TDL3 rootkit nog steeds groot probleem voor antivirus programma's
Gratis TDL3 verwijdering door Hitman Pro
Hengelo, 19 januari 2010. Af en toe verschijnt er een nieuw virus dat slim genoeg is om antivirusbedrijven volledig om de tuin te leiden. TDL3, een nieuwe variant van de TDSS rootkit (ook wel Alureon genoemd), is zo'n geavanceerd virus die antivirus onderzoekers slapeloze nachten bezorgt. TDL1 verscheen voor het eerst in de zomer van 2008 en is vandaag de dag nog steeds in staat detectie te voorkomen door een groot aantal antivirusprogramma's. Afgelopen zomer verscheen de 2e variant TDL2. "De TDL3 is een van de meest geavanceerde virussen die ik heb gezien", aldus CEO Mark Loman. "De rootkit lift mee op een standaard driver om detectie door antivirus programma's te vermijden."
Hoe werkt TDL3?
TDL3 registreert zichzelf eerst als print processor. Het printer subsysteem (spoolsv.exe), dat systeemrechten bevat, laadt deze Print Processor vervolgens in. Virusscanners die ook het gedrag van processen monitoren slaan bij deze actie geen alarm omdat het printer subsysteem een vertrouwd onderdeel van Microsoft Windows is. Als print processor heeft TDL3 nu volledige systeemrechten en infecteert het de laagst gelegen systeem driver die verantwoordelijk is voor de communicatie met de harde schijf. Als virusscanners deze driver willen controleren krijgen deze het originele bestand voorgeschoteld zodat virusscanner de infectie niet opmerken.
Daarnaast plaatst TDL3 op de laatste sectoren van de harde schijf een eigen versleutelde bestandssysteem bovenop het traditionele bestandssysteem. Deze versleuteling zorgt ervoor dat deze bestanden niet rechtstreeks van schijf kunnen worden gelezen wat detectie door virusscanners onmogelijk maakt. Het versleutelde bestandssysteem wordt gebruikt om allerlei andere gevaren, die via internet worden gedownload, op te slaan. "Het is net een hotel", aldus Mark Loman. "Andere virusschrijvers kunnen een kamer in het 'TDL3-hotel' boeken om hun virussen te verbergen voor antivirus programma's."
Hoe kan TDL3 verwijderd worden?
Het aantal geïnfecteerde computers groeit snel. De laatste gast in het 'TDL3-hotel' verwijst resultaten van zoekmachines naar kwaadaardige websites, het Google Redirect Virus. Het aantal antivirusbedrijven dat momenteel de TDL3 infectie kunnen detecteren is op 1 hand te tellen. En het aantal bedrijven die de infectie ook daadwerkelijk kunnen verwijderen is bijna nihil.
Gebruikers kunnen een gratis versie van Hitman Pro downloaden om de TDL3 rootkit te verwijderen. Hitman Pro heeft al duizenden PCs verlost van de TDSS infectie.
Hitman Pro 3
Hitman Pro 3 kan een computer in een paar minuten scannen vanaf een USB stick, CD/DVD, lokale harde schijf of netwerkschijf en toont snel de aanwezigheid van mogelijke gevaren met behulp van de Gedragsscan. De werkelijke verificatie van deze verdachte malware bestanden wordt gedaan op de Hitman Pro servers, de "Scanwolk", die bestaat uit een multi-vendor scanning service. Hitman Pro 3 gebruikt 7 verschillende antivirusprogramma's om de verdachte bestanden te analyseren.
Hitman Pro 3 kan worden gebruikt in aanvulling op bestaande antivirusprogramma's. Het scannen is gratis, dus Hitman Pro 3 is een ideaal hulpmiddel om te controleren of het bestaande antivirusprogramma voldoende bescherming biedt. Een gratis versie kan worden gedownload van www.hitmanpro.com
Nuttige links: