Blog over PC Beveiliging
malware
Rogueware en Scareware schrijvers aangeklaagd
29 mei
De Verenigde Staten hebben de schrijvers van Rogueware en Scareware aangeklaagd, de drie mannen hadden met programma’s als Drivecleaner, ErrorSafe, Malware Alarm, AntiVirus 2008 en VirusRemover 2008 meer dan 100 miljoen dollar verdient. De drie ‘heren’ opereerden vanuit de Verenigde Staten, Zweden en Ukraïne en hadden slachtoffers in meer dan 60 landen.
Nieuwe phishingaanval gebruikt tabs en java
27 mei
Met behulp van zogenaamde phishing-aanvallen schotelen malwareschrijvers namaakversies van bekende websites aan de slachtoffers voor om zodoende inloggegevens te ontfutselen. De gebruiker komt terecht op deze nagemaakt versie en is in de veronderstelling op de echte site te zijn. Aza Raskin, een Firefox ontwikkelaar, heeft een nieuw type phisingaanval uitgewerkt die behoorlijk gemeen in elkaar zit.
Yimfoca of Palevo worm via Skype en Yahoo Messenger
09 mei
Momenteel verspreidt versie twee van deze worm zich, niet alleen via Yahoo Messenger maar nu ook via Skype. Gebruikers ontvangen een bericht (zogenaamd van een bekend contact) met daarin een link en een afbeelding, ervan uitgaande dat de afbeelding via de link te downloaden is, klikken veel slachtoffers op de malafide link. Deze techniek noemt men ‘social engineering’.
Malware statistieken 1e kwartaal 2010
09 apr
BlackHat SEO
Eén van de nieuwe trends is BlackHat SEO (illegale zoekmachine optimalisatie).
De criminelen spelen in op wereldwijd nieuws zoals de aardbeving in Haïti of de introductie van de Apple IPad. Binnen enkele uren staan meerdere gevaarlijke websites in deze Google zoekresultaten. Het bezoeken van zo’n website is genoeg om geïnfecteerd te raken zonder ook maar ergens op geklikt te hebben.
Hoax, Sociale media, Scareware & Rogueware
Indien de Blackhat SEO techniek wordt gecombineerd met een Hoax (nepwaarschuwing) zoals de Facebook Hoax zijn de effecten groter omdat de getroffen gebruikers geleid door angst bereid zijn om de geboden ‘oplossingen’ te installeren. Met enige trucage komt de Hoax zelfs aan als privé bericht van een bekend contact in Facebook.
Het toenemende gebruik van sociale media als Twitter, Hyves, Facebook, Tokker en Friendfeed zijn redenen voor malware schrijvers om deze groeiende markt aan te boren. In het geval van de Facebook Hoax werden de slachtoffers besmet met de Sinowal Trojan welke bankgegevens steelt. Met behulp van nep e-mails, zogenaamd van Microsoft, Facebook, UPS of Amazon, die zich voordoen als updates, wenskaarten, infectiewaarschuwingen of gewonnen loterijen worden gebruikers naar malafide links gelokt en geïnfecteerd met nep virusscanners. Deze Scareware/Rogueware geeft valse meldingen van infecties die enkel op te lossen lijken na aanschaf van het malafide product. Vanzelfsprekend verdwijnt, behalve het geld, ook de creditcard gegevens in de zak van de crimineel.
Statistieken
Virussen voeren al langer niet meer de ranglijsten aan, 61% van de Malware bestaat uit Trojans. Maar virussen lijken een comeback te maken en hebben categorieën als Adware weer overtroffen. Dit kan een natuurlijk proces zijn, maar net zo goed een afleidingsmanoeuvre om de aandacht van een ander, belangrijk Malware project af te leiden.
Spanje voert de ranglijst aan qua geïnfecteerde landen met maar liefst 36% gevolgd door Amerika met 16%. Spam (ongewenste e-mail) wordt voornamelijk verstuurd door Botnets (netwerk van besmette computers) en is voor 10% afkomstig uit Brazilië gevolgd door India en Vietnam met respectievelijk 10 en 9%
Vertaald uit: Quarterly Report PandaLabs (January-March 2010)
Trojan-PSW/W32.OnlineGames.x – Weg World of Warcraft
13 feb
Dit type Trojan steelt wachtwoorden en andere gevoelige informatie, tevens bestaat de mogelijkheid dat er meer malware gedownload wordt.
Deze familie van ‘Password stealers’ is vrij groot en is voornamelijk op jacht naar inloggegevens van online games zoals World of Warcraft. De gestolen inloggegevens worden doorgesluisd naar een ‘hacker’ die met deze gegevens op de bewuste account kan inloggen waarna alle bezittingen worden doorgesluisd naar een andere speler. Deze bezittingen worden later weer omgezet in wereldse valuta door middel van verkoop. Met miljoenen spelers zijn er al gauw duizenden slachtoffers, reken maar uit.
Deze trojans komen geregeld het systeem binnen via malafide e-mail bijlagen, via malafide links in MySpace en FaceBook of worden binnengehaald door wormen, Backdoors en Trojan-downloaders. Nadat de Trojan is geactiveerd nestelt deze zich in het systeem door zich in de Windows folder te kopiëren. Tevens wordt het automatisch opstarten van de Trojan verzekerd door een sleutelwaarde te plaatsen in:
[HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run]
Hierna gaat de Trojan op zoek naar Explorer.exe en injecteert dit proces door middel van een DLL.
Om de daadwerkelijke inloggegevens te bemachtigen ‘leest’ de Trojan het proces geheugen van de game exe’s zoals WOW.EXE (World of Warcraft), ElementClient.exe (Perfect World), CabalMain.exe (Cabal Online). Ook is het mogelijk dat de Trojan Keylogger capaciteiten bezit of het adres van de game server probeert te achterhalen uit CurrentServer.ini. De DLL bevat vaak een gecodeerde URL waar de gestolen gegevens naar toe worden gezonden, de meeste hiervan bevinden zich in China.
Buiten deze schadelijke gevolgen worden soms ook startpagina’s en/of zoekresultaten aangepast, AntiVirus producten afgesloten, update mogelijkheden uitgeschakeld en vertragen sommige pc enorm door een hoog cpu gebruik van de Trojan.
Verwijdering vindt in principe plaats aan de hand van onderstaande stappen;
1) uitschakelen van Trojan proces zelf
2) verwijdering van Trojan bestanden
3) verwijdering van Trojan registersleutels
4) opschoning & controle
Maar voor onervaren gebruikers is het aan te raden de hulp van een expert in te schakelen.
Het direct wijzigen van de inloggegevens spreekt voor zich.
Trojan-Downloader.JS.Gumblar.x
06 feb
Qua bekendheid lijkt Conficker de grootste bedreiging op het internet, maar desondanks is de, relatief onbekende, Gumblar Trojan de absolute nummer één. Wat betreft de gevarenklasse steekt Gumblar ook met kop en schouders boven de huidige bekende dreigingen uit.
Gumblar is een infectie die wordt opgelopen door middel van een ‘Drive-by-download’, het slachtoffer bezoekt een website die besmet is met malafide code van Gumblar (vorige slachtoffer). Indien het slachtoffer niet in het bezit is van de nieuwste Adobe reader en Adobe Flash updates slaat Gumblar toe. De PC wordt besmet, Gumblar plaatst zichzelf in de browser, wijzigt de Google zoekresultaten (enkel Gumblar-geïnfecteerde resultaten worden getoond) en opent een Backdoor naar 78.109.29.112 (een botnet dat al langer geassocieerd wordt met Malware redirects) . Tevens gaat Gumblar op zoek naar FTP gegevens welke worden verzonden naar een server. Vervolgens maakt een andere server geautomatiseerd verbinding met de FTP en doorloopt alle mappen op de FTP. Bestanden met de extensie .php, .htm en, .js worden geïnjecteerd met malafide code.
De PHP code zou hiermee kunnen beginnen:
if(!function_exists(''tmp_lkojfghx'')){if(isset($_POST[''tmp_lkojfghx3'']))
De HTML code kan er als volgt uitzien:
<script><!--(function(){var dxDt=''%'';var vEBei=''va<72
Gumblar lijkt het voornamelijk te hebben voorzien op bestanden met ‘config’ in de bestandsnaam. In de map /Images/ wordt het bestand Image.php aangemaakt wat waarschijnlijk de backdoor functie van Gumblar huisvest. Ook wordt er een IFRAME geplaatst in de HTML bestanden. De webbrowser probeert gegevens te downloaden van www.gumblar.cn, bigtopartists.cn of martuz.cn. De geïnjecteerde code zoekt contact met gumblar.cn/rss en haalt daar een willekeurige op javascript gebaseerde exploit binnen. Aangezien het script dynamisch gegenereerd en zwaar geobfusceerd is, maakt dit detectie extra lastig. Zodra een webmaster de eerste infectie probeert te verwijderen of andere aanpassingen aan .htm, .php en .asp maakt, worden de kwaadaardige scripts opnieuw geïnjecteerd. Afhankelijk van verdere beveiligingslekken op de PC van het slachtoffer worden er meer Malware componenten geïnstalleerd.
Om de volledige infectie te verwijderen, is het noodzakelijk om de infectie van de PC zelf te verwijderen met bijv. MalwareBytes, daarna de FTP wachtwoorden te wijzigen (desnoods voortaan SFTP te gebruiken) en tenslotte de complete website van de server te wissen. Hierna plaats men de (hopelijk aanwezige) schone backup terug op de host.