Door deze techniek zijn o.a. rootkits in staat de processen en de acties die deze vorm van malware uitoefent te verbergen voor het besturingssysteem en soms ook de gebruikte anti-malware software.
De  Anti-stealth technologie die gebruikt wordt in o.a. Anti Rootkit tools proberen ondanks de gebruikte “stealth” techniek toch de uitvoerende acties te achterhalen, zodat deze vorm van malware snel gedetecteerd wordt en zo onschadelijk gemaakt kan worden.

Anti AV/FW (AntiVirus/Firewall)

Doormiddel van deze techniek probeert de malware het geïnstalleerde Antivirus en Firewall programma uit te schakelen, zodat het systeem geheel onbeveiligd is.
Hierdoor heeft de malware variant vrij spel, en kan deze zo nog meer schade aanrichten aan het systeem.

ASEP (AutoStart Entry Points)

Met deze techniek worden door de malware variant o.a. de volgende register-sleutels gebruikt om misbruik te maken van de opstartbestanden van het besturingssysteem.

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (%System%\userinit.exe)
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows (AppInit_DLLs)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
%ALLUSERSPROFILE%\Start Menu\Programs\Startup
%USERPROFILE%\Start Menu\Programs\Startup

Er zijn zelfs Rootkits die de “Master Boot Record” van de harde schijf gebruiken als ASEP (Auto Start Entry Point).
Hier wordt dan een bestand geplaatst die automatisch wordt uitgevoerd en zo schrijf toegang en schrijfrechten probeert te krijgen tot de harde schijf.
De “Master Boot Record” wordt zo bewerkt dat de Rootkit automatisch opstart met het besturingssysteem.
Gedetailleerde informatie over ASEP’s is hier te vinden.

IFEO (Image File Execution Options)

Doormiddel van deze techniek probeert de malware het geïnstalleerde Antivirus en Firewall programma uit te schakelen, zodat het systeem geheel onbeveiligd is.
Ook wordt er met deze techniek een ander bestand uitgevoerd dan wat de gebruiker verwacht.
Er wordt namelijk een register sleutel aangemaakt zoals bijvoorbeeld hieronder.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IFEO\ashDisp.exe
ashDisp.exe is de GUI van de virusscanner avast
Doordat de malware is gekoppeld aan deze register sleutel wordt niet Avast gestart maar de malware variant.
Omdat virusscanners altijd automatisch opstarten wordt er met de IFEO techniek veel misbruik van de virusscanner gemaakt.
Veel browserhijackers, en trojan horses maken gebruik van deze techniek, maar ook Virut varianten gebruiken IFEO.

Social engineering

Deze techniek is weer onder te verdelen in drie sub-technieken.

Phishing
Spear Phishing
Valse emails (spam)

Met deze technieken willen “kwaadwillende” gebruikers handelingen laten uitvoeren of gegevens te laten verstrekken aan de “kwaadwillende”. Ook worden er bijvoorbeeld malware varianten zoals “trojan horses” aanbevolen als een legitiem programma.
Ook het ontfutselen van inlog gegevens via “phishing mails” en “valse websites” valt hier onder.
Sociale virusaanvallen op Ius mentis

Alternate Data streams

Een ADS (Alternate Data Stream) is een verborgen bestand dat weer gekoppeld is aan een normaal bestand.
Hiermee worden de gegevens die het bestand bevat afgeschermd, er kunnen dan ook meerdere Alternate Data Streams aan één bestand gekoppeld zijn.

Omdat ADS (Alternate Data Streams) niet zichtbaar zijn in bijvoorbeeld de Windows verkenner zijn er speciale tools nodig om deze zichtbaar te maken zoals;
ADSspy
ADS Locator (Safer Networking)

Vanwege het feit dat Alternate Data Streams verborgen zijn is dit natuurlijk ideaal voor vormen van malware dat natuurlijk maar al te graag verborgen wil blijven.
Vooral rootkits maken veel gebruik / misbruik van Alternate Data Streams.

Het verwijderen van Alternate Data Streams

Omdat de Alternate Data Streams verborgen zijn is het moeilijk deze te verwijderen, zoals eerder vermeld zijn er speciale programma’s voor nodig om de Alternate Data Streams zichtbaar te maken en te verwijderen.
Voordat een Alternate Data Stream kan worden verwijderd zal eerst het bestand of directory waaraan de Alternate Data Stream is gekoppeld verwijderd moeten worden.

Het gevaar van een malware ADS is dat deze de functie van een essentieel onderdeel kan overnemen zoals b.v. Explorer (verkenner).

Info:

Meer informatie over Alternate Data Streams leest u hier op Compact.nl