De installer van deze rootkit variant(en) nestelt zich in de "Print Processor directory" onder een random naam en maakt een *.dll bestand aan dat wordt geregistreert als een Print Processor en geladen wordt onder "spoolsv.exe".
Waarom "spoolsv.exe" zult u denken, maar dit is een legitiem proces waar een minimale controle op is door security / beveiligings software.
Het aangemaakte *.dll bestand zal een nieuwe driver installeren en laden op kernelniveau en de Kernel Mode Code Signing omzeilen.
Deze controle moet er eigenlijk voor zorgen dat drivers alleen geïnstalleerd kunnen worden als zij digitaal ondertekend zijn?
Doordat de gebruikte rootkit code wordt opgeslagen in de laatste sectoren van de harde schijf, kan elke willekeurige driver steeds opnieuw geïnfecteerd worden, dit is afhankelijk van de rootkit en de gebruikte miniport driver.
Andere varianten infecteren de 'bootlevel' driver en waarbij de 'disc-controller driver(s)' alleen in het geheugen geïnfecteerd zijn.
Opsporen van deze infectie
Bij het opsporen van deze infectie kan je niet kijken naar de bestandsgrootte van de eventueel geïnfecteerde driver omdat deze voor en na de infectie identiek is.
Het controleren van de MD5 (hash-checksum) is in dit geval wel een optie want de MD5 kan nooit gelijk zijn aan die van het geïnfecteerde bestand (driver), maar doordat de rootkits in staat zijn om niet geïnfecteerde drivers te laten tonen is een MD5 (hash) niet voldoende.
Met b.v. het programma "Systemlook" kan je zoeken naar eventueel geïnfecteerde drivers, dit programma geeft eveneens een MD5 hash de datum waarop het is aangemaakt en gewijzigd, op basis van deze informatie van je de eventueel geïnfecteerde driver vervangen voor een 'clean' exemplaar.
Download SystemLook.exe en plaats het bestand op het Bureaublad.
Dubbelklik SystemLook.exe om het programma te starten.
In het venster dat opent kopieer je onderstaande code:
Code: Selecteer alles
:filefind
atapi.sys
Als de scan klaar is opent een tekstbestand (SystemLook.txt).
Omdat een MD5 check niet voldoende is, zijn er andere 'tools' nodig om de rootkit infectie op te sporen, één hiervan is TDSS killer van Kaspersky.
Download TDSSKiller en plaats het op je bureaublad.
- Pak de bestanden in tdsskiller.zip uit.
- Open de map tdsskiller en dubbelklik op TDSSKiller.exe om de tool te starten.
- Klik op de knop "Start Scan" en volg de instructies.
- Wanneer de scan klaar is klik je op de knop "Report".
- Er opent een kladblokbestand. Post de inhoud van dit bestand.
Download MBRCheck.exe naar je bureaublad.
- Dubbelklik op MBRCheck.exe om het programma te openen.
- Zo'n soort venster zal geopend worden:
- Als je (zoals hierboven in de afbeelding) een melding krijgt, typ dan op N en druk op Enter.
- Druk nogmaals op Enter.
- Een kladblokbestand genaamd MBRCheck_mm.dd.yy_hh.mm.ss zal op je bureaublad worden opgeslagen.
1. Ga naar Start en typ in het pad geheel onderaan: diskpart
2. In de zoekresultaten staat er diskpart.exe
3. Start dit op door erop te klikken.
4. Gebruikersaccountbeheer kan vragen om toestemming. Klik dan op OK
5. Even later verschijnt het bekende zwarte schermpje met onderaan DISKPART>
6 Typ nu: lis dis (achter DISKPART>)
7 Nu verschijnt de tekst over Schijfnummer, Status, Grootte, Vrij, Dyn en GPT daaronder een aantal waarden.
Is het systeem met TDL-Rootkit besmet, dan krijg je echter de tekst dat er GEEN schijven worden gevonden.
Hoe werken de 'cleaning' tools nu?
De meeste tools die 'rootkits' kunnen verwijderen werken op basis van 'gegrag's' herkenning en een database van bekende varianten, hierdoor worden door diverse 'tools' schone exemplaren van de geïnfecteerde drivers vervangen, indien dit niet mogelijk is kunt u zelf via de recovery-console van Windows de geïnfecteerde driver(s) vervangen voor een 'clean' exemplaar.
Met diverse 'tools' is het mogelijk om ook geïnfecteerde drivers aan te tonen die een identieke MD5 (hash) van een legitiem bestand tonen waarmee een rootkit ontdekt kan worden, dit soort 'tools' werken op basis van een reboot.
Er wordt namelijk gezocht naar een geïnfecteerde driver, en na een reboot worden de resultaten vergeleken en als de eigenschappen b.v. de MD5 (hash) niet overeenkomen is er in veel gevallen sprake van een geïnfecteerde driver.
MBR vervangen / verstandig?
Eén van de opties om een 'rootkit' te verwijderen is natuurlijk heel simpel het overschrijven van de MBR (Master Boot Record), maar ook hier zitten diverse haken en ogen aan.
Bij b.v. Acer systemen en andere ' fabrieks systemen' wordt er gebruik gemaakt van een 'non-standaard' MBR die het (disc to disc) recovery systeem aanstuurt, om de fabrieksimage van de recovery partitie via o.a. de ALT+F10 optie weg te schrijven naar de systeempartitie.
Indien hier een 'standaard' Windows MBR word teruggeplaatst zal het gehele (disc to disc) recovery systeem niet meer werken.
Bij Acer en andere systemen is het dan zo dat je van de aanwezige recoverypartitie met de Acer empowering tools een backup kan maken op een DVD.
Bij deze DVD is er echter geen RC mogelijkheid om even simpel de gebruikte 'non-standaard' MBR te restoren, alleen de complete systeemschijf kan gerestored worden.
Doordat de meeste 'rescue' schijven geen RC (recovery-console) hebben is het restoren van geïnfecteerde niet eenvoudig, gelukkig zijn er voor Windows Vista en Windows 7 'bootable recovery' cd's /dvd's te downloaden. waarmee u bestande kunt 'replacen' vervangen.