je namelijk een MS-Windows XP systeem goed inrichten, zodat je met beperkte rechten wel degelijk in staat bent om de computer goed te gebruiken - dat zoiets niet gebeurt is vers 2.
Installeren als Administrator an sich prima is, maar van dat er daarna een standaard-gebruiker aangemaakt moet worden, VOORDAT de netwerk-kabel aangesloten wordt
is iets waar de gewone gebruiker geen benul van heeft, en dat kan heel simpel worden afgevangen door een wizard met instructies.
Het enige wat je Microsoft mogelijk kan verwijten, dat is dat men het wel erg gemakkelijk gemaakt heeft om met administrator-rechten te werken - op het moment dat ze het moeilijker gemaakt hadden om als administrator te werken zou de software ook eerder aangepast zijn t.o.v. het kunnen werken als een normale gebruiler.
Probleem is dat vele applicaties, met name die overgenomen uit het W9x tijdperk, maar ook door-ontwikkelde en zelfs nieuwe applicaties niet fatsoenlijk werken zonder admin-rechten, en daar horen zelfs Ms-Applicaties bij. Ms wist dat en het is ook de reden dat standaard ALLE gebruikers aangemaakt worden met Administrator rechten en daarna afgewaardeerd moeten worden. Doel was het de gebruiker de overstap makkelijker maken en dat is ten koste gegeaan van de beveiliging.

Als men dit goed had willen doen, dan had men destijds al een sandbox of een virtueel OS (ala XP-mode) in moeten bouwen.
Het grote probleem is dat veel software (met name spelletjes) niet werkt zonder administrator rechten. Dat is iets wat Microsoft is aan te rekenen omdat er jarenlang nooit serieus iets aan beveiliging is gedaan en ook de ontwikkelaars voor het Windows platform nooit goed zijn opgevoed. Nu bijna 10 jaar na het incident met de code-red worm is het nog steeds niet goed voor mekaar.
Waarom moet je Administrator om infecties op te lopen?
Toen ik nog XP als dual boot had. (jaren terug) Liep mijn XP ook infecties op door huisgenoten in gast mode. Ik gebruikte toen al Debian maar de pc was de dichtste bij de geru.
Om de zo veel tijd weer eens onder XP een spelletje spelen. ratel ratel ctl-alt-del.
En je ziet processen lopen die er niet horen te zijn.
Als GAST zou je alleen maar "user mode" virussen moeten kunnen krijgen. Maar aannemelijk is het dat die GAST ook gewoon admin rechten heeft omdat je zonder die rechten niet echt veel kunt doen in XP. Veel XP programma' s draaien namelijk alleen onder (local)admin rechten omdat ze bijvoorbeeld schrijven in de Program Files map enz. Daar had Vista in het begin ook heel veel hinder van doordat veel XP programma's gewoon niet werkte met user rechten. Veel gebruikers zetten UAC uit, maar dat is natuurlijk niet de oplossing.
Inmiddels zijn veel programma's verbeterd en houden ze hun data netjes binnen het profiel van de gebruiker, iets waar Windows 7 nu de vruchten van plukt maar te danken is aan met veel verguisde Vista.
Als je gast echt onder het gast account werkt zonder admin rechten dan kan die gast nooit infecties veroorzaken in C:\Windows of in All Users, tenzij de rechten van de mappen hebt aangepast natuurlijk... De infectie zou beperkt moeten blijven tot het Gast profiel. Zeker geen rootkit (tenzij je die rootkit infectie al had want via die weg kan overal omheen...).
Overigens geef mij maar beveiliging met rwxrwxrwx flaggen in plaats van die ACLs, MS heeft het toch wel knap ondoorzichtig en ingewikkeld gemaakt.
Veel XP programma' s draaien namelijk alleen onder (local)admin rechten omdat ze bijvoorbeeld schrijven in de Program Files map enz
Het is vaak zoooo eenvoudig voor een tweaker om even uit te zoeken op welke files/regkeys die schrijfrechten nodig zijn. Vaak zijn het er maar enkele.

Even aanvullende rechten zetten op deze specifieke bestanden en draaien maar. Ik heb er veel aan het werk gekregen op deze relatief (meest) veilige manier.

edit:typo

[Reactie gewijzigd door roller12358 op 13 februari 2010 23:21]

Tja, ik vind het een inferieure oplossing als je het bijvoorbeeld vergelijkt met zo'n beetje elk ander OS,
Die opmerking slaat nergens op want je kunt met Windows, ook bij XP, gewoon als standaard user werken net zoals bij elk ander OS.

Dat dit niet wordt afgedwongen door Microsoft komt doordat veel gebruikers het niet als gebruikersvriendelijk ervaren en omdat niet elk (ouder) programma daar mee kan omgaan. Bij Vista, waar het veel beter op orde is, was juist de grote klacht dat het niet compatibel genoeg was. Dus wat wil je nu?
De vraag is dan wel of de virusscanner niet ge´nstalleerd is nadat de infectie plaats vond. Windows XP systemen zijn niet de nieuwste dus de kans dat er nu een virusscanner versie op staat die pas recent rootkits kan detecteren is vrij groot. En detecteren nadat iets ge´nfecteerd is, is een stuk lastigere.
atapi.sys dat is een driver uit system32/drivers. En na vervanging is de crash weg.
Windows update moet zorgen dat Windows de laatste software heeft.
een atapi met een root kit is echt niet de laatste officele versie.

En vervanging was voldoende dus een md5 checksum ook.
Ik snap de opmerking met d5 checksum niet helemaal ...

Veel 0-day rootkits zijn - zo ongeveer per definitie - ondetectable voor de meeste AV oplossingen en na installatie vermommen rootkits de betreffende gemodificeerde driver (atapi.sys in dit geval, maar ook heel vaak ndis.sys) als het orginele bestand. Zowel qua file-size als md5 checksum en zodanig is het vanaf een geinfecteerd systeem moeilijk te bepalen of het bestand gemodificeerd is of niet.

Vaak zijn er wel andere aanwijzingen; afwijkende file-modificatie datum, of het creeeren / copieeren van een bestand met dezelfde naam (b.v. ndis.sys) op een willekeurige lokatie op de HDD mislukt (= hele sterke hint).

Een dergelijk systeem is trouwens ook "online" te deinfecteren; door handmatig in het Windows Registry de betreffende boot-time service op disabled te zetten en dan te rebooten. Zonder ratapi.sys of ndis.sys automatisch op te starten, blijft Windows gewoon werken. Vervolgens zijn die drivers dus niet geladen en kun je 'orginele' bestanden terugzetten en 'normale' antivirus/malware de boel laten opruimen. Vergeet daarna alleen niet het start-type van de betreffende driver weer terug te zetten ...

PS: Een offline (= b.v. boot CD) virusscanner draaien is uiteraard wel verstandiger, maar niet altijd bij de hand ...

[Reactie gewijzigd door SKiLLa op 13 februari 2010 14:38]

Zijn punt is waarom zit windows zo in elkaar dat rootkits niet te detecteren zijn. ;)

Hoe het erop is gekomen is niet van belang, al heb je het er zelf opgezet desnoods, of heb je een illegale versie gebruikt of is die gewoon dor de beveiliging heen gekomen, want geen enkele scanner vind altijd alles en op elk moment.

Waarom is er een systeem die dit soort acties(lees:virussen, mailware, ect) juist in de hand speelt. Waarom doet MS hier al jaren niks aan om dit niet meer mogelijke te maken en alle rootkits wel gevonden kunnen worden door virusscanners.
Op de zelfde manier als ieder ander OS. Het probleem met een rootkit die bijvoorbeeld binnenkomt met een distributie van dubieuze herkomst (XP, Vista, Windows 7, Suse, Ubuntu, Red Hat, etc. etc.) is dat deze rootkit zo goed geschreven kan zijn dat hij de boel afvangt.

Stel de rootkit zit in atapi.sys of in een ander bestand wat al in begin van opstart geladen wordt (dat kan op ieder os zo zijn). En het OS doet een controle op de size, of op MD5 checksum of iedere andere property die interessant is om te controlren of het bestand goed is. Dan kan een goede rootkit altijd de verwachte waarde terug geven.

Stel je doet een patch of hotfix door bestand te overschrijven terwijl de rootkit is geladen. De rootkit doet dan gewoon een filter/redirect of wat dan ook en slaat de benodigde gegevens op. Het OS en ieder ander programma denkt gewoon, die is goed gegaan terwijl de rootkit gewoon zijn interne database bijwerkt.

Rootkits hebben als eigenschap dat ze, zolang ze zijn geladen totaal verborgen zijn voor ieder proces wat na hun geladen wordt. Of dit nu Windows, Linux of OS/X is. Dat is het verradelijke van een rootkit. Rootkit heet ook niet voor niets rootkit (term komt overigens uit de Unix wereld), want het is een onderdeel van het OS wat als eerste wordt geladen en niet is te detecteren zonder te booten vanaf een ander medium.

Daarom is het zo gevaarlijk om te zeggen dat je Virusscanner niets ziet, of te zeggen ik heb geen last van virussen. Des te meer reden om je OS altijd van een vertrouwde bron op te halen. Een OS vanaf een torrent is vragen om problemen.

@swerver: Het probleem met een Rootkit is dat je er nooit achter kan komen zelfs niet met een Virusscanner. Enige methode is dat je met een Virusscanner kan voorkomen dat je een rootkit krijgt, maar als je al een rootkit hebt voor de virusscanner er op staat dan kom je er nooit meer achter.

Overigens heb ik uit eigen ervaring gezien dat bijna (75%+) alle torrents via Piratebay van zogenaamde samengestelde OS DVD's van Windows XP, Windows Vista en Windows 7 een rootkit on board hadden. Installeer je deze dan kom je er nooit achter zonder de juiste tools. Reden te meer om ze daar ook niet weg te halen.

Overigens zijn sommige rootkits zo goed en stabiel dat ze nooit een BSOD genereren of andere problemen geven. Een echt goede rootkit zal ook alleen maar werken als je systeem idle is.

Overigens zijn er een aantal rootkits die updates zelfs goed verwerken. Die saven de update van bijvoorbeeld atapi.sys als een ander bestand en filteren de requests door naar dit tweede bestand en je vindt dat bestand nooit terug.

Ooit eens een rootkit gezien die zelfs stil was als je Wireshark of Netmon aan had staan. Die zag het proces en was stil. Wireshark renamed naar moviemaker.exe en toen gestart en toen zag je opeens wel TCP verkeer. Prachtig stukje programmeerwerk.

[Reactie gewijzigd door Wim-Bart op 14 februari 2010 02:47]

omdat dit simpelweg ONMOGELIJK is. Windows wordt door de GROTE meerderheid van de mensen gebruikt... zelfs als MS alles dicht timmert dan blijft er nog altijd de vraag hoe lomp een mens is... de eindverantwoordelijkheid ligt altijd bij de gebruiker...

Om eerlijk te zijn ik durf perfect een nsysteem draien ZONDER av en dan ben ik vrijwel zeker dat na 6maand intensief gebruik mijn systeem nog beter draait/cleaner is dan die van mijn vriendin / neef / ma / pa / Zelfs nadat ik mijn systeem 2jaar gebruik en zij elke 6 maand een clean install zouden doen (lol goei grap he) dan zou mijn PC nog steeds beter draaien na 2 jaar dan hun PC na 6maand...

een gebruiker is per defenitie achterlijk... (***.jpg.exe is geen foto, ***.mp3.bat is geen MP3...) en van die simpele dingen dat niemand blijkt te snappen...
Inderdaad, ik heb sinds mijn eerste computer (de C-64) nog nooit een virusscanner voor continu gebruik geinstalleerd, en ik heb ook nog nooit een virus gehad behalve natuurlijk Blaster.

Ik heb wel geinfecteerde bestanden gehad, die verder nooit zijn uitgevoerd zodat mijn computers nog nooit problemen heeft ondervonden.

Nu vraag je je natuurlijk af hoe ik weet dat ik geen virussen heb gehad als ik geen virusscanner heb, maar ik heb wel eens een vermoeden gehad dat ik een virus had (traag systeem en bsod's) maar bij controle door het installeren van een virusscanner bleek dat niet het geval. Meestal waren dan crappy drivers of software de oorzaak van trage systemen en bsod's...
Tja, ik heb zelf ook een half jaar zonder av gedraaid, zonder problemen. Toen wilde ik even aan de hand van specificaties (schermgrootte, cpu) het precieze typenummer opzoeken van de laptop thuis, (was het nou 5720 of 7520). Google kwam met een site met een betrouwbaar klinkende url, en toen was het bekeken: Drive-by-install. Zelf een virus verwijderd, maar naderhand bleken er nog 6 meege´nstallerd te zijn, die Bitdefender Online en MS removal tool niet vonden.

Kortom, je kunt veel voorkomen door bewust te zijn van wat je doet, maar sommige dingen houd je zelfs dan niet tegen. Wel is het zo dat zelfs het beste AV-product niet alles vind en dus dat zelf nadenken en dus niet overal op klikken nodig blijft, anders krijg je toch wel een virus binnen.

[Reactie gewijzigd door BeosBeing op 14 februari 2010 20:39]

Swerfer:
Gelukkig is jouw PC ook niet aan internet gekoppeld en bezoek je nooit websites.

Na´ef zijn kun je niets aan doen, maar om er nou trots op te zijn...
@murderface:
***.jpg.exe is geen foto
Maar Windows is standaard wel zo ingesteld dat zo'n bestand als ***.jpg wordt getoond.

En bovendien: hoe moet een gebruiker weten welke extensies "gevaarlijk" zijn en welke niet? Is een .xlsx niet gevaarlijk en een .xlsm wel?!? Gebruikers zijn niet achterlijk, de meeste OS'en zijn veel te complex voor niet-geeks.

Daarom zie ik wel toekomst weggelegd voor bijvoorbeeld de iPad. Er zijn gewoonweg geen uitvoerbare bestanden die je kunt downloaden. En zelfs als je iets van de AppStore installeert weet je zeker dat het weg is als je de applicatie weer afsluit. Je kunt zo'n apparaat gewoon niet instabiel krijgen door er mee te mailen, surfen of allerlei apps op te installeren.

[Reactie gewijzigd door Frank-L op 13 februari 2010 16:27]

Maar Windows Explorer laat eveneens zien dat het in het geval van .jpg.exe om een uitvoerbaar bestand gaat, juist omdat de doorsnee gebruikers niets van die extensies afweten toont Explorer in leesbare text over welk type bestand het gaat.

Trouwens, als je een .exe download zul je altijd een waarschuwing krijgen van je browser, en nog eentje als je die .exe opent.
@murderface: Je legt inderdaad de vinger op een van de zere plekken van de constructie van Windows. Om te beginnen staan de extensies standaard op "niet tonen", dat is al de helft van het probleem. De andere helft van het probleem is dat Windows geen fundamenteel onderscheid maakt tussen data en executables, behalve dan door ze toevallig een andere extensie te geven. Veel andere OS'sen kiezen voor solidere oplossingen zoals een execute attribuut en/of een mime filetype en ga zo nog maar even door.
Dit komt door de "leuke" standaard instelling van Windows om bekende extensies
niet te laten zien.
door nu een .exe bestand er uit te laten zien als een .jpg (inc. bijbehorend icoontje
klikt elke minder ervaren gebruiker hier op.
met alle gevolgen van dien.
Bingo, ik draai al 3 jaar zonder AV en firewall. Het enige dat draait is Threatfire, voor als ik toch eens was nasties tegenkom, 1x gebeurd na een dubieuze download die ik al verdacht vond.

Ik scan elke 2 maanden nutteloos met Malwarebytes Anti-Malware, nooit iets gevonden en niets aan de hand. :)

Als je weet wat je doet is je pc gewoon veilig .. het probleem is dat 99% van de gebruikers niet weten wat ze doen. Ze gebruiken de techniek maar begrijpen het niet.

Daarnaast zijn heel veel ook gewoon echt te achterlijk voor woorden zoals je zegt. Welke debiel klikt er nog steeds op "Hii I saw this picture of you!!1! http://www.pictureofyounaked.com/nasties/picture.jpg.exe " terwijl het van iemand komt die sowieso al nooit engels tegen je zou spreken |:(

[Reactie gewijzigd door guitarzphreak op 14 februari 2010 02:25]

Ik rijd al 3 jaar motor zonder helm, nooit ergens last van gehad.
Het feit dat jij het snapt zegt niets over de mensen die dat niet snappen.

Het overgrote deel van pc-gebruikers heeft geen en wil geen kennis hebben van dit soort zaken en wil zich daar ook niet druk over maken. Systeembouwers die hun gebruikers behoeden voor dit soort zaken door een simpele ui en afscherming van alle randzaken die voor een gebruiker niet ter zake doen hebben de sleutel in handen voor duurzame groei in de toekomst. Ik hoef geen voorbeelden te noemen...
een gebruiker is per defenitie achterlijk... (***.jpg.exe is geen foto, ***.mp3.bat is geen MP3...) en van die simpele dingen dat niemand blijkt te snappen...
Plus het feit dat een hoop mensen de extenties niet zichtbaar hebben staan, dat maakt het er niet overzichtelijker op. (Ikzelf heb het wel zichtbaar staan).
Omdat het helemaal niet nodig is. Als je gewoon ingelogd bent als een normale user dan kan er helemaal niet naar system32 geschreven worden. Maar goed, 90% van de mensen is ingelogd als administrator, en dan houdt gelijk het hele veiligheidsverhaal wel een beetje op. Hier heeft Microsoft wel wat aan gedaan: UAC. Het is nu goed mogelijk om je computer als normale user te gebruiken en alleen elevated privileges te krijgen wanneer je die echt nodig hebt. In XP kon je als normale user weinig omdat veel programma's onder Windows zonder goede reden administrator rechten nodig hadden - waar UAC ook wat aan heeft gedaan door programmeurs te dwingen hier beter over na te denken - waarop je helemaal moest uitloggen en weer als administrator moest inloggen.
Een rootkit zorgt er juist voor dat het niet detecteerbaar is, deze zit zo diep in het systeem dat hij alle system calls opvangt en zorgt dat hij onzichtbaar blijft dit kan in alle OS'en en niet alleen in die van microsoft. Overigens is dit op de 64 bit versie van windows een stuk moeilijker omdat daar alleen maar digitaal gesigneerde code in de kernel mag draaien, en ik ga er vanuit dat microsoft geen rootkits digitaal ondertekend
waarom zit windows zo in elkaar dat rootkits niet te detecteren zijn.
Niet Windows, maar Rootkits zitten per definitie zo in elkaar.
PS: Een offline (= b.v. boot CD) virusscanner draaien is uiteraard wel verstandiger, maar niet altijd bij de hand ...
Ik heb hier een machine draaien waar nog een ouderwetse PATA drive (20 GB ofzo) extra in hangt. Die had ik ooit nodig om wat trucen uit te halen bij het installeren van het "echte" OS, maar die heb ik daarna laten hangen. Af en toe is het best handig om je systeem te kunnen booten "zonder het OS". Een soort-van offline virusscan draaien had ik nog niet aan gedacht, maar is inderdaad ook een leuke mogelijkheid.
Dus, tip voor iedereen die nog een IDE-controller over heeft (of een USB-poort): hang er een extra schijf (stick) in met een extra OS (bij voorkeur dezelfde versie als je primaire OS). Handig om problemen op te lossen, virussen eraf te schoppen, te testen of drivers werken (zoniet, gewoon opnieuw installeren, er staat toch niks belangrijks op) en misschien nog wel meer. Ik heb het specifiek niet over bootable CDs omdat ik het onhandig vind dat je daar niet naar kunt schrijven (bijvoorbeeld: virusdefinities updaten), maar als je dat zelf geen probleem vindt dan kan een CD natuurlijk ook.
Ik heb zelf een dualboot op mijn laptop en de 2e virusscanner staat op de ubuntu-partitie
Knap virus of rootkit dat ie op linux kan schrijven terwijl die window-partitie ext2/3/4 niet kan lezen
De hele essentie van een root kit is dat deze eigenlijk maar heel moeilijk te vinden is door een AV scanner, laat staan door het OS zelf.
Uhm.. dit is gewoon een algemeen probleem, ook linux/macosx zijn niet veilig voor dit soort besmettingen..
En daarom zijn er alternatieven als BSD en MINIX.

Windows, UNIX en Linux werden in de begindagen geen van drie ontworpen om veilig te zijn, maar vooral om snel iets werkend te krijgen. Niet om het 'goed' te doen, dus logisch dat ze alle drie zuigen waar het om veiligheid gaat. Natuurlijk, achteraf is geprobeerd dit te pleisteren, maar als de wortel rot is wordt het lastig dat via de bladeren te behandelen.

Als willekeurige software met admin-rechten permissie heeft om alle bestanden - inclusief systeembestanden - te bewerken is het vragen om dit soort problemen.

Windows en Linux zijn gewoon onveilig door gebrek aan compartimentering. Iets met 'admin rechten' wordt ten onrechte door het besturingssysteem vertrouwd (dus ook als het malware is!) en krijgt toegang tot alles waar de kernel toegang toe heeft. Dit is gewoon een verkeerd ontwerp, maar wordt helaas al langer dan twintig jaar gebruikt . Terwijl betere alternatieven al sinds de voorloper van UNIX beschikbaar zijn.

[Reactie gewijzigd door kidde op 13 februari 2010 21:28]

macosx is voor een belangrijk deel gebaseerd op BSD. En BSD is ook niet veilig voor rootkit besmettingen.
Zwaar mee eens. In UNIX-afgeleiden kan het soms lijken alsof je als gewone gebruiker r/w access hebt op een bestand of device terwijl het in een superieure laag alsnog tegengehouden wordt.
Als root bijv. de floppy drive op /home/floppy r/w heeft gemount, toegangelijk voor normale gebruikers kan de toegang voor gebruiker Jan alsnog ontoegankelijk blijken omdat hij niet in de groep zit die de device-file /dev/floppy mogen benaderen.

Bij Windows heb ik altijd het idee dat gewone gebruikers default alles mogen en er een lijst gehanteerd wordt van zaken die zij toch niet mogen.
Ik probeerde net eens Project IGI te spelen op WinXP-sp3 als gewone gebruiker (wat ik dus ook nooit doe) maar die krijgt gelijk last van fatale uitzonderingen. Ik zou niet weten hoe dat dan moet zonder admin te zijn.
Als het virus uitkomt op maandag ochtend en de definitie file op maandag middag loop heb je de kans geinfecteerd te raken. Meestal op dat moment zeg maar die halve dag raak je geinfecteerd. 2e Is dat de meeste rotzooi de goede werking van de antivirus dan blokkeerd op een af andere manier. Of dat het dan al zo diep in je pc zit dat de virusscanner het niet meer kan verwijderen omdat windows de driver eerder laat als de virusscanner.
Het gaat eigenlijk nog een beetje verder. Eigenlijk moet het zijn: Als het virus op maandag ochtend ontdekt wordt, ...

In het geval van bots, kan dat soms zelfs behoorlijk lang duren voordat het bestaan ervan ontdekt wordt.
Sommige mensen denken echt dat als ze een virusscanner hebben, dat er dan nooit een virus op hun systeem komt. En dat ze dan zomaar overal heen kunnen surfen zonder ooit een virus op te lopen ... Dan zeg ik: droom ff lekker verder. Ook al heb je een virusscanner en ook al istie nog zo goed, 100 % garantie heb je nooit. Ik heb al heel wat systemen in mn handen gehad met daarop verschillende scanners ge´nstalleerd die toch barstens vol zaten met meuk. Er zijn tegenwoordig zo verschrikkelijk veel manieren waardoor een systeem besmet kan raken, als een virusscanner altijd alles grondig zou moeten controleren wat er op een systeem gebeurt, dan zou je een systeem hebben wat zo traag is als een slak.
De schuld voor de BSOD's is nu inderdaad niet meer bij Microsoft te leggen, maar je kunt je wel afvragen of het Řberhaupt normaal is dat een atapi.sys besmet kan raken en virusscanners het hier blijkbaar moeilijk mee hebben.
Het virus zit ook niet in atapi.sys, maar de rootkit maakt waarschijnlijk een function call ergens binnen atapi.sys dat de BSOD veroorzaakt.

Ik twijfel of dit bericht klopt, het legt alleen een link tussen de vermeende rootkit en een BSOD. Elke andere applicatie met dezelfde call zal een BSOD veroorzaken.

Ik vind het nieuwsitem een beetje onvolledig.
zit je dan niet ontzettend te zoeken naar een manier om MS te beschuldigen.

persoonlijk vind ik dat omdat jij ook jarenlang windowsXP hebt gebruikt en hier als tweaker iets van gemerkt zou moeten hebben, dat het jouw schuld is! schaam je 8)7
Op het moment dat blijkt dat deze (en mogelijk andere) rootkits de oorzaak is dat er na het installeren van de patches een BSOD ontstaat, dan rijst bij mij wel de vraag in hoeverre je dan Microsoft nog verantwoordelijk kunt stellen voor het feit dat de patch een BSOD oplevert.
Uiteraard is Microsoft daar helemaal niet voor verantwoordelijk. Ze ontwikkelen hun patch op, en voor een systeem zonder infecties. Je gaat me niet vertellen dat Microsoft zou moeten gaat testen of hun updates goed samenwerken met rootkits en andere malware. Dat zou wel Úrg hilarisch zijn :D
Natuurlijk kan je ze niet vragen een werkende patch af te leveren. Maar je kan je afvragen waarom ze geen Hash verificatie van het bestand hebben uitgevoerd alvorens het te patchen. Bij een aantal hotfixes van SQL Server doen ze dat namelijk wel (hash verificatie om te testen of je de voorgaande patch wel echt had aangebracht). Kan natuurlijk zijn dat dit bestand ook in een normaal gebruiksscenario vaak wordt aangepast of dat er heel veel versies van zijn maar het voelt wat klungelig
Maar je kan je afvragen waarom ze geen Hash verificatie van het bestand hebben uitgevoerd alvorens het te patchen
Dan nog zou dit probleem op kunnen treden. Immers, een bÚÚtje rootkit zal de juiste, door de installer verwachte, waarde teruggeven, zodat voor het systeem alles in orde lijkt.

Zou een rootkit dat niet doen zou hij veel makkelijker ontdekt kunnen worden. Niet alleen door zo'n installer, maar ook door antivirusscanners, of door Windows zelf (middels SFC) etc.
Maar blijkbaar wel realistisch...
Hier heb ik net ook wat over gepost op meuktracker Hitman Pro.

Er is geen ENKELE antivirus/spyware programma die de laatste versie van de TDS rootkit kan verwijderen, alleen Hitman Pro.

http://www.wilderssecurity.com/showthread.php?t=265297

De eerdere versies van de rootkit hebben de meeste antivirus programma's signatures voor, maar die kunnen ze niet verwijderen. Bijvoorbeeld Symantec/Norton: https://www-secure.symant...logs/tidserv-and-ms10-015

Hitman Pro heeft deze rootkit nu inmiddels 16000 keer verwijderd, op drie kwart van die 16000 pc's stond een antivirus programma die up to date was.

In feite is dit eigenlijk het hardnekkigste virus ooit.
En wat grappig is, door de update van microsoft weten mensen dat ze de rootkit hebben, omdat ze hun pc niet meer kunnen opstarten....
En wat grappig is, door de update van microsoft weten mensen dat ze de rootkit hebben, omdat ze hun pc niet meer kunnen opstarten....
neen, dit is allerminst zeker. de rootkit is mogelijk een van de oorzaken van de 'blue screen of death' maar niet de enige.

die researcher uit het artikel is het 3x tegengekomen, dat die driver er verantwoordelijk voor was. maar is dit een representatieve steekproef op duizenden misschien wel honderduizenden BSOD gevallen dankzij deze update?

het tweakers artikel geeft zelf ook aan dat het allerminst zeker is dat de rootkit de enige oorzaak is van het BSOD probleem:
De Tdss-rootkit is mogelijk niet de enige aanleiding voor de bsod's. Wellicht zijn er andere corrupte drivers die in combinatie met de update problemen veroorzaken.
het staat een beetje onderaan het artikel en bijna alle reageerders lezen er over heen lijkt het omdat ze denken dat het BSOD alleen icm met de rootkit optreedt maar niets is zeker. en het is dus wishfull thinking dat het probleem nu opgelost is anders had microsoft de update MS10-015 toch al weer online gezet?

edit@hai
Microsoft zal eerst willen weten hoe groot dit malware probleem echt is.
malware probleem != BSOD probleem. ik vermoed dat gelijkstellen van die twee toch een vorm van wishfull bagatelliseren is.

wellicht dat ms aan het nadenken is hoe de patch te herschrijven zodat het beter om kan gaan met situaties die verschillend zijn tov de situatie in het ms lab? wellicht dat ze de patch wat defensiever gaan coden ipv hem zomaar uit te rollen en een BSOD te veroorzaken op een systeem dat hier eerder geen last van had? wellicht dat er fundamenteel iets over het hoofd gezien is dat door het testen van ms niet naar boven gekomen is?

hoe je het ook went of keert de ms patch veroorzaakt BSOD's op windows xp en dat is onafhankelijk van de oorzaak toch wel een grote misser.

edit2@hai
De patch veroorzaakt helemaal niet deze problemen maar zorgen dat een bestaand probleem zichtbaar wordt. Als je remmen gesaboteerd zijn door een crimineel en je toevallig hebt een lekke band dan is het ni
dit is onjuist, zelfs als je gelijk zou hebben dat de BSOD alleen door de combinatie van malware en patch veroorzaakt wordt (nogmaals, waar geen zekerheid over is) dan nog klopt het niet.

want het bestaande probleem (rootkit) resulteert niet in het andere probleem (BSOD). die BSOD is pas mogelijk als de patch van ms op een windows xp systeem geinstalleerd is. dus de patch veroorzaakt wel degelijk _het_ probleem (BSOD) alleen zijn er _mogelijk_ verzachtende omstandigheden te vinden in de rootkit, maar dat is allerminst zeker!

je haalt dus twee problemen, rootkit en BSOD, door elkaar.

[Reactie gewijzigd door BreezahBoy op 13 februari 2010 15:34]

neen, dit is allerminst zeker. de rootkit is mogelijk een van de oorzaken van de 'blue screen of death' maar niet de enige.
Er kan allerlei malware verantwoordelijk zijn voor het beschadigen van systeem drivers. Rootkits zijn echter wel een voor dehand liggende oorzaak omdat rootkits altijd gemodificeerde low level drivers nodig hebben om verborgen te blijven.

Het is zelfs te verwachten dat een deel van de crashes gerelateerd zijn aan andere oorzaken zoals falende hardware. Bij dergelijk grote aantallen computers zullen er bij een update altijd meerdere verschillende issues naar boven komen.
anders had microsoft de update MS10-015 toch al weer online gezet?
Microsoft zal eerst willen weten hoe groot dit malware probleem echt is. Mogelijk is het voor Microsoft zinvol om eerst een nieuwe versie van hun Malicious Software Removal Tool te releasen om de meest bekende malware oorzaken die deze problemen veroorzaken te verwijderen en daarna pas deze kernel update alsnog door te voeren.

edit:
reactie op breezahboy

je claimt dat rootkits niet de enige oorzaak zijn maar die oorzaak is onderzocht en bevestigd en er is geen andere oorzaak bekend.

De patch veroorzaakt helemaal niet deze problemen maar zorgen dat een bestaand probleem zichtbaar wordt. Als je remmen gesaboteerd zijn door een crimineel en je toevallig hebt een lekke band dan is het niet de reparatie van de lekke band die de crash van je auto veroorzaakt.

De rootkit verandert een essentiele driver voor windows. De patch vervangt een aantal kernel modules die comuniceren met de betreffende driver. De geinfecteerde driver conflicteert met deze communicatie en veroorzaakt bijvoorbeeld een out of bound error (of zoeits) in kernelspace en daarmee een BSOD. De gepatchte modules functioneren daarbij gewoon correct zoals deze horen te functioneren.

[Reactie gewijzigd door 80466 op 13 februari 2010 15:36]

dit is onjuist, zelfs als je gelijk zou hebben dat de BSOD alleen door de combinatie van malware en patch veroorzaakt wordt (nogmaals, waar geen zekerheid over is) dan nog klopt het niet.
Nee, dat is niet juist.
De BSOD wordt veroorzaakt doordat de geinfecteerde kernel driver niet meer doet wat er van die software verwacht wordt. Dat blijkt echter pas als er vernieuwe kernelmodules komen en de geinfecteerde driver niet met die modules kan communiceren. De nieuwe modules maken dus duidelijk dat er een geinfecteerde driver is ondanks dat de nieuwe moules zelf gewoon correct functioneren en op niet geinfecteerde systemen prima werken.

De nieuwe modules veroorzaken dus niet de crash maar de geinfecteerde driver die niet met de neiuwe modules kan omgaan zoals de originele driver dat wel kan.
Hier een YouTube filmpje waarin duidelijk wordt dat TDL3 rootkit oorzaak is van BSOD.
"Microsoft verricht momenteel onderzoek en heeft update MS10-015 uit voorzorg uit Windows Update gehaald."

Dat is niet het geval, de betreffende update staat nog steeds op MS Update.
Microsoft zegt zelf van niet:

http://blogs.technet.com/...-installing-ms10-015.aspx
We also stopped offering this update through Windows Update as soon as we discovered the restart issues. However, those using enterprise deployment systems such as SMS or WSUS will still see and be able to deploy these packages.
Dan klopt er ergens iets niet want vanmiddag stond ie er nog.

edit: http://img18.imageshack.us/i/msupdate.jpg/ . via RyanVM forum, XP post SP3 pack topic.

[Reactie gewijzigd door Raven op 13 februari 2010 18:10]

Stond die ook automatisch aangevinkt? In Window 7 merkte ik dat hij nog wel in de lijst stond, maar het vinkje standaard uit stond.
Uhm, dat weet ik niet, screenshot is niet van mij ;)
Kan allicht morgen eens kijken als ik mijn XP dvd weer bij ga werken, is weer eens nodig. Zal dan eens zien of ie er nog (aangevinkt en al) bij staat.

[Reactie gewijzigd door Raven op 13 februari 2010 21:46]

Net even nagekeken na bijwerken XP dvd.
Update staat er nog, aangevinkt.

Artikel mag dus even aangepast worden daar er staat dat ie weggehaald zou zijn.

[Reactie gewijzigd door Raven op 14 februari 2010 16:13]

Wat ik me nu afvraag is; waarom maakt MS het uberhaubt mogelijk om iets als een rootkit te installeren. Waarom bestaan ze uberhaubt er is vast ook een meer zichtbaar systeem denkbaar.
Wat ik mij afvraag is wat het nut is van sommige features van Windows, waar met name rootkits, torjans etc dankbaar gebruiik van maken. Daarmee doel ik op files en folders hidden maken, hidden processen, en hidden registry keys. Waar is het nou goed voor? MS gebruikt het zelf ook niet of nauwelijks.
De "hidden" waar je bij "Hide file and folders" mee te maken hebt is een hÚÚl ander soort hidden dan een rootkit.

Bij de "hide files and folders" optie is hij voor het systeem nog wel zichtbaar. Bij een rootkit is hij ook voor het systeem onzichtbaar.

Daarom is het ook redelijk dom om zonder virusscanner te werken en alleen af en toe is een online virusscan te doen. Want die zal dus niks vinden, omdat de rootkit dat allemaal netjes verbergt. En intussen de gebruiker maar denken dat zijn systeem 'schoon' is.....

Een scan met een specialistisch pakket, zoals bijvoorbeeld RootkitRevealer van Microsoft zelf bied meer kans op succes, maar ook daar geld dat dit geen waterdichte methode is.

En natuurlijk hebben al die dingen wel een nut, ook al word het maar weinig gebruikt.

Veel rootkits (en trojans/wormen/virussne) komen nog altijd via PEBCAK binnen (PEBCAK = Problem Exists Between Chair and Keyboard), doordat ze op elke 'BritneySpears-Nude.exe" die langskomt klikken. En daar heb je je virus of rootkit te pakken....

Of de gebruiker draait nooit Windows Update en krijgt dus ook de fixes voor bekende security-problemen niet binnen. Gecombineerd met het hierboven genoemde PEBCAK is dat ongeveer het equivalent van het ophangen van een spandoek met de tekst "Please, hack me! Please!".

[Reactie gewijzigd door wildhagen op 13 februari 2010 13:43]

Omdat het onmogelijk is om een programma zo groot als Windows volledig bugproof te maken, een rootkit is een programma dat de maker een achterdeurtje geeft om zo misbruik van die computer te maken. Een enkele bug is hiervoor genoeg, en kennelijk werd deze 17 jaar oude bug daar voor gebruikt.

Als je deze nieuwsberichten bekijkt, is de kans groot dat met het pletten van deze bug, een behoorlijk groot botnet verdwenen is.
Die rootkit is niet het gevolg van die 17 jaar oude bug, maar die rootkit zorgt icm de patch voor die bug voor een BSOD. Begrijpend lezen.
om een programma zo groot als Windows volledig bugproof te maken,
Aha, dus de grootte van Windows is een van de problemen. Misschien moeten ze daar eens werk van maken?
Rootkits heten zo omdat ze in de UNIX (en Linux) wereld zijn uitgevonden.
Ze geven je namelijk root access op het ge´nfecteerde systeem.
Lange tijd was het niet nodig om ze voor Windows te ontwikkelen,
omdat die gebruikers toch al als administrator waren ingelogd.
Maar nu UAC gemeengoed is geworden, en er steeds meer virusscanners
worden gebruikt, kunnen ze op het Windows platform ook nuttig zijn.

Het is niet ondenkbaar de deze rootkit gebruik maakt van het 17 jaar oude lek in NTVDM.
Veelvoorkomend misverstand maar een rootkit heet geen rootkit omdat deze je administrator ('root' in unix termen) rechten geeft.

Het kenmerk van een rootkit is dat het malware is die op een dusdanig laag niveau draait dat het in staat is om zijn eigen bestaan te verbergen. Vaak is het verwerkt in drivers (die snel in het opstart proces worden gestart, voor eventuele virusscanners e.d.) of zelf in de kernel of hypervisor.

Zie o.a.: http://en.wikipedia.org/wiki/Rootkit
In linux en ieder ander OS heb je hetzelfde. Als jij een programma met beheerdersrechten uitvoert dat in je kernel gaat zitten en van daaruit verhinderd dat de bestanden van de rootkit door een virusscanner gedetecteerd worden ben je klaar. Of dat nu via een extra kernel module gebeurt of via een bestaande driver die wordt aangepast. Zolang je maar op de een of andere manier in de kernel terecht kunt komen als malware kun je je daarna zo goed als onzichtbaar maken.
De kernel van Windows XP is natuurlijk redelijk standaard, waar linux kernels behoorlijk van elkaar kunnen verschillen. Dit maakt het misschien iets makkelijker om een Windows rootkit te maken, maar een rootkit voor MacOS 10.6 of zeg Ubuntu 9.10 is prima te bouwen. Bij Windows is de doelgroep natuurlijk veel groter en waarschijnlijk ook iets makkelijker bespeelbaar.
Ik kan Microsoft hierin niets kwalijk nemen, als een rootkit conflicteert met een patch dan moet je geen pc met rootkit hebben en dankbaar zijn dat je er nu zo achter komt. Voor hetzelfde geld kom je er niet achter en worden al je documenten versleuteld waarna je wordt afgeperst of kijkt iemand vrolijk mee met alles wat je doet, jatten ze wachtwoorden en creditcardgegevens, etc...
Niet alleen MS heeft last van rootkits. Voor alle bestuurings systemen bestaan er root kits.
ms heeft eigenlijk last van 'administratorkits'...
Hoezo wordt deze vraag weggemod? Mag je geen M$ zeggen ofzo :?

Ik vind het wel een goed idee.. of het kan of niet kan ik je niet vertellen maar een md5 ofzo meesturen van alle systeembestanden en die even nalopen kan toch geen kwaad? Bovendien vind ik het al raar dat een user proces aan root files mag komen.. Voorkomt UAC dit op Windows Vista en 7? Ik gebruik OSX, daar kan zoiets in principe niet gebeuren als je je wachtwoord niet invult.. Natuurlijk zijn er ook beveiligingslekken door bugs en dergelijke.. maar de basis is goed doordacht..
Hoezo wordt deze vraag weggemod? Mag je geen M$ zeggen ofzo :?
Het is op zijn minst nogal kinderachtig.
of het kan of niet kan ik je niet vertellen
Prachtige zin
Dat gaat niet werken. De uitleg van wildhagen is correct, maar misschien wel erg kort, vandaar hier een iets uitgebreidere versie:
Het hele idee van een rootkit is dat het op een heel laag niveau in het systeem zit. Die goede MD5-waarde kun je gewoon netjes downloaden, maar dan moet je hem nog vergelijken met de MD5 van het bestand op schijf. Goed, dus we lezen dat bestand in.
Het probleem is nu juist dat je, om een bestand in te lezen, niet rechtstreeks tegen de harde schijf kunt praten "Hoi hdd, wat staat er in clusters 37, 42 en 64?", dat mag namelijk niet. [1] Goed, dan doen we het op de nette manier, we vragen de Windows API (met behulp van een system call) om voor ons het bestand in te lezen. Maar wacht, die system call is precies wat rootkits afvangen. [2] Denk aan code (in de rootkit, dus "mij" betekent het ge´nfecteerde bestand) zoals dit:
- controleer of iemand mij probeert te lezen
- nee: roep de normale system call aan en laat dat het verder afhandelen
- ja: vervang de naam van het opgevraagde bestand door de naam van het bestand met de reservekopie die ergens op de schijf verstopt is en roep de normale system call aan met die bestandsnaam
Dus als we de MD5 van atapi.sys willen berekenen dan zullen we, hoe je het ook went of keert, via de de Windows API moeten. En aangezien daar een infectie in zit zijn de resultaten daarvan niet betrouwbaar.

[1] Rechtstreeks tegen de hardware praten mocht wel in 95, 98 en ME. In NT, 2000 en XP mocht dat niet. Bij het installeren van sommige oud programma's (zoals de eerste Mech Warrior) op XP zul je zien dat de installer eruit klapt (door Windows wordt afgeschoten) met een foutmelding in de trant van "Dit programma probeert de hardware rechtstreeks te benaderen. Uit veiligheidsoverwegingen kan dit niet worden toegestaan. Het programma wordt nu afgesloten.".
Voor de duidelijkheid, programma's rechtstreeks tegen hardware laten praten is een gruwelijk slecht idee (een van de belangrijke taken van een OS (en de bijbehorende drivers) is nou juist hardware-abstractie), maar het zou rootkit-detectie wel makkelijker maken.
[2] Het kunnen afvangen / aanpassen (hooken) van system calls is in principe een nuttige mogelijkheid. Het is helaas ook zeer geschikt voor misbruik.

[...]
Het is op zijn minst nogal kinderachtig.
Kan wel zijn maar inhoudelijk is het bericht on-topic. Zie de regels.

Overigens kan je in OSX wel byte voor byte je schijf lezen en schrijven mits je je wachtwoord invoert. Dus zo gek is het IMO niet om te denken dat dat kan.

[Reactie gewijzigd door Incr.Badeend op 14 februari 2010 00:24]

Maar dat maakt niks uit, onder Windows kan je ook gewoon je HDD openen als block device en sector voor sector lezen. Alleen het probleem is dat je onder OS/X, Windows, Linux dit allemaal via een API Call moet doen en niet direct naar de IO-poorten van je controller kan schrijven of er uit lezen. En als je het via een API doet dan geeft een Rootkit je gewoon de waarden terug die de Rootkit wil geven.

Stel rootkit weet dat ie in bestand abc.bin zit op sector 6000 t/m 6300. Rootkit weet dat hij daar zit want hij zit in abc.bin. Rootkit heeft originele abc.bin tijdens infectie geschreven op 7000 t/m 6300. Dus wat doet de rootkit als sector 6120 wordt gelezen, hij geeft de inhoud van sector 7120 terug en systeem denkt dat het goed is.

Dat is dus het probleem met een rootkit. Hij kan maskeren.
Op Vista en W7 heeft geen enkel useraccount admin rechten, en zijn root files inderdaad niet beschrijfbaar door gebruikers. UAC zorgt er voor dat dat een gebruiker wel makkelijk toegang kan verlenen. De 'administrators' door op OK te drukken, de overige gebruikers door admin password in te tikken.

Inderdaad een heel goede structuur, en waarschijnlijk de enige manier om gebruikers en applicatie software zo ver te krijgen zonder volledige administrator rechten te werken.

Maar toen je bij de introductie van Vista aangaf dat dit daarom een goed idee was, werd je uitgelachen...
of het kan of niet kan ik je niet vertellen maar een md5 ofzo meesturen van alle systeembestanden en die even nalopen kan toch geen kwaad?
Kwaad kan het niet, maar helpen zal het ook niet. De rootkit zal de md5-check namelijk gewoon maskeren, en het juiste (lees: door de installer verwachte) hash terugsturen.
Bovendien vind ik het al raar dat een user proces aan root files mag komen..
Tsja, als je als admin draait, zoals standaard is in XP dan heb je alle rechten....

Het is daarom ook mooi te zien dat dit onder Vista en Windows 7 dus niet optreed, omdat je daar voor sommige dingen expliciet toegang moet geven en UAC het anders netjes tegenhoud.

Daarnaast komen veel rootkits binnen via het exploiten van known bugs (waarvoor bijvoorbeeld de user de patches niet geinstalleerd heeft). En veel van die bugs zorgen voor privilege elevation, dus dan kan de malware nog alles doen wat-ie wil.

[Reactie gewijzigd door wildhagen op 13 februari 2010 13:18]

Een beetje rootkit maskeert dat en geeft het goede resultaat weer aan de installer. Dat gaat dus niet echt werken.

Daarnaast kunnen DLL's ook vervangen worden door legitieme 3rd party tools, dan geven ze dus ook een 'fout' resultaat, terwijl het een onschuldige DLL is.
En ziedaar, je hebt een van de grootste minpunten van Windows ontdekt.
Een 3rd party tool zou NOOIT maar dan ook echt NOOIT een systeem dll mogen bijwerken/updaten/vervangen of Řberhaupt mogen schrijven in de c:\windows map...
Samen met de registry heb je dan de 2 grootste ontwerp missers van Windows.
Een 3rd party tool zou NOOIT maar dan ook echt NOOIT een systeem dll mogen bijwerken/updaten/vervangen of Řberhaupt mogen schrijven in de c:\windows map...
Met Windows Vista en Windows 7 gebeurt dat dan ook niet meer.

Als een programma dat toch probeert word dat door Windows netjes afgevangen, en word het programma "omgeleid" naar C:\ProgramData (of een andere driveletter uiteraard, waar je OS op draait). Dit gebeurt transparant voor het programma, die "denkt" dat hij hem in C:\WINDOWS wegzet.

Op deze manier voorkomt Windows dus de aloude 'DLL hell" van vroeger.

Maarja, Windowx XP, want daar gaat het hier immers om, is gewoon verouderd, die zal het overschrijven van DLL's in de systeemdirectory in principe gewoon toestaan (met een paar uitzonderingen voor enkele systeemkritische bestanden).
Een 3rd party tool zou NOOIT maar dan ook echt NOOIT een systeem dll mogen bijwerken/updaten/vervangen
Dat kan dus ook normaal ook niet. Daar heb je eerst een ernstig zero day lek of een goedgelovige gebruiker die allerlei waarschuwingen wegklikt voor nodig.
Toch gek dat dat dan onder Windows XP eigenlijk meer de regel dan uitzondering is bij installatie van software...
De fout ligt dan niet bij M$ maar zou het voor hen niet simpeler zijn om elk bestand dat ze updaten te laten vergelijken met hun origineel alvorens wijzigingen aan te brengen? Dan kan men een bericht tonen of zo.
Grote kans dat de rootkit dan de goede waarde door geeft en het systeem dus denkt dat het in orde is.
Even een goede spywaretool erop en je voorkomt dit soort problematiek
Rootkits zijn amper te verwijderen zonder dat je je hele systeem moet formatteren. Ook het voorkomen is makkelijker gezegd dan gedaan: er zijn (helaas) zat mensen die torrents downloaden en te vaak op 'Ignore' drukken als er een virus wordt gedetecteerd.
Ik hoop echt dat je dit niet meent. Rootkits op zich zijn niet zo moeilijk om te verwijderen, het probleem is gewoon ze te vinden al is dat de laatste tijd ook wel verbeterd.

Wat jij waarschijnlijk bedoelt is dat dankzij rootkit/downloader/trojan combinaties. Meestal wordt alleen de trojan gevonden en kan de downloader ongemerkt(dankzij de rootkit) weer een andere variant van de trojan er op plaatsen.

Formateren en re-imagen is natuurlijk de makkelijkste en snelste oplossing, maar dit is niet noodzakelijk.
Formateren en re-imagen is natuurlijk de makkelijkste en snelste oplossing, maar dit is niet noodzakelijk.
Mwah, ben ik toch niet met je eens. Een eenmaal gehacked c.q. besmet systeem is in principe nooit meer te vertrouwen, omdat je niet kan weten wat er allemaal gebeurd is.

Ik heb er helaas zakelijke ervaring mee, het komt wel eens voor dat er bijvoorbeeld 2 rootkits zijn geinstalleerd op een gehacked systeem. Dan ruim je er, als je hem al ontdekt, ÚÚn op, zit je alsnog met de tweede...

Zekerheidshalve zou ik dus na een hack of besmetting met een rootkit sowieso je systeem herinstalleren. Al is het maar om aan de veilige kant te zitten.
Idd. Helemaal mee eens. Ik heb hier nu ook een systeem staan wat ik een paar maanden geleden ook al helemaal schoon gemaakt heb en nageplozen. Nu was het weer zo traag als een slak, ik heb nu schone instal gedaan. Gelijk alles updaten, nieuwe drivers en dergelijke. Comple systeem image gemaakt, bewaar ik zelf en systeem kan weer terug naar de gebruiker. Dat is gewoon het makkelijkste. Dat gezeik met allerlei tooltjes en dergelijke kost allemaal veel te veel tijd en moeite. Het kan een tijdelijke oplossing zijn, maar garantie dat alles schoon is heb je nooit.
Gewoon alles installeren, alle apps en patches die er zijn, dan image maken en vervolgens pas aan het internet hangen. Dan weet je zeker dat je image schoon is (tenzij je OS uit dubieuze bron komt).

Als je dan iets hebt, formatteren, mbr opnieuw schrijven en image terugzetten.
Hoef je alleen nog maar de nieuwe patches te dl-en im plaats van alle patches sinds de relase van je OS.
Het is tamelijk gangbaar bij systeembeheer om er meteen een nieuwe harddisk in te stoppen. Ik vertrouw gecleande computers exact zoals schuldbetuigende schuinmarcherende vriendinnen.

Maar vooral de tijd en moeite die het kost om zeker te kunnen zijn dat de machine clean is (weken) weegt niet op tegen een image unattended terug zetten (minuten).

En bij erg veel pijnlijk verloren data (omdat de gebruiker backup jobs cancelde en als directeur verwacht dat jij dat moet kunnen fixen) de oude harddisk meenemen naar de schietvereniging en er 9mm of leuker doorheen jagen. Idd weg rootkit/trojan/frustratie.
ergens vind ik dat wel mooie gerechtigheid; als je zo stoer bent om niet te betalen voor je software, betaal je indirect alsnog met een gaar systeem }>
Er zijn nog veel meer mensen die er wel voor betalen en ook zo'n rootkit krijgen, simpelweg omdat de WGA zodanig zeurt dat ze om het werkend te krijgen deze WGA maar zijn gaan omzeilen.
Dat is hetzelfde als tegen iemand zeggen: pas op, je valt hier in het ravijn als je doorloopt en dat diegene toch doorloopt en vervolgens valt. Dat is het type mens waar wel heel moeilijk rekening mee te houden is ;)
Niet helemaal.
Voorbeeld :

Mijn norton doet het volgende :
- Cryptor.exe (lege vb app, met cryptor.exe als naam) wordt detected en deleted
- Renamed naar Lol.exe, en er is niks aan de hand.

Als norton dan nog gaat zeggen dat het Trojan.Gen is, dan weet je bijna zeker dat hij alleen de naam scant, en niet de rest. Dat maakt de keuze om op IGNORE te drukken behoorlijk simpel, geloof me.
Bij een ravijn kun je het tenminste nog op natuurlijke selectie afschuiven ;)
Daar kan geen enkele anti-malware oplossing tegenop.
Ben benieuwd op de oplossing van Google Chome OS zo'n situatie wel had kunnen voorkomen. Dat OS controleert zichzelf en alle bestanden voor het opstarten. Uiteraard als de rootkit eenmaal in de OS zit kan alles naar z'n hand gezet worden maar de vraag is of het zover kan komen. Het zal in elk geval een stuk moeilijker gaan dan XP met als z'n admin gebruikers.
De meeste rootkits worden als driver in het geheugen geladen, dat gebeurt dus al heel vroeg in het bootproces, als ÚÚn van de eerste dingen. Dit om op te kunnen starten vˇˇr de virusscanner (die immers meestal als service draait).

De kans is dus vrij groot dat zo'n controle niet zo gek veel uit zou halen.
Daarvoor zijn drie oplossingen:
1) Hardware controleert checksum van kernel voor laden (zoals bij TiVo), kernel controleert de checksum van de driver voordat deze geladen wordt.
2) De kernel vertrouwt de drivers gewoon niet (zoals in capability based besturingssystemen)
3) Gebruikersprocessen kunnen drivers niet veranderen, lijkt me aannemelijker in geval van Chrome.
Wat ik WEL pijnlijk vindt (voor MS) is dat het eigen, nieuwste antimalware, product (Microsoft Security Essentials) MSE deze malware (Alureon) wel kan ontdekken maar niet kan verwijderen.
http://social.answers.mic...a0-4892-9db7-f7f5d2a2a09e
Kan dit ook in die boot cd's zitten, zoals de hiren's e.a. ?
Ik heb vista, en heb ook na die laatste 8 updates BSOD's gekregen. Nu weer versie installatie moeten doen, ffs !

Dus bij mij ook op Vista !
Dan heb je vermoedelijk een ander probleem te pakken gehad, want dit probleem trad dus niet op op Vista (en Win7), maar alleen bij XP.

En een verse installatie lijkt me een beetje overkill, je had ook gewoon terug kunnen gaan naar een restorepoint van voor de patch-installatie, middels Systeemherstel, dan was je binnen 5 minuten klaar geweest.

Niet elke crash komt meteen door dit probleem...
En wat doe je na die verse installatie, weer alle updates draaien? En blijft het dan werken?

Dan moet je mss de oorzaak bij jezelf gaan zoeken (en indirect bij wat je na de schone installatie en updates allemaal doet met je pc... want waarschijnlijk doe je systematisch iets ontzettend verkeerd waardoor de updates een bsod veroorzaken).

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True