• De afgelopen dagen zijn er meerdere fora waarop bestaande accounts worden overgenomen door spammers. De gebruikersnamen en wachtwoorden zijn via een hack of een lek via andere sites buitgemaakt. Via have i been pwned? kan je controleren of jouw gegeven ook zijn buitgemaakt. Wijzig bij twijfel jouw wachtwoord of schakel de twee-staps-verificatie in.

Nieuwe versie TDL-rootkitvariant

Status
Niet open voor verdere reacties.
A

Abraham54

Gast
[hand]
Er is een nieuwe TDL-rootkitvariant uit.
Deze zetelt niet meer in de MBR (MasterBootRecord), maar maakt nu een nieuwe partitie aan, door een stukje van de Windows partitie te claimen.
Die nieuwe partitie wordt door de rootkit in een voor Windows onbekend bestandsformaat geformatteerd en kan een grootte hebben van 8 tot ca 50MB.
Tevens worden de Windows bootbestanden vanuit de MBR verplaatst naar de nieuw aangemaakte partitie.
Dat betekent, dat wanneer je nu zelf die partitie verwijderd, Windows daarna niet meer kan opstarten!


Hoe controleer je dit nu?

Daarvoor heb je bijvoorbeeld de Free EaseUS Partition Master 9.1 Home Edition nodig.
In het schijfoverzicht kan dus nu een "Hidden" partitie direct achter C getoond worden.


Voorbeelden (|?| stelt dus de "hidden" partitie voor):

Windows 8:

|---400MB---|-------------Windows--------------|?|--------Data------------|

Windows 7:

|---100MB---|-------------Windows--------------|?|--------Data------------|


Windows Vista, Windows XP en Windows 2000:

|-------------Windows--------------|?|--------Data------------|


Het advies is dan ook, indien je bovenstaande constateert in jouw Windows, dan direkt een Hijack This te gaan doen, waarbij je duidelijk aangeeft wat jijzelf hebt geconstateerd.[/hand]
 
Laatst bewerkt:
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan