Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 60 reacties

XP-gebruikers die een pc hebben die is besmet met de Alureon-rootkit, kunnen de onlangs door Microsoft uitgebrachte beveiligingsupdates niet installeren. De updates detecteren de malware en weigeren de installatie af te ronden.

De Alureon-rootkit, die al sinds 2008 rondwaart en systeembestanden aanpast, zorgde in februari al voor de nodige problemen bij de uitrol van een aantal updates voor de 32bit-versie van Windows XP. Systemen die met de malware waren besmet lieten blue screens of death zien, omdat de rootkit in conflict kwam met de KB977165-patch die kerneltoegang nodig had.

In de nieuwe lichting updates voor XP-systemen, waarbij in totaal 25 gaten worden gedicht, controleert het update-mechanisme eerst of de Alureon-rootkit op een systeem is geïnstalleerd. Als dit het geval is, weigert Windows Update de patches te installeren. Dit extra controlemechanisme moet crashes helpen voorkomen.

Om een besmet XP-systeem alsnog te kunnen patchen, moet de rootkit eerst worden verwijderd. Dit kan onder andere worden gedaan met de Microsoft Windows Malicious Software Removal Tool, maar ook diverse andere bedrijven leveren rootkit detectors.

Moderatie-faq Wijzig weergave

Reacties (60)

Pfff 2008 we zitten nu in 2010. Gelukkig is dat pas 2 jaar :/ .

Wel snugger dat je met hun eigen tooltje het virus kan verwijderen, en als nog kan patchen.

[Reactie gewijzigd door xenoNn op 20 april 2010 13:16]

Wat ik alleen dan niet snap is:
Ze a. het vermogen hebben om de rootkit te detecteren en b. het vermogen hebben om deze ook te verwijderen....
Waarom wordt deze mogelijkheid niet netjes met de update (c.q. een andere update) uitgerold?
Ik vermoed dat deze installatie meer rootkits detecteert, niet alle rootkits worden geinstalleerd door virussen (Sony anyone?). Ze automatisch verwijderen kan dan vervelende gevolgen hebben.
Wat maakt dat uit?
Rootkits horen niet, voor welk doel dan ook.

Geef dan netjes aan dat je producten wegens verminderd vertrouwen in de consument beveiliging bevatten.
Wat ik nooit heb begrepen is waarom MS uberhaubt rootkits toestaat... of niet gewoon te deinstalleren maakt door Administrators.
Rootkits "sta je niet toe". Een rootkit is software dat zich voordoet als zijnde een bekend stuk software, en (meestal) actief probeert om verwijdering te voorkomen. Hťt kenmerk van de rootkit is het verkrijgen van admin-rechten op een systeem. Een rootkit komt niet alleen voor op Windows, het kan voorkomen op elk ander soort systeem (edit: vereiste is wel dat er een structuur met gebruikersrechten is, anders heeft het geen zin).

De naam komt uit de Unix-wereld. Vroeger werden binnen Unix bestanden aangepast of vervangen. Een hele simpele rootkit zou kunnen zijn dat er een nieuwe versie van "ls" wordt geÔnstalleerd. Die versie laat dan gewoon een directorylisting zien, net als de echte ls, maar op de achtergrond verkrijgt hij ook root (admin) rechten. Dan is de machine "rooted", omdat iemand vanaf afstand, bijvoorbeeld via een terminal, "ls" kan uitvoeren en zo admin-rechten kan verkrijgen.

Dit truukje kan uiteraard op elk systeem dat werkt met users en rechten worden toegepast.

Meer info: Rootkit

[Reactie gewijzigd door Katsunami op 20 april 2010 23:06]

Om precies te zijn heeft het aanpassen van tooltjes als ls meestal een ander doel. Namelijk de rootkit verbergen. De rootkit zou dan bijvoorbeeld een executable file ergens hebben staan, en dan is ls aangepast om die file niet te laten zien. Ps kan aangepast zijn om het proces niet te laten zien, etc.
Volgens mij heeft het niet veel met toestaan te maken. Een rootkit zit eigenlijk bijna op het niveau van een computervirus, en het komt gewoon heel sneaky naar binnen op je PC via andere software die je installeert (of het afspelen van een simpel CD-tje).
Omdat de rest van de mensen die extra paar MB dan niet hoeft te downloaden. Met duizenden gebruikers scheelt dat toch behoorlijk.

Edit: @Switchie
Met een webinstall zou dat prima kunnen inderdaad.

[Reactie gewijzigd door SH4D3H op 20 april 2010 13:34]

Ik ben geen programmeerheld, alles behalve. Maar het lijkt mij dat het slechts in een paar regels coding mogelijk moet zijn om de eventuele rootkit removal kit een stukje in de installatie te geven. Het word pas gedownload wanneer het echt nodig is en in het geval dit niet het geval is wordt het stukje installatie gewoon geskipped zodat gebruikers met een 'cleane' pc er geen last van hebben (lees: 1 keer op 'next' moeten klikken)
vergeet niet dat Microsoft reeds een enorm systeem heeft opgezet rondom updates; Windows Update draait al jaren op grofweg dezelfde manier: kies je updates en die worden een voor een afgewerkt.
Een willekeurige update heeft niet de mogelijkheid om een andere update 'aan' te zetten.

Wat me ook opvalt is het gemakt waarmee iedereen vergeet dat elke change getest dient te worden; en er zijn na een paar jaar XP nogal wat testsituaties denkbaar. Wat ga je roepen als MS toevallig jouw specifieke systeemsituatie niet heeft getest en met hun patch alsnog een BSOD veroorzaakt? Ik heb het idee dat Microsoft zich zeer bewust is van hun verantwoordelijkheden in de keuze of ze enerzijds de patch uitvoeren koste wat kost of anderszijds tot keuze bij de consument te laten i.p.v. alle miljoenen denkbare situaties tot bloedens toe testen.
Dat gaat ook zonder op 'next' te moeten klikken als het een beetje goed geprogrammeerd is.
Nee want je vraagt natuurlijk wel netjes toestemming aan de gebruiker he (zoals het hoort/netjes is) ;)

[Reactie gewijzigd door watercoolertje op 20 april 2010 13:44]

"Omdat de rest van de mensen die extra paar MB dan niet hoeft te downloaden. Met duizenden gebruikers scheelt dat toch behoorlijk."

Op 1 of andere manier denk ik dat MS een dergelijke "winst" echt niet terugziet tussen de rest van de data vloedgolf die Windows Update heet.
Misschien omdat je dan een onnodig grote update zou krijgen?
En misschien omdat er dan een extra hoeveelheid test werk bij komt, waardoor de update pas later gereleased kan worden?
Dan is het scenario dat men de blue screen of death krijgt toch beter... Nee, ik ben het met Switchie eens. Die paar extra MB zijn in dat geval de moeite waard.

Als de update/patch vervolgens aangeeft de maleware te hebben gedetecteerd en verwijderd is er weer aan klanttevredenheid gewonnen en ontstaat er geen ontevredenheid door de 'blue screen of death'.
Ja maar die mensen hebben dus de 'Windows Mailicious Software Removal Tool' uit staan aangezien dit gewoon met de normale updates mee komt (zelfs 'verplicht' als ik het goed heb) ;)

Dus ja het is zoiets he waarom werkt SP2 niet op me SP0 machine of verwacht je dan ook dat SP1 ook nog is in SP2 zit zodat mensen SP1 niet hoeven te downloaden (en duizenden, zo niet miljoenen mensen SP1 voor niks mee aan het downloaden zijn).
Ja en onder Windows XP is dit ook zo (je kan meteen van RTM/SP1 naar SP3 gaan)
Alleen Windows Vista SP2 breekt deze regel, die verwacht dat je al SP1 hebt.

Je hebt wel gelijk over het feit dat sommige mensen zelf belangrijke updates hebben afgezet. Deze moeten het dan zelf maar oplossen.
Als die rootkit ook in je MBR zit, kun je wss onder windows niet eens alles wegkrijgen.
Zo'n tool is meestal een apart bootdevice (floppy/usb/cd) zodat voor de OS start, alles gescanned en verwijderd kan worden.
Want? ik kan best in windows naar mijn MBR schrijven zo ook in linux oid.
Bij het verwijderen van malware/rootkits op zo'n grote diversiteit aan systemen, zeker ook, coch niet beperkt tot, zakelijke omgevingen, komen bepaalde risico's kijken die ik als systeembeheerder liever niet als standaard gehanteerd zie worden door een update mechanisme. Dus ik kan me wel voorstellen dat microsoft, die dergelijke dingen op zo'n schaal nog veel beter in kan schatten natuurlijk, daar niet direct om staat te springen. En vergeet niet, MS komt liever niet negatiever in het nieuws dan nodig, dus er zal waarschijnlijk een hele goede reden zijn waarom ze het zo aanpakken. Aan de andere kant.... we never know... ;)
En volgens mij omdat ze niet kunnen garanderen dat de rootkit er uit gehaald kan worden.
Microsoft Windows Malicious Software Removal Tool heb ik al een aantal keren gedraaid op een besmet Vista systeem zonder dat deze in staat was de malware te verwijderen. Malwarebyte en Eset lukte het vervolgens wel.
Dat wordt al lan gedaan met de Windows Mailicious Software Removal Tool, die ook genoemd wordt in dit artikel. Deze krijg je maandelijks per Windows Update. Dat er mensen zijn die dit uitzetten is een ander verhaal.

[Reactie gewijzigd door NLChris op 20 april 2010 13:21]

Wat ik alleen dan niet snap is:
Ze a. het vermogen hebben om de rootkit te detecteren en b. het vermogen hebben om deze ook te verwijderen....
Waarom wordt deze mogelijkheid niet netjes met de update (c.q. een andere update) uitgerold?
Omdat de update waarschijnlijk niet de rootkit detecteert, maar puur en alleen kijkt of een bepaald systeembestand is aangepast of niet. Er kunnen ook valide redenen zijn waarom dit bestand is aangepast (keuze van de gebruiker). Daarom is het niet netjes dit zomaar ongedaan te maken.
Waarschijnlijk omdat de EU dan gaat klagen dat het verwijderen van virussen niet het werk van Microsoft is, maar van Symantec/McAfee/Etc ;)
Om dan een proces aan hun been te krijgen van de antivirus makers die vinden dat Microsoft hun markt bedreigt.
Dat vroeg ik me ook al af. Het is dan zeker wel mogelijk om de update zo uit te breiden dat deze de Malicious Software Removal Tool downloadt, opstart, en dat zo het systeem wordt opgeschoond, waarna de update gecompleteerd zou kunnen worden.

Misschien werkt het zelfs zo, maar dat weet ik niet zeker; ik zit al jaren op Vista x64 en houd me daarom niet zoveel meer bezig met updates voor XP.

[Reactie gewijzigd door Katsunami op 20 april 2010 20:00]

De security update en het OS van MS is geen anti-virussoftware.

Moet jij kijken wat voor sh*t MS gaat krijgen met de EU als ze in de updates virussen gaan verwijderen, zal McAfee en consorten leuk vinden, zo'n actie.

Gedeeltelijk nog terecht ook, virussen verwijderen is geen OS-taak. Dan MS zijn OS al zo gebouwd heeft dat een browser bijna een integraal onderdeel is van het OS, dat is tot daar, maar als OS ook nog virussen verwijderen. Wat verwacht je allemaal niet van Windows?

[Reactie gewijzigd door Tukk op 20 april 2010 14:58]

Ik zou het helemaal niet erg vinden als dit werd gedaan. Het is misschien niet de taak van het OS of updates, maar uiteindelijk ben ik een rootkit liever kwijt dan rijk. Dus wie of wat hem dan verwijderd boeit me niet.
@ Laatste stukje,

Huh?
Waar dienen beveiligingsupdates dan voor? Om gaten te dichten zodat virussen geen kans hebben. Vind het wel netjes als een virus dat geinstalleerd kon worden ook gelijk verwijderd word tijdens het dichten van het lek dat dat virus binnen liegt.
Lekker os dan niet in staat om aanval te weren danwel teniet tedoen

nee verwijderen van (systeem)files of snoopen in je data das de egte werking van een os

mss moet toyota geen rem/gaspedaal inbouwen want taak van auto is helling af rollen

[Reactie gewijzigd door postbus51 op 20 april 2010 14:06]

Heel makkelijk gereageerd. Vergelijk 't eens met browsers en wat voor boatload aan kritiek Microsoft kreeg omdat ze IE8 meeleverde met het systeem. Als ze dat met antivirus-software zouden doen, dan was het helemaal erg (want met dat soort software wordt veel geld verdiend. Browsertje is vaak gratis te downloaden..)

Daarnaast, Windows heeft weldegelijk bescherming geÔnstalleerd, maar die is maar beperkt (anders zouden andere anti-virus-software-makers (mooi woord voor scrabble) geen werk meer hebben). En het is niet de taak van een OS om je systeem virusvrij te houden. Het is zaak van een OS om je systeem te laten draaien en onderdelen samen te laten werken. Je vergelijking met auto's gaat totaal niet op. De taak van een auto is vervoer van A naar B, niet van een helling afrollen.

Ach ja, Microsoft bashing continues...
In de eerste plaats is het hier natuurlijk wel Windows dat het bestaan van rootkits mogelijk maakt. Dit is een bewuste keuze omdat veiligheid bij de ontwikkeling van het os nu niet echt een uitgangspunt was. De aandacht ging meer naar zaken als: hoe kunnen we ervoor zorgen dat door mensen de beleving krijgen dat ons product minder goed functioneert wanneer het draait op het superieure DrDOS. En wanneer de rootkit dus code van Windows weet te vervangen is het toch wel degelijk de taak van MS om hun eigen "besturingssysteem" operationeel te houden lijkt me.

Daarnaast is het niet heel vreemd dat Microsoft kritiek heeft gekregen op het onnodig verweven van een besturingssysteem (Windows) met een applicatie (IE).
makkelijk microsoft bashen..
De besturingssystemen zijn zo slecht dat ze maar 87.43% van de markt hebben.

http://translate.google.n...hare_of_operating_systems

Omdat 87,43% nu eenmaal MS besturingssystemen zijn worden de meeste malifide software daarvoor geschreven..

Het 'leuke" van een rootkit is dat de 1e rootkit geschreven was voor unix :)
http://nl.wikipedia.org/wiki/Rootkit

Ontopic:
Als ik het goed begrijp heeft MS een tool die als update word binnengehaald (Malicious Software Removal Tool) die er voor zorgt dat de update wel werkt.
In principe is er dus niet aan de hand als je alle updates netjes binnenhaalt?
Of zie ik het nu verkeerd?

[Reactie gewijzigd door Kriebelkous op 20 april 2010 15:38]

Het moge duidelijk zijn dat de kwaliteit van het besturingssysteem in geen relatie staat tot de hoeveelheid gebruikers. Hiervoor zijn (helaas) heel andere redenen aan te voeren.

En natuurlijk was de eerste rootkit voor Unix geschreven... anders hadden ze het fenomeen wel een andere naam gegeven, toch? Ik kan me alleen niet voorstellen dat deze Unix rootkit ook enkele jaren de tijd kreeg zich te verspreiden...

[Reactie gewijzigd door Trashed op 21 april 2010 02:42]

Het moge duidelijk zijn dat de opmerking geplaatst was om aan te geven dat er dermate veel MS Windows machines zijn dat het schrijven van malafide software daarvoor het meest interessant is....
"Omdat 87,43% nu eenmaal MS besturingssystemen zijn worden de meeste malifide software daarvoor geschreven.."

...inderdaad... dat is aangegeven.

"De besturingssystemen zijn zo slecht dat ze maar 87.43% van de markt hebben."

...wat erboven geschreven was is waar ik op reageerde.
Is toch wel handig om eerst mensen te waarschuwen dat ze een rootkit op hun computer hebben, dan kunnen ze daar ook nog naar handelen.
behalve als je al te laat bent, heeft 1 van mijn pc's gehad. je start m op komt door t welkoms scherm heen poef blauw scherm.en veilige modus brengt daar geen verandering in, je zal dus t hele ding moeten recoveren als je daar eerder aan had gedacht om daar iets voor te maken (wat ik dus niet had gedaan en t hele ding moest formatte)
de recovery console had je ook nog kunnen gebruiken. die staat standaard op alle windows XP cd's.
precies en daarnaast kun je via die console het register terug zetten waardoor je vaak al weer aan het werk kan.
Ik hoop dat de gebruikers dan wel degelijk verwittigd worden dat ze besmet zijn met een rootkit en dat daarom de updates niet kunnen geÔnstalleerd worden.

Als je bvb een Error number: 0x80070002 krijgt is het niet direct duidelijk dat je mogelijk besmet bent.
http://www.google.com/search?q=0x80070002 .... mensen die niet kunnen Googlen zouden eigenlijk geen computer mogen hebben :9~
Software fabrikanten die geen duidelijke berichten aan klanten geven zouden geen software mogen verkopen aan de klanten die die codes niet kennen op voorhand.

Al bij al, vind ik dit een teleurstellende actie van microsoft , persoonlijk ben ik ervoor dat microsoft wel deze pc's update en dat de gebruikers daarna tenminste hun lesje leren over computer veiligheid. Er is al hoogstaande computerbeveiliging gratis beschikbaar.

Dit doet mij denken aan dat incident met dat botnet waar researchers in geinfiltreerd waren maar omdat niemand van hen durfde hebben ze het botnet niet uitgeschakeld waardoor nu nog altijd een paar miljoen pc's het zombie werk doen en meer mensen er last van hebben dan van die paar duizend pc's die mogelijk gecrasht waren geweest.
Probleem is alleen dat als gebruikers updates gaan associŽren met BSOD's, je de situatie krijgt waar mensen bang zijn om Win Update te draaien, lijkt me ook niet echt een gezonde situatie.
Al bij al, vind ik dit een teleurstellende actie van microsoft , persoonlijk ben ik ervoor dat microsoft wel deze pc's update en dat de gebruikers daarna tenminste hun lesje leren over computer veiligheid. Er is al hoogstaande computerbeveiliging gratis beschikbaar.
Dus jij hebt het liefst een niet werkende pc, zolang deze maar wel over het laatste softwarenummertje beschikt?
Ik vind het juist verstandig van Microsoft om in ieder geval de updates niet te installeren als deze mogelijk problemen op gaan leveren.
Ze hadden dit echter imho wel op een andere manier op kunnen lossen (zoals ik hierboven al heb aangegeven).

Updates installeren met een mogelijk bsod als gevolg zit niemand op te wachten. De consument zal in dit geval al snel de schuld bij Microsoft zoeken ipv bij zichzelf. Niet iedereen is een tweakert ;)
En mensen die het verschil tussen het Diesel principe en het Otto principe niet weten zouden geen rijbewijs en geen auto mogen hebben?
En mensen die hun eigen telefoonnummer niet uit hun hoofd kennen mogen geen mobiele telefoon hebben?
En mensen zonder koksopleiding zouden geen keuken in hun huis mogen hebben?

Gewone gebruikers willen dit soort dingen niet weten of begrijpen het niet, omdat ze goed zijn in andere dingen. Net als dat ik zelf de distributieriem van mijn auto niet wil vervangen.
Als dat zo zou zijn zou ik geen werk hebben :)
80% van alle problemen zijn software gerelateerd, en bij 80% van de gevallen daarvan is de oplossing makkelijk online te vinden. Zolang je maar kunt googlen.

@ dikkedouwe

[Reactie gewijzigd door Kriebelkous op 20 april 2010 15:58]

Ik vind dit een verstandige manier van doen. Op deze manier maak je aan de gebruiker goed duidelijk wat er is en wat er tegen gedaan kan worden. Als je automatisch deze acties zou ondernemen dan weet de gebruiker niet dat hij het slachtoffer is geworden van een rootkit.
Als ik een rootkit op mijn PC heb, wil ik die liever herinstalleren dan dat $randomtool zelf probeerd de rootkit te verwijderen waarbij mogelijk delen of andere rootkits/virussen achterblijven.
En dat met een besturingssysteem van 7 jaar oud..
Je bedoelt waarschijnlijk 9 ;)
maak daar maar 9 jaar van, in computer termen complete antiek.
XP = 9 jaar oud en nog steeds volledig kostenloos ondersteund, kom daar maar eens om bij een televisie, huishoudelijke spullen, auto etc.
Merkwaardige vergelijking... wanneer auto's bijvoorbeeld net zo vaak zouden crashen als met XP het geval is zou het toch een stuk gevaarlijker worden op de weg. Daarnaast is het natuurlijk irrelevant om hardware op een dergelijke manier met software te vergelijken. Die nullen en enen op je harde schijf zijn niet aan slijtage onderhevig...
Toch is het wel heel erg goed gedaan, hoe je het wendt of keert, XP was tot nu toe het beste OS wat MS ooit op de markt heeft gezet. Win7 is imo goed begonnen en kan ook makkelijk 9 jaar mee als ze het goed gedaan hebben tenminste. Dan zouden ze het zo opgezet moeten hebben dat het mee kan groeien met de hardware to come.

Tijd zal het leren.

En vergelijkingen met auto's hier op t.net zijn meestal om je te bescheuren. :p
Dan zouden ze het zo opgezet moeten hebben dat het mee kan groeien met de hardware to come.
Dat was zo met Windows 2000 (aka NT 5.0) en eigenlijk is XP (aka NT 5.1) niets anders als W2K met een nieuw startmenu en een paar andere grafische wijzigingen. Wel is het zo dat ze een aantal essentiŽle uitbreidingen zoals de Wireless Zero Configuration kit, en .NET 3.0 bewust niet meer hebben uitgebracht voor Windows 2000 om mensen naar XP en Vista te pushen.

Feitelijk is de vraag of het niet mogelijk was om onder meer DirectX 10 en enkele andere vernieuwingen uit Vista (en Win7) niet gewoon in XP in te bouwen, maar Microsoft heeft er voor gekozen dat niet te doen.

Dat is enerzijds vanwege commerciŽle overwegingen: men verkoopt liever een nieuw product als dat men een bestaand product gratis voorziet van een update.

Dat is anderzijds mischien ook wel omdat de verandering zo groot zou zijn (o.a. vanwege het nieuwe driver-model) dat er, met de verschillende stadia van updates van de bestaande systemen, een te verschillend spectrum zou zijn aan resulterende systemen. Men zou XP dan zodanig gemaakt moeten hebben dat het met beide drivermodellen tegelijk zou kunnen werken (en dan daarna de ondersteuning voor het oude drivermodel afbouwen) precies zoals ze gedaan hebben met Windows 98 (bevatte drivermodel van W95 (VxD) ťn drivermodel WDM van NT5.0/W2000).

Men had er bij Microsoft een hoop extra werk aan gehad, maar men had een heleboel problemen bij, en vooral de slechte naam van Vista er mee kunnen voorkomen.
Mijn win XP installatie loopt anders als een zonnetje, gisteren moest ik opnieuw opstarten om die updates te installeren, maar hij staat weken achtereen aan zonder een probleem.
De laatste keer dat ik moest opstarten omdat ik een probleem had, was toen een harde schijf de geest had gegeven en die moest vervangen.
The following software is incompatible with this patch:
-Alureon-rootkit

Do you want to uninstall?
:+

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True