A
Abraham54
Gast
[hand]
Er is een nieuwe TDL-rootkitvariant uit.
Deze zetelt niet meer in de MBR (MasterBootRecord), maar maakt nu een nieuwe partitie aan, door een stukje van de Windows partitie te claimen.
Die nieuwe partitie wordt door de rootkit in een voor Windows onbekend bestandsformaat geformatteerd en kan een grootte hebben van 8 tot ca 50MB.
Tevens worden de Windows bootbestanden vanuit de MBR verplaatst naar de nieuw aangemaakte partitie.
Dat betekent, dat wanneer je nu zelf die partitie verwijderd, Windows daarna niet meer kan opstarten!
Hoe controleer je dit nu?
Daarvoor heb je bijvoorbeeld de Free EaseUS Partition Master 9.1 Home Edition nodig.
In het schijfoverzicht kan dus nu een "Hidden" partitie direct achter C getoond worden.
Voorbeelden (|?| stelt dus de "hidden" partitie voor):
Windows 8:
|---400MB---|-------------Windows--------------|?|--------Data------------|
Windows 7:
|---100MB---|-------------Windows--------------|?|--------Data------------|
Windows Vista, Windows XP en Windows 2000:
|-------------Windows--------------|?|--------Data------------|
Het advies is dan ook, indien je bovenstaande constateert in jouw Windows, dan direkt een Hijack This te gaan doen, waarbij je duidelijk aangeeft wat jijzelf hebt geconstateerd.[/hand]
Er is een nieuwe TDL-rootkitvariant uit.
Deze zetelt niet meer in de MBR (MasterBootRecord), maar maakt nu een nieuwe partitie aan, door een stukje van de Windows partitie te claimen.
Die nieuwe partitie wordt door de rootkit in een voor Windows onbekend bestandsformaat geformatteerd en kan een grootte hebben van 8 tot ca 50MB.
Tevens worden de Windows bootbestanden vanuit de MBR verplaatst naar de nieuw aangemaakte partitie.
Dat betekent, dat wanneer je nu zelf die partitie verwijderd, Windows daarna niet meer kan opstarten!
Hoe controleer je dit nu?
Daarvoor heb je bijvoorbeeld de Free EaseUS Partition Master 9.1 Home Edition nodig.
In het schijfoverzicht kan dus nu een "Hidden" partitie direct achter C getoond worden.
Voorbeelden (|?| stelt dus de "hidden" partitie voor):
Windows 8:
|---400MB---|-------------Windows--------------|?|--------Data------------|
Windows 7:
|---100MB---|-------------Windows--------------|?|--------Data------------|
Windows Vista, Windows XP en Windows 2000:
|-------------Windows--------------|?|--------Data------------|
Het advies is dan ook, indien je bovenstaande constateert in jouw Windows, dan direkt een Hijack This te gaan doen, waarbij je duidelijk aangeeft wat jijzelf hebt geconstateerd.[/hand]
Laatst bewerkt: