Blog over PC Beveiliging
SpamFighter – voor Outlook/Express, Thunderbird en Windows Mail
19 feb
SpamFighter is marktleider in Europa in de ontwikkeling van Spamfilters. Met meer dan 7 miljoen gebruikers vormt SpamFighter een enorm menselijk netwerk. Als een SpamFighter een spammail ontvangt die niet ontdekt is door SpamFighter, wordt de spammail met één klik gerapporteerd en de mail is een seconde later ook geblokkeerd bij de rest van de SpamFighters
Versies
SpamFighter is verkrijgbaar in twee versies; SpamFighter Standard & SpamFighter Pro.
De gratis versie is alleen voor particulier gebruik (en voor leerlingen op school). In SpamFighter Standard wordt een korte tekstuele advertentie getoond in uw e-mailprogramma, en een “Ik word beschermd door SpamFighter” boodschap wordt toegevoegd aan uw uitgaande e-mails. Bevat geen talenfilter en ook andere features ontbreken. SpamFighter Pro is geschikt voor bedrijven en andere commerciële instanties en geeft betere bescherming, houdt e-mails in vreemde talen tegen, heeft Premium support, Onbeperkte zwarte/witte lijst, geen voetnoot in e-mails en geen reclame boodschappen. De Pro versie is één maand gratis te proberen, daarna dient jaarlijks €25,- betaald te worden. Er wordt een werkbalk toegevoegd in uw e-mailcliënt en een SpamFighter map aangemaakt waarin de spammails terecht komen. Verder kunt u specifieke e-mail adressen of gehele domeins (bijv. .ru of .pl) op de zwarte lijst plaatsen. De Standard versie kan maximaal 100 items in de zwarte lijst kwijt, de Pro versie heeft onbeperkte opslagruimte.
Tevens heeft SpamFighter bescherming tegen “phishing”, identiteitsfraude en andere vormen van e-mail fraude, een uniek taalfiltergereedschap waarmee u e-mails die in een bepaalde taal zijn geschreven kunt weren en Spam rapportering met één muisklik.
Onze ervaring
Het vangstpercentage van SpamFighter ligt rond de 95 procent, dat bleek eigenlijk direct nadat wij SpamFighter geïnstalleerd hadden (met dank aan Nils voor de gratis Pro versies). Het tweede pluspunt wat ons opvalt is de eenvoud waarmee SpamFighter werkt, niks geen ingewikkelde instellingen. Na installatie draait SpamFighter direct en is tevens zelflerend waardoor de efficiëntie toeneemt. De functie om een specifiek e-mailadres te blokkeren is handig, maar nog handiger (en efficiënter) is de functie om een geheel domein te blokkeren. Krijgt u veel spam van bijv. Rusland of Polen dan is het blokkeren van .ru of .pl genoeg. De betaalde versie is één jaar geldig en met 7 miljoen gebruikers á €25,- (€175.000.000,-) zou de licentie naar ons idee eigenlijk moeten doorlopen.
Pluspunten:
• Eenvoudige installatie
• Hoge doelmatigheid
• Zelflerend
• Onopvallend
Minpunten:
• Reclame (gratis versie)
Trojan-PSW/W32.OnlineGames.x – Weg World of Warcraft
13 feb
Dit type Trojan steelt wachtwoorden en andere gevoelige informatie, tevens bestaat de mogelijkheid dat er meer malware gedownload wordt.
Deze familie van ‘Password stealers’ is vrij groot en is voornamelijk op jacht naar inloggegevens van online games zoals World of Warcraft. De gestolen inloggegevens worden doorgesluisd naar een ‘hacker’ die met deze gegevens op de bewuste account kan inloggen waarna alle bezittingen worden doorgesluisd naar een andere speler. Deze bezittingen worden later weer omgezet in wereldse valuta door middel van verkoop. Met miljoenen spelers zijn er al gauw duizenden slachtoffers, reken maar uit.
Deze trojans komen geregeld het systeem binnen via malafide e-mail bijlagen, via malafide links in MySpace en FaceBook of worden binnengehaald door wormen, Backdoors en Trojan-downloaders. Nadat de Trojan is geactiveerd nestelt deze zich in het systeem door zich in de Windows folder te kopiëren. Tevens wordt het automatisch opstarten van de Trojan verzekerd door een sleutelwaarde te plaatsen in:
[HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run]
Hierna gaat de Trojan op zoek naar Explorer.exe en injecteert dit proces door middel van een DLL.
Om de daadwerkelijke inloggegevens te bemachtigen ‘leest’ de Trojan het proces geheugen van de game exe’s zoals WOW.EXE (World of Warcraft), ElementClient.exe (Perfect World), CabalMain.exe (Cabal Online). Ook is het mogelijk dat de Trojan Keylogger capaciteiten bezit of het adres van de game server probeert te achterhalen uit CurrentServer.ini. De DLL bevat vaak een gecodeerde URL waar de gestolen gegevens naar toe worden gezonden, de meeste hiervan bevinden zich in China.
Buiten deze schadelijke gevolgen worden soms ook startpagina’s en/of zoekresultaten aangepast, AntiVirus producten afgesloten, update mogelijkheden uitgeschakeld en vertragen sommige pc enorm door een hoog cpu gebruik van de Trojan.
Verwijdering vindt in principe plaats aan de hand van onderstaande stappen;
1) uitschakelen van Trojan proces zelf
2) verwijdering van Trojan bestanden
3) verwijdering van Trojan registersleutels
4) opschoning & controle
Maar voor onervaren gebruikers is het aan te raden de hulp van een expert in te schakelen.
Het direct wijzigen van de inloggegevens spreekt voor zich.
Trojan-Downloader.JS.Gumblar.x
06 feb
Qua bekendheid lijkt Conficker de grootste bedreiging op het internet, maar desondanks is de, relatief onbekende, Gumblar Trojan de absolute nummer één. Wat betreft de gevarenklasse steekt Gumblar ook met kop en schouders boven de huidige bekende dreigingen uit.
Gumblar is een infectie die wordt opgelopen door middel van een ‘Drive-by-download’, het slachtoffer bezoekt een website die besmet is met malafide code van Gumblar (vorige slachtoffer). Indien het slachtoffer niet in het bezit is van de nieuwste Adobe reader en Adobe Flash updates slaat Gumblar toe. De PC wordt besmet, Gumblar plaatst zichzelf in de browser, wijzigt de Google zoekresultaten (enkel Gumblar-geïnfecteerde resultaten worden getoond) en opent een Backdoor naar 78.109.29.112 (een botnet dat al langer geassocieerd wordt met Malware redirects) . Tevens gaat Gumblar op zoek naar FTP gegevens welke worden verzonden naar een server. Vervolgens maakt een andere server geautomatiseerd verbinding met de FTP en doorloopt alle mappen op de FTP. Bestanden met de extensie .php, .htm en, .js worden geïnjecteerd met malafide code.
De PHP code zou hiermee kunnen beginnen:
if(!function_exists(''tmp_lkojfghx'')){if(isset($_POST[''tmp_lkojfghx3'']))
De HTML code kan er als volgt uitzien:
<script><!--(function(){var dxDt=''%'';var vEBei=''va<72
Gumblar lijkt het voornamelijk te hebben voorzien op bestanden met ‘config’ in de bestandsnaam. In de map /Images/ wordt het bestand Image.php aangemaakt wat waarschijnlijk de backdoor functie van Gumblar huisvest. Ook wordt er een IFRAME geplaatst in de HTML bestanden. De webbrowser probeert gegevens te downloaden van www.gumblar.cn, bigtopartists.cn of martuz.cn. De geïnjecteerde code zoekt contact met gumblar.cn/rss en haalt daar een willekeurige op javascript gebaseerde exploit binnen. Aangezien het script dynamisch gegenereerd en zwaar geobfusceerd is, maakt dit detectie extra lastig. Zodra een webmaster de eerste infectie probeert te verwijderen of andere aanpassingen aan .htm, .php en .asp maakt, worden de kwaadaardige scripts opnieuw geïnjecteerd. Afhankelijk van verdere beveiligingslekken op de PC van het slachtoffer worden er meer Malware componenten geïnstalleerd.
Om de volledige infectie te verwijderen, is het noodzakelijk om de infectie van de PC zelf te verwijderen met bijv. MalwareBytes, daarna de FTP wachtwoorden te wijzigen (desnoods voortaan SFTP te gebruiken) en tenslotte de complete website van de server te wissen. Hierna plaats men de (hopelijk aanwezige) schone backup terug op de host.
Trojan-Downloader.WMA.GetCodec.b
31 jan
Besmettingen (NL): 25.000
Type: Trojan
OS: Windows 98, ME, NT, 2000, XP, Server 2003
Alias: TR/Dldr.WMA.Wimad.N [Avira] Downloader-UA [McAfee] Trojan.Wimad [Symantec] Troj_Wimad.AM [Trend Micro]
Primeur: 8 mei, 2008
Deze redelijk onschuldige trojan arriveert op de pc als een bijlage van een besmette e-mail.
In de meeste gevallen vermomt deze trojan zich als een Windows Media Video (WMV) beschermd door
Windows Media Digital Rights Management (DRM).
Na uitvoeren van het bestand maakt de trojan verbinding met een kwaadaardige url en haalt het bestand CODEC.EXE binnen. Wat een tweede infectie oplevert.
Uiteindelijk nestelt de trojan zich in ‘systemvolumeinformation‘, oftewel het systeemherstel.
Voor verwijdering van de trojan dient systeemherstel op alle stations uitgeschakeld te worden.
Bekijk hier een demovideo van deze infectie.
Win32.Worm.Zimuse.A/B virus, worm & rootkit
30 jan
Deze nieuwe bedreiging combineert de vernietigende werking van een virus met de verspreidende eigenschappen van een worm en toont sporen van rootkit gedrag. De beoogde slachtoffers worden verleid om deel te nemen aan een IQ-test, waarna de worm 7 tot 11 kopieën van zichzelf op kritieke locaties van de PC nestelt.
Win32.Worm.Zimuse.A/B is een extreem gevaarlijke infectie, in tegenstelling tot de meeste wormen kan infectie leiden tot volledig data verlies omdat de eerste 50 KB van het Master Boot Record wordt overschreven, een essentieel onderdeel van de harde schijf. Om zichzelf iedere keer samen met Windows te laten opstarten plaatst de worm onderstaande registersleutel:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]”Dump”=”%programfiles%\Dump\Dump.exe
Tevens worden onderstaande drivers geïnstalleerd:
%system%\drivers\Mstart.sys en %system%\drivers\Mseu.sys
64-bit versies van Windows Vista en Windows 7 vereisen digitaal ondertekende drivers, dus hier zal Win32.Worm.Zimuse.A geen slagingskans hebben. Vanaf het begin is de infectie lastig te ontdekken. Na een aantal dagen (40 dagen voor variant A, 20 voor variant B) krijgt de gebruiker de foutmelding dat er malafide inhoud is aangetroffen in IP pakketten van een bepaalde site. Er wordt verzocht om het systeem te herstellen door op OK te klikken. Na de herstart raakt de harde schijf onbruikbaar vanwege de beschadigde MBR.
Bekijk een demo video over Win32.Worm.Zimuse.A
Gamers in het net van phishing-bendes
27 jan
Fraudeurs maken volop jacht op World of Warcraft accountinformatie
Online criminelen hebben in 2010 de jacht op gamingaccounts flink geïntensiveerd. In de afgelopen weken hebben de experts van G Data’s SecurityLab verschillende phishing-aanvallen op spelers van de online game World of Warcraft waargenomen. Het doel van de cybercriminelen is het bemachtigen van toegangsgegevens van de gamers. Deze gegevens worden op online zwarte markten verhandeld en kunnen tot €30,- opleveren. De werkwijze van de gegevensdieven: In spammails stellen zij de WoW-speler op de hoogte van een zogenaamd doorgevoerde wachtwoordwijziging. Spelers worden naar een bedrieglijk echt uitziende log-in pagina geleid om daar hun (oude) toegangsgegevens in te voeren.