Cloud Assisted Miniport Hook Bypass detecteert rootkits die zich diep in het besturingssysteem hebben genesteld
Hengelo, 16 juni 2011 - SurfRight, ontwikkelaar van hulpmiddelen die gebruikers meer controle geven over hun PC security, heeft vandaag Hitman Pro 3.5.9 aangekondigd. Het hoofddoel van deze release is de toevoeging van de Cloud Assisted Miniport Hook Bypass functie.
"De afgelopen weken zagen we een toename in het aantal uiterst geavanceerde rootkits zoals Mebroot, Sinowal en TDL4 die proberen detectie door Hitman Pro te voorkomen" aldus Mark Loman, CEO van SurfRight. "Met deze nieuwe release zijn we beter in staat deze geavanceerde dreigingen te detecteren en te verwijderen
De belangrijkste wijzigingen in de nieuwe versie zijn:
De volledige release notes en wijzigingen van Hitman Pro 3.5.9 build 124 staan op www.surfright.com/hitmanpro/whatsnew
Bestaande gebruikers van Hitman Pro worden automatisch bijgewerkt naar de nieuwste versie in de komende dagen.
Rootkits zijn de lastigste soorten malware. Rootkits nestelen zich diep in het besturingssysteem waar ze zich verbergen voor antivirus software. Hoe langer een rootkit op een computer blijft leven, hoe langer de cyber criminelen deze computer in hun macht hebben. Uiterst geavanceerde rootkits zoals de TDSS family (TDL, Alureon.DX, Olmarik) en nieuwe varianten van Mebroot/Sinowal werken op zowel 32-bit als 64-bit versies van Windows en infecteren de Master Boot Record (MBR). Dit houdt in dat deze “Bootkits” starten voordat Windows volledig is opgestart, wat de bootkit een duidelijk voordeel geeft. Elk beschermingsmechanisme van Windows (of van antivirus software die geladen wordt) kan worden misleid (het programma dat als eerste start, heeft controle over de anderen).
Wanneer Windows opstart voegt de rootkit een filter mechanisme toe aan de hard disk driver. Dit filter geeft de rootkit complete controle over de harde schijf. Bijvoorbeeld als een antivirus program de MBR (sector 0) van de harde schijf wil lezen (om te zien of het geinfecteerd is), toont de rootkit eenvoudigweg de gewone MBR zodat het lijkt alsof de MBR niet is aangetast. Oftewel, de rootkit wordt niet gedetecteerd.
Om de werkelijke, geinfecteerde MBR te kunnen lezen moet je om het filter mechanisme van de rootkit heen lezen. Hiervoor moet je twee dingen weten:
Als je de precieze hard disk driver kunt achterhalen, kun je daar direct mee communiceren, en lees je buiten de hooks van de rootkit om.
Het probleem is dat er duizenden verschillende merken, types en versies hard disk drivers zijn, en die moeten allemaal anders geadresseerd worden. Hier komt de Cloud Assisted Miniport Hook Bypass van pas.
Cloud Assisted Miniport Hook Bypass verzamelt hard disk miniport driver informatie van schone computers en bewaart een handtekening van deze informatie (enkele bytes) in de Cloud. Als Hitman Pro een hook op de hard disk driver detecteert, vraagt het de Cloud hoe daar om heen gewerkt kan worden. Hierdoor kan Hitman Pro buiten om het filter mechanisme van de rootkit lezen, en leest het de werkelijke geinfecteerde sectoren. Dit werkt voor elke hard disk driver en niet alleen de meest gebruikte.
De Cloud helpt Hitman Pro gebruikers tegen de meest geavanceerde malware dreiging: Rootkits.