Home  Nieuws Beveiliging Rootkits, Trojans, e.d. Rootkits, Backdoor.Rustock (2)
Editorial
Nu er een golf nieuwe software over de mensheid uit gestort gaat worden, niet alleen door Microsoft, maar ook door de Open Source Software groep, Mozilla en anderen, zullen wij extra aandacht besteden aan deze nieuwe producten. Wij zullen met name focussen op ernstige gebreken en nieuwe -het leven aanzienlijk veraangenamende- features en navenante voordelen, alwaar wij onze bezoekers regelmatig kond van zullen doen.
N.B.: Wij vragen onze bezoekers zich te registreren via het login menu in de rechterkolom.
Een groeiend aantal artikelen zullen wij alleen specifiek ter beschikking stellen aan klanten van theHelpdesk.nl en aan onze geregistreerde bezoekers binnen de Registered User Section en het afgeschermde gedeelte van HackersWorld (full disclosure exploits). (te bereiken na registratie en/of login)
|
Rootkits, Backdoor.Rustock (2) |
|
|
|
|
Written by Administrator
|
|
Sunday, 17 September 2006 |
Verder over Rootkits, ook ontwikkeld met het oog op- / voorbereid voor de nieuwe Windows Vista versie.
Stealth rootkit makes its debut in the real world
7/17/2006 9:13:44 PM, by Peter Pollack
Antivirus researchers and microbiologists are similar in that they both have occasionally predicted the rise of a new type of malignant attack before it is actually seen in the wild. In the biological arena, the continued spread of drug-resistant bacteria would be one example of this. In the world of electrons and data, some researchers had already prophesied the rise of rootkits that would be designed to hide themselves from ordinary means of detection.
Backdoor.Rustock.A is the first such stealth rootkit found outside the environs of the antivirus lab. Although Rustock.A (or Mailbot.AZ, as the F-Secure experts are calling it) is being rated by Symantec as an easy threat containment with a low distribution level, it uses some new techniques that make it virtually impossible to detect using conventional means.
A standard way of locating a rootkit's footprints on a computer is to count the number of running processes from two different viewpoints. First, the virus detection software counts the processes from a high level, just as Windows Task Manager might. Then the software shifts to a much lower level and counts the processes again. If the number is the identical, everything is considered acceptable. If the number varies, a problem will be suspected and the software is put to work.
Rustock.A avoids this straightforward detection method by burying its processes within the driver and kernel threads. Since the process count is unchanged, ordinary antivirus software will miss it completely.
Like a tricked-out Batmobile, Rustock.A also makes use of some classic stealth techniques to avoid detection: it can recognize when virus detection software is running and then alter its behavior to avoid that software; it hides its driver in an alternate data stream (ADS), then removes itself from the list of hidden drivers; it doesn't hook into any native APIs; and finally, it is polymorphic, so that its code is constantly changing.
Rustock.A has already been proven to run on beta versions of Windows Vista, so this is clearly a rootkit designed with the future in mind.
So far, Rustock.A has done comparatively little damage, and both Symantec and F-Secure have released updates to assist in locating and removing it. However, researchers say that there is reason to suspect that future versions are already in the works, and that other virus designers will be looking to exploit and improve upon some of the principles demonstrated in Rustock.A.
Overgenomen uit Ars Technica
|
|
Last Updated ( Thursday, 09 November 2006 )
|
|
Over deze Website
Zowel deze NIEUWS site als het bijbehorende eZine zullen voor een groot deel, qua inhoud, bestuurd kunnen worden door onze klanten en de bezoekers van onze website(-s).
Wij nodigen U dan ook uit, op dit moment nog via e-mail,
This e-mail address is being protected from spam bots, you need JavaScript enabled to view it
, om de voor U interessante onderwerpen aan te melden. U kunt hierbij denken aan de vaste rubrieken op beveiligingsgebied, onderzoek en technologie (zowel fundamenteel als toegepast onderzoek), waarschuwingen uit de praktijk. Daarnaast kan men denken aan, bij voorbeeld, uitleg van bepaalde zaken, zoals protocollen, technieken, methodieken, maar ook commentaren op ontwikkelingen e.d.
Als onze klanten en bezoekers zelf ook een bijdrage willen en kunnen leveren, worden zij hiertoe hartelijk uitgenodigd. Het delen van kennis, zowel vanuit een professioneel-, als een gebruikersperspectief, is de missie van deze nieuwsvoorziening.
Het e-Zine zal maandelijks worden toegezonden aan de klanten van theHelpdesk.nl en aan geregistreerde bezoekers van deze website. Daarnaast kunnen zij Alerts en Waarschuwingen verwachten, buiten de reguliere verzending van het e-Zine om, indien het nieuws dit nodig mocht maken.
News Feeds / Syndication / links.
Wij hebben als extra service aan onze bezoekers besloten de syndication e/o news feeds aanzienlijk uit te breiden.
Ook het aantal overige news feeds en links zal in de nabije toekomst aanzienlijk worden uitgebreid. Voorts verwachten wij op grond van de binnengekomen e-mails binnenkort een aantal rubrieken toe te kunnen voegen.
|
