Ondetecteerbare malware laadt nog voor Windows opstart

De sluwe rootkits die zich ongemerkt op je computer verstoppen, hebben zich verder ontwikkelt naar de bootkit: slimmer en nog geniepiger. Onderzoekers waarschuwen voor een variant die steeds vaker opduikt.

Onderzoekers hebben malware ontdekt die het fundamentele systeemniveau van een computer kan infecteren, waardoor de code tijdens het booten wordt uitgevoerd voor het besturingssysteem zelf aan de beurt komt. Het gaat om een zogenaamde “bootkit”, een geavanceerde versie van een rootkit, die waarschijnlijk al sinds begin 2015 actief is. Bootkit functionaliteit in malware is niet nieuw, maar het gaat deze keer om een programma dat relatief breed gedistribueerd werd.

Pakketje

Onderzoekers gaven de malware de naam BOOTRASH. Omdat de bootkit zichzelf laadt vooraleer Windows aan de beurt is tijdens het opstartproces, maakt dat het voor het besturingssysteem moeilijk om de kwaadaardige activiteit te identificeren, wat het vervolgens ook aartsmoeilijk maakt om de software opnieuw te verwijderen.

BOOTRASH zelf staat niet alleen, het is deel van een malware pakket dat bekend staat onder de naam Nemesis, en dat zich voornamelijk richt op financiële instellingen. Concreet infecteert BOOTRASH de Master Boot Record (MBR), waar basisinformatie zich bevindt over de partities op de HDD en basiscode over hoe de primaire partitie kan geïnitialiseerd worden. Nemesis nestelt zich in de lege ruimte tussen partities, terwijl BOOTRASH de code injecteert in Windows processen tijdens het opstarten van het systeem.

Optie voor de toekomst

Met andere woorden: de malware verstopt zich op plekken waar virusscanners meestal niet komen. Een grondige en diepgaande scan van het hele systeem traceert de malware wel, maar neemt heel wat tijd en energie in beslag.

Een opvallend detail: de makers van Nemesis lijken een deïnstallatie-optie te hebben ingebouwd in hun code. Het verwijdert de malware niet, maar verhindert wel dat de code in actie komt bij het booten. Onderzoekers speculeren dat de optie misschien in de toekomst gebruikt zal worden voor ransomware, waarbij cybercriminelen data gijzelen van slachtoffers.