Hoofdmenu
Update 2011 12 11
De Whistler bootkit / Black Internet is een krachtige bootkit die de volgende besturingssystemen infecteert: Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows 7 en Windows Server 2008.
De originele Master Boot Record wordt vervangen door kwaadaardige code.
Hierdoor kan een uitvoerbaar bestand geladen worden. Dit bestand wordt bij elke opstart uitgevoerd door de Local System Account (NT-
Het uitvoerbaar bestand wordt geladen voor een securityprogramma geladen wordt en voor de gebruiker is aangelogd.
Dit bestand wordt verborgen voor alle securityprogramma's en kan niet gedetecteerd of verwijderd worden.
De volledige controle van de computer kan hierdoor overgenomen worden door een hacker.
Symptomen die duiden op aanwezigheid van de Whistler bootkit:
-
-
C:\System Volume Information\Whistler\svchost.exe
C:\System Volume Information\Whistler\smss.exe
C:\System Volume Information\_restore{d5fffa500b1b}\smss.exe
C:\System Volume Information\_restore{d5fffa500b1b}\svchost.exe
-
Hoe detecteren?
MBRcheck.exe kan de aanwezigheid van de Whistler bootkit tonen.
De logfile die deze tool produceert wanneer de Master Boot Record (MBR) geïnfecteerd is ziet er als volgt uit:
\\.\C: -
PhysicalDrive0 Model Number: MAXTORSTM3160215A, Rev: 3.AAD
Size Device Name MBR Status
-
127 GB \\.\PhysicalDrive0 Known-
SHA1: 33364FDCC8149BB31030BC6D06E1CAB5630C3AD4
Hoe verwijderen?
Volg de instructies in het venster van MBRcheck.exe om de Master Boot Record te vervangen met een standaard windows MBR.
Herstart vervolgens de computer en controleer opnieuw met MBRcheck.exe of de procedure geholpen heeft.
TDSSKiller is geupdate om deze infectie te verwijderen.