Malware Removal Information

Ga naar de inhoud

Hoofdmenu

Whistler

Infecties

Update 2011 12 11

De Whistler bootkit / Black Internet is een krachtige bootkit die de volgende besturingssystemen infecteert: Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows 7 en Windows Server 2008.
De originele Master Boot Record wordt vervangen door kwaadaardige code.
Hierdoor kan een uitvoerbaar bestand geladen worden. Dit bestand wordt bij elke opstart uitgevoerd door de Local System Account (NT-AUTHORITY\SYSTEM) waardoor het alle rechten heeft op de geïnfecteerde computer.
Het uitvoerbaar bestand wordt geladen voor een securityprogramma geladen wordt en voor de gebruiker is aangelogd.
Dit bestand wordt verborgen voor alle securityprogramma's en kan niet gedetecteerd of verwijderd worden.
De volledige controle van de computer kan hierdoor overgenomen worden door een hacker.

Symptomen die duiden op aanwezigheid van de Whistler bootkit:

- Redirects
- Lopende processen uit de systeemherstelpunten (System Volume Information)

  • C:\System Volume Information\Whistler\svchost.exe

  • C:\System Volume Information\Whistler\smss.exe

  • C:\System Volume Information\_restore{d5fffa500b1b}\smss.exe

  • C:\System Volume Information\_restore{d5fffa500b1b}\svchost.exe

- Muziek advertenties


Hoe detecteren?

MBRcheck.exe
kan de aanwezigheid van de Whistler bootkit tonen.
De logfile die deze tool produceert wanneer de Master Boot Record (MBR) geïnfecteerd is ziet er als volgt uit:

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)

PhysicalDrive0 Model Number: MAXTORSTM3160215A, Rev: 3.AAD  

     Size  Device Name          MBR Status
 --------------------------------------------
   127 GB  \\.\PhysicalDrive0   Known-bad MBR code detected (Whistler / Black Internet)!
           SHA1: 33364FDCC8149BB31030BC6D06E1CAB5630C3AD4


Hoe verwijderen?

Volg de instructies in het venster van MBRcheck.exe om de Master Boot Record te vervangen met een standaard windows MBR.
Herstart vervolgens de computer en controleer opnieuw met MBRcheck.exe of de procedure geholpen heeft.

TDSSKiller
is geupdate om deze infectie te verwijderen.

Terug naar de inhoud | Terug naar het hoofdmenu