Malware Removal Information

Hoofdmenu

Home
Malware info
- Malware - Securitysuites
- Waarom?
Scanners
Infecties
- Archief 0 - E
- Archief F - N
- Archief O - S
- Archief T - Z
- CLB rootkit
- DNS-hijackers
- Haxdoor - Goldun
- Sinowal
- TDL3
- TDL4
- Virut
- Vundo
- Whistler
Tools
- Hijackthis
  - Hijackthis
  - Hijackthis handleiding
- Rootkitscanners
- ComBoFix
- HaxFix
- LSPFix
- Reglooks
- Roguescanfix
- SmitfraudFix
Informatie
Preventie
- De computer is malware vrij
- Infecties voorkomen

TDL4

Infecties

Eerste varianten TDL4
TDL3 ( aka Tidserv, TDSServ, Alureon ) is toe aan een volgende versie: TDL4.
Zo wordt de opvolger genoemd door Kaspersky.
Nieuw is dat deze rootkit ook werkt op 64-bit systemen.

De infectie combineert de oude TDL3-variant met het infecteren van de Master Boot Record.
Door kwaadaardige code te schrijven in de Master Boot Record kan een uitvoerbaar bestand geladen worden. Dit bestand wordt bij elke opstart uitgevoerd door de Local System Account (NT-AUTHORITY\SYSTEM) waardoor het alle rechten heeft op de geïnfecteerde computer.

Op 32-bit systemen wordt de oude TDL3 methode gebruikt om te infecteren. De driver die bij de infectie hoort wordt geladen, heeft de nodige rechten en doet de rest. Daarna wordt de Master Boot Record (MBR) overschreven.
Legit drivers worden enkel in het in geheugen geïnfecteerd.

Op 64-bit systemen wordt de procedure iets moeilijker.
Eerst wordt de Master Boot Record overschreven.
Om de eigen (64-bit) driver te laden die bij de infectie hoort, moet men voorbij de windows kernel protectie die Microsoft in het leven heeft geroepen voor 64-bit systemen:
- Kernel drivers die niet digitaal ondertekend zijn, worden niet geladen, ze worden geblokkeerd.
- Patchguard (Kernel Patch Protection) is een extra beveiligingsprocedure die er voor zorgt bepaalde kwetsbare gebieden (bv System Service Descriptor Table hooks, Interrupt Descriptor Table hooks, ...) van de windows kernel worden geblokkeerd.
Om dit te omzeilen dwingt de infectie een reboot af, waardoor de geïnfecteerde MBR de rest van de taak op zich neemt. De windows kernel protection van Microsoft wordt omzeild, en de rootkit wordt geactiveerd.

De bestanden die bij deze infectie horen worden geplaatst op het einde van de schijf waarvan geboot wordt.

Deze infectie kan verwijderd worden met TDSKiller, een removaltool voor TDL / Alureon varianten van Kaspersky.
Meer info over TDSKiller vind je hier.
Andere tools die deze infectie kunnen detecteren verwijderen zijn:

Bitdefender Removal tool TDL4/Pihar/MAXSS (32-bit version)
Bitdefender Removal tool TDL4/Pihar/MAXSS (64-bit version)
Eset: OlmarikTDL4 Olmasco Cleaner
Avast: aswMBR

Meer info over deze rootkit vind je hier en hier.

Tweede variant van TDL4 - update december 2011.

Nieuwe varianten passen niet meer de masterboot record code aan, maar passen de partitietabel aan.
Op het einde van de harde schijf waarvan opgestart wordt, wordt een kleine partitie aangemaakt. Deze partitie wordt verborgen en bevat de componenten die bij deze rootkit horen.

Deze infectie kan verwijderd worden met de Bitdefender Bootkit Removal Tool. Er is een 32-bit versie en een 64-bit versie.

Voorbeeld van een Masterboot Record.

Het rood omlijnde is de partitietabel.
Het blauw omcirkelde geeft de actieve partitie aan.
Het groen omcirkelde geeft de grootte weer van deze partitie (Voor deze laatste partitie is dit 2032 sectoren (=0,99 MB)

Een ander voorbeeld van een MBR waar deze TDL4 variant de partitietabel heeft aangepast is deze:

Het blauw omlijnde is de partitietabel.
Partitie 1: grootte is 39053952 sectoren , wat overeen komt met 18.62 GB ,bestandsysteem is NTFS.
Eerste partitie stond inderdaad op inactief.
De tweede partitie is de actieve, grootte 16049 sectoren. (ongeveer 8024 kb, bijna 8 mb).
Bestandssysteem is Hidden IFS, wat verwijst naar OS/2.