De populaire gratis VPN-oplossing Hotspot Shield, heeft een nieuwe versie uitgebracht die van malwarebescherming is voorzien. Volgens de ontwikkelaar van de software, is Hots [...]
Lees verderMicrosoft heeft alle informatie over het botnet Rustock overhandigd aan de FBI en daarmee de civiele procedure afgerond. De FBI vervolgt de jacht op de beheerders van het grootste botnet ooit. De FBI krijgt alle servers, domeinnamen en IP-adressen overhandigd van Microsoft. De softwaregigant kreeg vorige week hierover de beschikking via een rechtszaak. De inbeslagname moet voorkomen dat de beheerders zich hergroeperen.
Een beveiligingsonderzoeker heeft een lek in de code van de SpyEye Trojan ontdekt, waardoor kwaadwillenden botnets van cybercriminelen kunnen kapen. SpyEye wordt gebruikt voor het plunderen van online bankrekeningen, waaronder die van de ING Bank. Onderzoeker Sanjar Satsura plaatste op de website Pastebin.com een exploit waarmee aanvallers de webinterface, die wordt gebruikt voor het besturen van de botnets, kunnen overnemen. Het gaat om een “Blind SQL Injection” kwetsbaarheid in een PHP-script van de webinterface.
LEES VERDER »
Een bijna “onverwoestbare” rootkit heeft 4,5 miljoen Windows computers besmet, daarvoor waarschuwt de Russische virusbestrijder Kaspersky Lab. De TDL-rootkit, ook bekend als TDSS, wordt als de meest complexe dreiging van het moment omschreven en zou verschillende manieren gebruiken om virusscanners te omzeilen.
De eerste versie van de rootkit verscheen in 2008. Sindsdien is de rootkit steeds verder ontwikkeld en is nu ook in staat om 64-bit Windows systemen te besmetten. Inmiddels zijn 4,5 miljoen Windows computers met de malware besmet. Daarvoor gebruiken de criminelen achter de rootkit de hulp van partners. Die ontvangen voor elke duizend installaties van TDL tussen de twintig en tweehonderd dollar, afhankelijk van de locatie van de computer van het slachtoffer.
Pornosites
Meestal wordt de rootkit op porno-, warez-, video- en dumpsites verstopt. De beheerders versleutelen de communicatie tussen de bots en de botnet command & controls servers, om zo toegang tot besmette computers te houden, ook al worden de C&C-servers uit de lucht gehaald. “De eigenaren van TDL proberen een onverwoestbaar botnet te bouwen dat beschermt is tegen aanvallen, concurrenten en anti-virusbedrijven”, zegt Sergey Golovanov van Kaspersky Lab in deze analyse. Verder gebruikt de rootkit een publiek P2P-netwerk genaamd Kad om bestanden met opdrachten voor besmette computers uit te wisselen.
Door de Master Boot Record (MBR) te infecteren, wordt de levenscyclus van de malware verlengd en is het lastiger door virusscanners te detecteren. Daarnaast probeert de rootkit ook andere malware op het systeem te weren. Inmiddels bevat TDL code om twintig andere malware programma’s te verwijderen. Eenmaal actief op een systeem kan de rootkit aanvullende malware installeren, zoals nep-virusscanners, adware en spambots. Ook wordt het botnet gebruikt voor het manipuleren van adware en zoekmachines.
Wie van een vriend een erotisch filmpje via Facebook doorgestuurd krijgt, kan dat maar beter niet bekijken. Tenzij je vriend in de porno-industrie zit, is de kans immers groot dat je met een virus te maken hebt. De nieuwste variant van de Koobface-worm vermomt zich als een videospeler die nodig is om het filmpje te bekijken.
Het wormvirus Koobface bestaat al sinds eind 2008 en verscheen al op verschillende sociale netwerken. Vorige zomer nog was Twitter het doelwit van een massale misleidingcampagne, onderhouden door een zogenaamd botnet. Dat is een netwerk van besmette computers die, zonder dat de eigenaars het weten, als zombies spamberichten, virussen en andere rommel verspreiden.
![Reblog this post [with Zemanta]](http://img.zemanta.com/reblog_b.png?x-id=003b1f2c-e26b-4a01-9549-568b2f2fb16a)
Qua bekendheid lijkt Conficker de grootste bedreiging op het internet, maar desondanks is de, relatief onbekende, Gumblar Trojan de absolute nummer één. Wat betreft de gevarenklasse steekt Gumblar ook met kop en schouders boven de huidige bekende dreigingen uit.
Gumblar is een infectie die wordt opgelopen door middel van een ‘Drive-by-download’, het slachtoffer bezoekt een website die besmet is met malafide code van Gumblar (vorige slachtoffer). Indien het slachtoffer niet in het bezit is van de nieuwste Adobe reader en Adobe Flash updates slaat Gumblar toe. De PC wordt besmet, Gumblar plaatst zichzelf in de browser, wijzigt de Google zoekresultaten (enkel Gumblar-geïnfecteerde resultaten worden getoond) en opent een Backdoor naar 78.109.29.112 (een botnet dat al langer geassocieerd wordt met Malware redirects) . Tevens gaat Gumblar op zoek naar FTP gegevens welke worden verzonden naar een server. Vervolgens maakt een andere server geautomatiseerd verbinding met de FTP en doorloopt alle mappen op de FTP. Bestanden met de extensie .php, .htm en, .js worden geïnjecteerd met malafide code.
De PHP code zou hiermee kunnen beginnen:
if(!function_exists(''tmp_lkojfghx'')){if(isset($_POST[''tmp_lkojfghx3'']))
De HTML code kan er als volgt uitzien:
<script><!--(function(){var dxDt=''%'';var vEBei=''va<72
Gumblar lijkt het voornamelijk te hebben voorzien op bestanden met ‘config’ in de bestandsnaam. In de map /Images/ wordt het bestand Image.php aangemaakt wat waarschijnlijk de backdoor functie van Gumblar huisvest. Ook wordt er een IFRAME geplaatst in de HTML bestanden. De webbrowser probeert gegevens te downloaden van www.gumblar.cn, bigtopartists.cn of martuz.cn. De geïnjecteerde code zoekt contact met gumblar.cn/rss en haalt daar een willekeurige op javascript gebaseerde exploit binnen. Aangezien het script dynamisch gegenereerd en zwaar geobfusceerd is, maakt dit detectie extra lastig. Zodra een webmaster de eerste infectie probeert te verwijderen of andere aanpassingen aan .htm, .php en .asp maakt, worden de kwaadaardige scripts opnieuw geïnjecteerd. Afhankelijk van verdere beveiligingslekken op de PC van het slachtoffer worden er meer Malware componenten geïnstalleerd.
Om de volledige infectie te verwijderen, is het noodzakelijk om de infectie van de PC zelf te verwijderen met bijv. MalwareBytes, daarna de FTP wachtwoorden te wijzigen (desnoods voortaan SFTP te gebruiken) en tenslotte de complete website van de server te wissen. Hierna plaats men de (hopelijk aanwezige) schone backup terug op de host.
De server die het eerste iPhone botnet ter wereld bestuurt en zich vervolgens op ING-klanten richtte, is zich in de nacht van zondag op maandag anders gaan gedragen. “In plaats van het geven van nieuwe opdrachten om uit te voeren, geeft het alleen foutmeldingen terug”, zegt Scott McIntyre, Security Officer bij XS4ALL, tegenover Security.nl. Volgens McIntyre, die als eerste de worm ontdekte, kan dit verschillende dingen betekenen. Of de internetprovider waar de Command & Control (C&C) server van het botnet stond, heeft die uit de lucht gehaald. De provider in Litouwen zou door verschillende partijen zijn ingelicht. “Ik hoop dat dit de verklaring is, het is goed mogelijk.” De twee andere verklaringen van McIntyre zijn namelijk minder positief.
“De aanvaller heeft de afgelopen nacht een update aan geïnfecteerde systemen uitgevoerd, zodat ze nu met een nieuwe C&C server verbinding maken.” Een andere mogelijkheid is dat de aanvaller de command structuur heeft aangepast. Als de server uit de lucht is gehaald, is dit goed nieuws, gaat McIntyre verder. “Aan de andere kant, besmette systemen bellen nog steeds naar ‘huis’, en wie die server beheert, kan in potentie gejailbreakte iPhones en de al besmette telefoons opnieuw controleren.
Bad Behavior has blocked 53 access attempts in the last 7 days.
Geschreven door 