Berichten tagged rootkit

Deze nieuwe bedreiging combineert de vernietigende werking van een virus met de verspreidende eigenschappen van een worm en toont sporen van rootkit gedrag. De beoogde slachtoffers worden verleid om deel te nemen aan een IQ-test, waarna de worm 7 tot 11 kopieën van zichzelf op kritieke locaties van de PC nestelt.  

Win32.Worm.Zimuse.A/B is een extreem gevaarlijke infectie, in tegenstelling tot de meeste wormen kan infectie leiden tot volledig data verlies omdat de eerste 50 KB van het Master Boot Record wordt overschreven, een essentieel onderdeel van de harde schijf. Om zichzelf iedere keer samen met Windows te laten opstarten plaatst de worm onderstaande registersleutel:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]”Dump”=”%programfiles%\Dump\Dump.exe

Tevens worden onderstaande drivers geïnstalleerd:

%system%\drivers\Mstart.sys en %system%\drivers\Mseu.sys

64-bit versies van Windows Vista en Windows 7 vereisen digitaal ondertekende drivers, dus hier zal Win32.Worm.Zimuse.A geen slagingskans hebben. Vanaf het begin is de infectie lastig te ontdekken. Na een aantal dagen (40 dagen voor variant A, 20 voor variant B) krijgt de gebruiker de foutmelding dat er malafide inhoud is aangetroffen in IP pakketten van een bepaalde site. Er wordt verzocht om het systeem te herstellen door op OK te klikken. Na de herstart raakt de harde schijf onbruikbaar vanwege de beschadigde MBR.

 Bekijk een demo video over Win32.Worm.Zimuse.A