Re: TDL4 detecteren
Op dinsdag 09-10-2012 om 10:46 uur [tijdzone +0200], schreef Paul van der Vlis: > Op 08-10-12 16:25, Stephan Verrips schreef: > > Laat maar... ik weet het andwoord al. > > > > dd if=/dev/sda1 of=vbr.img count=1 bs=512 > > > > levert het gewenste resultaat. Raar trouwens dat een vebeiligingsbedrijf > > het dan niet kan vinden ?? > > Het "dd" commando kijkt niets na, zoals je het gebruikt kopieert het > alles, bit voor bit. Altijd goed natuurlijk om een kopie te hebben, maar > een kopie van het dd-commando kost wel net zoveel ruimte als het > origineel. Als je dus een partitie van 2 TB kopieert dan zal de kopie > ook 2 TB zijn, ook al staat er maar 1 GB op. Dat kan lastig zijn. > Hoi Paul, DD kijkt ook niet. Ik moet dat zelf doen. Aan de hand van de stuctuur van deze VBR boot record kan ik mogelijk zien of hij geinfecteert is. Door count=1 en bs=512 te gebruiken, kopieer ik alleen de eerste 512 bytes van /dev/sda1 VBR is de eerste sector die verwezen wordt vanuit de MBR. de eerste 512 bytes van /dev/sda is de MBR de eerste 512 bytes van /dev/sda1 is de VBR Vroeger werden deze ook gewoon gescant met de virusscanners. Stephan > Geen idee wat wat VBR of VMB is, bedoel je wellicht het MBR? > > Groet, > Paul. > > > Stephan > > > > On 08.10.2012 14:20, Stephan Verrips wrote: > >> Ik ben altijd bezig met recovery zaken en virusbeveiligingen enzo. Ik > >> vroeg mij af na aanleiding van het onderstaande stuk van nu.nl of ik > >> met een: > >> > >> dd if=/dev/sdaX of=vmb.img count=1 bs=2048 > >> > >> De zaak kan nakijken als sdaX de opstart partitie is ? > >> > >> Iemand ervaring met het uitlezen van de VBR en hoe groot is de VMB > >> normaal ? > >> > >> Stephan > >> > >> --- > >> > >> > >> Een variant van de beruchte TDL4-rootkit is nu ook in staat om de > >> volume boot record (VBR) van de harde schijf te infecteren en is > >> daarmee veel anti-virusbedrijven te slim af. Op een standaard harde > >> schijf staat een Master Boot Record (MBR), die verschillende gegevens > >> bevat over het soort en de locatie van de logische partities van de > >> harde schijf. > >> > >> De eerste sector van een partitie, waar de MBR naar wijst, wordt ook > >> de volume boot sector, boot block of volume boot record (VBR) genoemd. > >> In het verleden zijn verschillende rootkits ontdekt die de MBR > >> besmetten. > >> > >> Besmetting > >> Onlangs rapporteerde beveiligingsbedrijf Damballa dat een variant van > >> de TDL4-rootkit zeker 250.000 computers had geïnfecteerd. Opmerkelijk > >> genoeg wist het beveiligingsbedrijf geen exemplaren van de malware te > >> vinden. Alleen aan de hand van netwerkanalyse werden de infecties > >> vastgesteld. > >> > >> "Als er geen exemplaren bestaan, en we hebben meer dan twee maanden > >> geprobeerd om ze te vinden, zijn er geen signatures om de malware te > >> blokkeren of potentieel geïnfecteerde machines te scannen", zo liet de > >> beveiliger destijds weten. > >> > >> Rootkit > >> Het Nederlandse anti-virusbedrijf SurfRight meldt dat het exemplaren > >> van de mysterieuze rootkit in bezit heeft. Die zou zich inmiddels op > >> grote schaal verspreiden. "Het probleem is dat de meeste commerciële > >> anti-virusprogramma's geen ondersteuning hebben om de VBR te lezen. De > >> meeste zijn ook al niet in staat om de MBR te scannen als de > >> bedreiging actief is op het systeem. Dit komt omdat de rootkit > >> volledige controle heeft over alles wat er op het systeem gebeurt, > >> inclusief de virusscanner", zegt Mark Loman tegenover Security.nl. > >> > >> De onderzoeker van SurfRight meldt op het eigen blog dat de malware > >> daardoor een nog grotere uitdaging voor commerciële > >> anti-virusprogramma's is. "Dit betekent dat commerciële > >> anti-virusprogramma's deze malware niet kunnen detecteren, laat staan > >> verwijderen." > >> > >> In de Malware Prevalence Top 25 van het anti-virusbedrijf staat de > >> TDL4-variant inmiddels op een tweede plek. Het gaat hier om scans van > >> besmette systemen door Hitman Pro. Hoe de systemen met de malware > >> besmet zijn geraakt is nog niet bekend. > > > > > > > > > > -- > Paul van der Vlis Linux systeembeheer, Groningen > http://www.vandervlis.nl > > -- To UNSUBSCRIBE, email to debian-user-dutch-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1349773531.7204.6.camel@localhost
Re: TDL4 detecteren
Op 08-10-12 16:25, Stephan Verrips schreef: > Laat maar... ik weet het andwoord al. > > dd if=/dev/sda1 of=vbr.img count=1 bs=512 > > levert het gewenste resultaat. Raar trouwens dat een vebeiligingsbedrijf > het dan niet kan vinden ?? Het "dd" commando kijkt niets na, zoals je het gebruikt kopieert het alles, bit voor bit. Altijd goed natuurlijk om een kopie te hebben, maar een kopie van het dd-commando kost wel net zoveel ruimte als het origineel. Als je dus een partitie van 2 TB kopieert dan zal de kopie ook 2 TB zijn, ook al staat er maar 1 GB op. Dat kan lastig zijn. Geen idee wat wat VBR of VMB is, bedoel je wellicht het MBR? Groet, Paul. > Stephan > > On 08.10.2012 14:20, Stephan Verrips wrote: >> Ik ben altijd bezig met recovery zaken en virusbeveiligingen enzo. Ik >> vroeg mij af na aanleiding van het onderstaande stuk van nu.nl of ik >> met een: >> >> dd if=/dev/sdaX of=vmb.img count=1 bs=2048 >> >> De zaak kan nakijken als sdaX de opstart partitie is ? >> >> Iemand ervaring met het uitlezen van de VBR en hoe groot is de VMB >> normaal ? >> >> Stephan >> >> --- >> >> >> Een variant van de beruchte TDL4-rootkit is nu ook in staat om de >> volume boot record (VBR) van de harde schijf te infecteren en is >> daarmee veel anti-virusbedrijven te slim af. Op een standaard harde >> schijf staat een Master Boot Record (MBR), die verschillende gegevens >> bevat over het soort en de locatie van de logische partities van de >> harde schijf. >> >> De eerste sector van een partitie, waar de MBR naar wijst, wordt ook >> de volume boot sector, boot block of volume boot record (VBR) genoemd. >> In het verleden zijn verschillende rootkits ontdekt die de MBR >> besmetten. >> >> Besmetting >> Onlangs rapporteerde beveiligingsbedrijf Damballa dat een variant van >> de TDL4-rootkit zeker 250.000 computers had geïnfecteerd. Opmerkelijk >> genoeg wist het beveiligingsbedrijf geen exemplaren van de malware te >> vinden. Alleen aan de hand van netwerkanalyse werden de infecties >> vastgesteld. >> >> "Als er geen exemplaren bestaan, en we hebben meer dan twee maanden >> geprobeerd om ze te vinden, zijn er geen signatures om de malware te >> blokkeren of potentieel geïnfecteerde machines te scannen", zo liet de >> beveiliger destijds weten. >> >> Rootkit >> Het Nederlandse anti-virusbedrijf SurfRight meldt dat het exemplaren >> van de mysterieuze rootkit in bezit heeft. Die zou zich inmiddels op >> grote schaal verspreiden. "Het probleem is dat de meeste commerciële >> anti-virusprogramma's geen ondersteuning hebben om de VBR te lezen. De >> meeste zijn ook al niet in staat om de MBR te scannen als de >> bedreiging actief is op het systeem. Dit komt omdat de rootkit >> volledige controle heeft over alles wat er op het systeem gebeurt, >> inclusief de virusscanner", zegt Mark Loman tegenover Security.nl. >> >> De onderzoeker van SurfRight meldt op het eigen blog dat de malware >> daardoor een nog grotere uitdaging voor commerciële >> anti-virusprogramma's is. "Dit betekent dat commerciële >> anti-virusprogramma's deze malware niet kunnen detecteren, laat staan >> verwijderen." >> >> In de Malware Prevalence Top 25 van het anti-virusbedrijf staat de >> TDL4-variant inmiddels op een tweede plek. Het gaat hier om scans van >> besmette systemen door Hitman Pro. Hoe de systemen met de malware >> besmet zijn geraakt is nog niet bekend. > > -- Paul van der Vlis Linux systeembeheer, Groningen http://www.vandervlis.nl -- To UNSUBSCRIBE, email to debian-user-dutch-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5073e45c.8090...@vandervlis.nl
Re: TDL4 detecteren
On 10/08/2012 04:25 PM, Stephan Verrips wrote: Hoi, > Raar trouwens dat een vebeiligingsbedrijf het dan niet kan vinden ?? Ze kunnen het vinden als ze er kijken. Alleen zijn ze tot nu toe niet op het idee gekomen om er te kijken... groet, Winfried -- To UNSUBSCRIBE, email to debian-user-dutch-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5072e905.8050...@tilanus.com
Re: TDL4 detecteren
Laat maar... ik weet het andwoord al. dd if=/dev/sda1 of=vbr.img count=1 bs=512 levert het gewenste resultaat. Raar trouwens dat een vebeiligingsbedrijf het dan niet kan vinden ?? Stephan On 08.10.2012 14:20, Stephan Verrips wrote: Ik ben altijd bezig met recovery zaken en virusbeveiligingen enzo. Ik vroeg mij af na aanleiding van het onderstaande stuk van nu.nl of ik met een: dd if=/dev/sdaX of=vmb.img count=1 bs=2048 De zaak kan nakijken als sdaX de opstart partitie is ? Iemand ervaring met het uitlezen van de VBR en hoe groot is de VMB normaal ? Stephan --- Een variant van de beruchte TDL4-rootkit is nu ook in staat om de volume boot record (VBR) van de harde schijf te infecteren en is daarmee veel anti-virusbedrijven te slim af. Op een standaard harde schijf staat een Master Boot Record (MBR), die verschillende gegevens bevat over het soort en de locatie van de logische partities van de harde schijf. De eerste sector van een partitie, waar de MBR naar wijst, wordt ook de volume boot sector, boot block of volume boot record (VBR) genoemd. In het verleden zijn verschillende rootkits ontdekt die de MBR besmetten. Besmetting Onlangs rapporteerde beveiligingsbedrijf Damballa dat een variant van de TDL4-rootkit zeker 250.000 computers had geïnfecteerd. Opmerkelijk genoeg wist het beveiligingsbedrijf geen exemplaren van de malware te vinden. Alleen aan de hand van netwerkanalyse werden de infecties vastgesteld. "Als er geen exemplaren bestaan, en we hebben meer dan twee maanden geprobeerd om ze te vinden, zijn er geen signatures om de malware te blokkeren of potentieel geïnfecteerde machines te scannen", zo liet de beveiliger destijds weten. Rootkit Het Nederlandse anti-virusbedrijf SurfRight meldt dat het exemplaren van de mysterieuze rootkit in bezit heeft. Die zou zich inmiddels op grote schaal verspreiden. "Het probleem is dat de meeste commerciële anti-virusprogramma's geen ondersteuning hebben om de VBR te lezen. De meeste zijn ook al niet in staat om de MBR te scannen als de bedreiging actief is op het systeem. Dit komt omdat de rootkit volledige controle heeft over alles wat er op het systeem gebeurt, inclusief de virusscanner", zegt Mark Loman tegenover Security.nl. De onderzoeker van SurfRight meldt op het eigen blog dat de malware daardoor een nog grotere uitdaging voor commerciële anti-virusprogramma's is. "Dit betekent dat commerciële anti-virusprogramma's deze malware niet kunnen detecteren, laat staan verwijderen." In de Malware Prevalence Top 25 van het anti-virusbedrijf staat de TDL4-variant inmiddels op een tweede plek. Het gaat hier om scans van besmette systemen door Hitman Pro. Hoe de systemen met de malware besmet zijn geraakt is nog niet bekend. -- To UNSUBSCRIBE, email to debian-user-dutch-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/f00e15b17343f094437486dcf880f...@stephanverrips.nl
TDL4 detecteren
Ik ben altijd bezig met recovery zaken en virusbeveiligingen enzo. Ik vroeg mij af na aanleiding van het onderstaande stuk van nu.nl of ik met een: dd if=/dev/sdaX of=vmb.img count=1 bs=2048 De zaak kan nakijken als sdaX de opstart partitie is ? Iemand ervaring met het uitlezen van de VBR en hoe groot is de VMB normaal ? Stephan --- Een variant van de beruchte TDL4-rootkit is nu ook in staat om de volume boot record (VBR) van de harde schijf te infecteren en is daarmee veel anti-virusbedrijven te slim af. Op een standaard harde schijf staat een Master Boot Record (MBR), die verschillende gegevens bevat over het soort en de locatie van de logische partities van de harde schijf. De eerste sector van een partitie, waar de MBR naar wijst, wordt ook de volume boot sector, boot block of volume boot record (VBR) genoemd. In het verleden zijn verschillende rootkits ontdekt die de MBR besmetten. Besmetting Onlangs rapporteerde beveiligingsbedrijf Damballa dat een variant van de TDL4-rootkit zeker 250.000 computers had geïnfecteerd. Opmerkelijk genoeg wist het beveiligingsbedrijf geen exemplaren van de malware te vinden. Alleen aan de hand van netwerkanalyse werden de infecties vastgesteld. "Als er geen exemplaren bestaan, en we hebben meer dan twee maanden geprobeerd om ze te vinden, zijn er geen signatures om de malware te blokkeren of potentieel geïnfecteerde machines te scannen", zo liet de beveiliger destijds weten. Rootkit Het Nederlandse anti-virusbedrijf SurfRight meldt dat het exemplaren van de mysterieuze rootkit in bezit heeft. Die zou zich inmiddels op grote schaal verspreiden. "Het probleem is dat de meeste commerciële anti-virusprogramma's geen ondersteuning hebben om de VBR te lezen. De meeste zijn ook al niet in staat om de MBR te scannen als de bedreiging actief is op het systeem. Dit komt omdat de rootkit volledige controle heeft over alles wat er op het systeem gebeurt, inclusief de virusscanner", zegt Mark Loman tegenover Security.nl. De onderzoeker van SurfRight meldt op het eigen blog dat de malware daardoor een nog grotere uitdaging voor commerciële anti-virusprogramma's is. "Dit betekent dat commerciële anti-virusprogramma's deze malware niet kunnen detecteren, laat staan verwijderen." In de Malware Prevalence Top 25 van het anti-virusbedrijf staat de TDL4-variant inmiddels op een tweede plek. Het gaat hier om scans van besmette systemen door Hitman Pro. Hoe de systemen met de malware besmet zijn geraakt is nog niet bekend. -- To UNSUBSCRIBE, email to debian-user-dutch-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/14156eb338f2cc4fb0bb20015d6fd...@stephanverrips.nl
