Malware Removal Information

Ga naar de inhoud

Hoofdmenu

Sinowal

Infecties

Sinowal - Mebroot

Achtergrondinformatie Master Boot Record
.

De MBR bevindt zich in sector 0. Deze wordt overschreven door nieuwe code, de malwarecode.
De originele MBR-code wordt gekopieerd naar sector 62. De originele MBR wordt dus niet verwijderd maar verplaatst naar een andere sector en dit heeft zijn reden.
Andere malwarecode wordt weggeschreven naar andere sectoren.
Bij een herstart wordt de MBR-malwarecode uitgelezen en de malware geladen.
Sector 00: de geïnfecteerde MBR
Sector 61: het kernel gedeelte van de loader
Sector 62: de originele MBR

Gmer :

Disk \Device\Harddisk0\DR0 sector 00: rootkit-like behavior; MBR rootkit code detected <-- ROOTKIT !!
Disk \Device\Harddisk0\DR0 sector 61: rootkit-like behavior; malicious code @ sector 0x4fbcc30 size 0x1b5
Disk \Device\Harddisk0\DR0 sector 62: rootkit-like behavior; copy of MBR

MBR.exe :

MBR rootkit code detected !
malicious code @ sector 0x4a891c1 size 0x1fd !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.


De eerste versie van deze mbr-rootkit wijzigt verschillende disk.sys routines om zich te verbergen voor het besturingssysteem. Hiervoor gebruikt het IRP hooks ( I/O Request Package hooks).
IRP's zijn kernstructuren die o.m. gebruikt worden door windows-NT drivers om onderling te communiceren, en ook voor communicatie met het besturingssysteem.
Via deze IRP hooks wordt het uitlezen en schrijven naar de Master Boot Sector beschermd.
Tooltjes die de MBR trachten uit te lezen worden door de rootkit omgeleid naar sector 62, met als resultaat dat een cleane MBR gevonden wordt en ook geen infectie gerapporteerd wordt.

Nieuwere varianten gaan nog een stap verder. Disk.sys wordt niet meer gehooked, maar wel de driver behorende bij de disc-controller.
De functie die gehooked wordt is IRP_MJ_INTERNAL_DEVICE_CONTROL. Deze hook gebeurt enkel als dit nodig is: wanneer de rootkit merkt dat er een poging uitgevoerd wordt om de MBR uit te lezen.
Is de poging voorbij dan verdwijnt de hook en kan deze ook niet meer gedetecteerd worden. De rootkit kan dit doen omdat het gebruik maakt van Direct Kernel Object Hooking. Hierdoor is de rootkit bijzonder lastig op te sporen.

Verwijdertools voor deze infectie:

Terug naar de inhoud | Terug naar het hoofdmenu