Home  Nieuws Beveiliging Rootkits, Trojans, e.d. Rootkits, Backdoor.Rustock
Editorial
Nu er een golf nieuwe software over de mensheid uit gestort gaat worden, niet alleen door Microsoft, maar ook door de Open Source Software groep, Mozilla en anderen, zullen wij extra aandacht besteden aan deze nieuwe producten. Wij zullen met name focussen op ernstige gebreken en nieuwe -het leven aanzienlijk veraangenamende- features en navenante voordelen, alwaar wij onze bezoekers regelmatig kond van zullen doen.
N.B.: Wij vragen onze bezoekers zich te registreren via het login menu in de rechterkolom.
Een groeiend aantal artikelen zullen wij alleen specifiek ter beschikking stellen aan klanten van theHelpdesk.nl en aan onze geregistreerde bezoekers binnen de Registered User Section en het afgeschermde gedeelte van HackersWorld (full disclosure exploits). (te bereiken na registratie en/of login)
|
Rootkits, Backdoor.Rustock |
|
|
|
|
Written by Administrator
|
|
Sunday, 17 September 2006 |
Niet alle narigheid wordt direct ontdekt. Artikelen over de zeer gevaarlijke "Rootkits"!
Invisible' Rootkit Heralds Trouble Ahead.
Security researchers have discovered a new type of rootkit they believe will greatly increase the difficulty of detecting and removing malicious code. The rootkit in question, called Backdoor.Rustock.A by Symantec and Mailbot.AZ by F-Secure, uses advanced techniques to avoid detection by most rootkit detectors.
The rootkit is "unique given the techniques it uses," Symantec’s Elia Florio wrote in a recent analysis. "It can be considered the first-born of the next generation of rootkits."
Rustock.A uses a mixture of old techniques and new ideas to make it "totally invisible on a compromised computer when installed," including a beta version of Windows Vista, Florio wrote. Symantec believes the rootkit originates from Russia, and a string found in the rootkit’s code indicates new versions will probably be forthcoming. Symantec has already logged a variant called Backdoor.Rustock.B. F-Secure noted Rustock’s use of NTFS’ Alternate Data Streams (ADS) as one significant example of its advanced behavior.
"Saving your data into Alternate Data Streams is usually enough to hide from many tools," wrote F-Secure researcher Antti Tikkanen in a company blog. "However, in this case, the stream is further hidden using rootkit techniques ... because Mailbot.AZ is hiding something that’s not readily visible; it’s very likely that many security products will have a tough time dealing with this one." F-Secure said it has released a new version of the BlackLight rootkit scanner, Build 2.2.1041, which can detect Rustock.
According to researchers, other factors that help make Rustock invisible are that it has no process, instead running inside the driver and in kernel threads. It doesn’t hook into any native API, and controls kernel functions via special IRP functions. It removes its entries from kernel structures, and the SYS driver is polymorphic, changing its code from sample to sample. Rustock also scans for loaded rootkit scanners, then changes its behavior to avoid detection, according to Florio.
TECHWORLD
|
|
Last Updated ( Thursday, 12 October 2006 )
|
|
Over deze Website
Zowel deze NIEUWS site als het bijbehorende eZine zullen voor een groot deel, qua inhoud, bestuurd kunnen worden door onze klanten en de bezoekers van onze website(-s).
Wij nodigen U dan ook uit, op dit moment nog via e-mail,
This e-mail address is being protected from spam bots, you need JavaScript enabled to view it
, om de voor U interessante onderwerpen aan te melden. U kunt hierbij denken aan de vaste rubrieken op beveiligingsgebied, onderzoek en technologie (zowel fundamenteel als toegepast onderzoek), waarschuwingen uit de praktijk. Daarnaast kan men denken aan, bij voorbeeld, uitleg van bepaalde zaken, zoals protocollen, technieken, methodieken, maar ook commentaren op ontwikkelingen e.d.
Als onze klanten en bezoekers zelf ook een bijdrage willen en kunnen leveren, worden zij hiertoe hartelijk uitgenodigd. Het delen van kennis, zowel vanuit een professioneel-, als een gebruikersperspectief, is de missie van deze nieuwsvoorziening.
Het e-Zine zal maandelijks worden toegezonden aan de klanten van theHelpdesk.nl en aan geregistreerde bezoekers van deze website. Daarnaast kunnen zij Alerts en Waarschuwingen verwachten, buiten de reguliere verzending van het e-Zine om, indien het nieuws dit nodig mocht maken.
News Feeds / Syndication / links.
Wij hebben als extra service aan onze bezoekers besloten de syndication e/o news feeds aanzienlijk uit te breiden.
Ook het aantal overige news feeds en links zal in de nabije toekomst aanzienlijk worden uitgebreid. Voorts verwachten wij op grond van de binnengekomen e-mails binnenkort een aantal rubrieken toe te kunnen voegen.
|
