Whistler / Black Internet (Stoned Bootkit) infectie

By | 4 augustus 2010

Deze variant infecteerd de ‘Master Boot Record’ (MBR) dit kan zowel via een executable in het gebruikte OS zelf,  alsook via een geïnfecteerd PDF bestand die een ‘vulnerability’ in Acrobat Reader misbruikt.
Windows 2000 t/m Windows 7 zijn kwetsbaar voor deze infectie.

Symptomen.
Gekende symptomen op dit moment is vooral het verliezen van de focus van Internet Explorer (iexplore.exe) en dat er verbinding gemaakt wordt door iexplore.exe met verticalhorizonads.com

Detecteren van de infectie
Deze infectie  is te detecteren met de tool “MBRcheck” (van ad13) in de gemaakte logfile is dan te zien dat de PC is geïnfecteerd met  “(Whistler / Black Internet)!

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x000000fc

\\.\C: –> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

Size Device Name MBR Status
——————————————–
596 GB \\.\PhysicalDrive0 Known-bad MBR code detected (Whistler / Black I
nternet)!
SHA1: 47055FAD2554A7035F16CE4EFCBE590BACF67C33

Found non-standard or infected MBR.
Enter ‘Y’ and hit ENTER for more options, or ‘N’ to exit:

Verwijderen van de infectie / herstellen van de Master Boot Record (MBR)
Met diverse ‘tools’ is het mogelijk om een geïnfecteerde Master Boot Record te herstellen, alsook via de recovery console van Windows.

Belangrijk::
Het herstellen van de mbr kan er toe leiden dat disc to disc recovery functies niet meer functioneren.
Indien uw computer over een recovery partitie beschikt gebruik de tool dan niet.
In dit geval kunt u beter een backup maken van al uw bestanden en uw computer herstellen via de recovery image, zodat de computer weer naar de fabrieks-instellingen hersteld zal worden.

Indien u geen Windows CD/DVD heeft en de “recovery console” van Windows is niet geïnstalleerd kunt u op de onderstaande link de recovery CD’s downloaden.
Recovery cd’s Windows Vista en 7 downloaden
Voor Windows XP is er echter geen recovery CD beschikbaar.

Windows XP Master Boot Record herstellen.
Voor Windows Vista werkt het herstellen van de MBR idem als voor Windows XP, alleen gebruikt u hier het commando bootrec.exe /fixmbr (Let op!!! de spatie voor de / slash)

Indien u hulp of advies nodig heeft betreffende deze infectie of het herstellen van de MBR kunt u op één van de forums die hier staan terecht