Blog over PC Beveiliging
Berichten tagged Trojan
“3D Antiterrorist” Trojan voor Smartphones!
09 apr
Een spelletje dat rondgaat voor smartphones, blijkt in werkelijkheid een Trojaans paard te zijn dat gebruikers met torenhoge kosten opzadelt. Het spel voor Windows Mobile heet “3D Antiterrorist” en is op verschillende internationale freeware sites te vinden. De download bevat naast het spel ook het bestand reg.exe, dat in werkelijkheid een Trojaans paard is. Eenmaal geïnstalleerd belt de malware naar dure telefoonnummers op de Dominicaanse Republiek, Somalië, Sao Tomé en Principe en andere internationale netwerken.
![Reblog this post [with Zemanta]](http://img.zemanta.com/reblog_b.png?x-id=cd348c5b-c449-4979-b677-7ce9ef72ffcc)
Malware statistieken 1e kwartaal 2010
09 apr
BlackHat SEO
Eén van de nieuwe trends is BlackHat SEO (illegale zoekmachine optimalisatie).
De criminelen spelen in op wereldwijd nieuws zoals de aardbeving in Haïti of de introductie van de Apple IPad. Binnen enkele uren staan meerdere gevaarlijke websites in deze Google zoekresultaten. Het bezoeken van zo’n website is genoeg om geïnfecteerd te raken zonder ook maar ergens op geklikt te hebben.
Hoax, Sociale media, Scareware & Rogueware
Indien de Blackhat SEO techniek wordt gecombineerd met een Hoax (nepwaarschuwing) zoals de Facebook Hoax zijn de effecten groter omdat de getroffen gebruikers geleid door angst bereid zijn om de geboden ‘oplossingen’ te installeren. Met enige trucage komt de Hoax zelfs aan als privé bericht van een bekend contact in Facebook.
Het toenemende gebruik van sociale media als Twitter, Hyves, Facebook, Tokker en Friendfeed zijn redenen voor malware schrijvers om deze groeiende markt aan te boren. In het geval van de Facebook Hoax werden de slachtoffers besmet met de Sinowal Trojan welke bankgegevens steelt. Met behulp van nep e-mails, zogenaamd van Microsoft, Facebook, UPS of Amazon, die zich voordoen als updates, wenskaarten, infectiewaarschuwingen of gewonnen loterijen worden gebruikers naar malafide links gelokt en geïnfecteerd met nep virusscanners. Deze Scareware/Rogueware geeft valse meldingen van infecties die enkel op te lossen lijken na aanschaf van het malafide product. Vanzelfsprekend verdwijnt, behalve het geld, ook de creditcard gegevens in de zak van de crimineel.
Statistieken
Virussen voeren al langer niet meer de ranglijsten aan, 61% van de Malware bestaat uit Trojans. Maar virussen lijken een comeback te maken en hebben categorieën als Adware weer overtroffen. Dit kan een natuurlijk proces zijn, maar net zo goed een afleidingsmanoeuvre om de aandacht van een ander, belangrijk Malware project af te leiden.
Spanje voert de ranglijst aan qua geïnfecteerde landen met maar liefst 36% gevolgd door Amerika met 16%. Spam (ongewenste e-mail) wordt voornamelijk verstuurd door Botnets (netwerk van besmette computers) en is voor 10% afkomstig uit Brazilië gevolgd door India en Vietnam met respectievelijk 10 en 9%
Vertaald uit: Quarterly Report PandaLabs (January-March 2010)
Trojan-PSW/W32.OnlineGames.x – Weg World of Warcraft
13 feb
Dit type Trojan steelt wachtwoorden en andere gevoelige informatie, tevens bestaat de mogelijkheid dat er meer malware gedownload wordt.
Deze familie van ‘Password stealers’ is vrij groot en is voornamelijk op jacht naar inloggegevens van online games zoals World of Warcraft. De gestolen inloggegevens worden doorgesluisd naar een ‘hacker’ die met deze gegevens op de bewuste account kan inloggen waarna alle bezittingen worden doorgesluisd naar een andere speler. Deze bezittingen worden later weer omgezet in wereldse valuta door middel van verkoop. Met miljoenen spelers zijn er al gauw duizenden slachtoffers, reken maar uit.
Deze trojans komen geregeld het systeem binnen via malafide e-mail bijlagen, via malafide links in MySpace en FaceBook of worden binnengehaald door wormen, Backdoors en Trojan-downloaders. Nadat de Trojan is geactiveerd nestelt deze zich in het systeem door zich in de Windows folder te kopiëren. Tevens wordt het automatisch opstarten van de Trojan verzekerd door een sleutelwaarde te plaatsen in:
[HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run]
Hierna gaat de Trojan op zoek naar Explorer.exe en injecteert dit proces door middel van een DLL.
Om de daadwerkelijke inloggegevens te bemachtigen ‘leest’ de Trojan het proces geheugen van de game exe’s zoals WOW.EXE (World of Warcraft), ElementClient.exe (Perfect World), CabalMain.exe (Cabal Online). Ook is het mogelijk dat de Trojan Keylogger capaciteiten bezit of het adres van de game server probeert te achterhalen uit CurrentServer.ini. De DLL bevat vaak een gecodeerde URL waar de gestolen gegevens naar toe worden gezonden, de meeste hiervan bevinden zich in China.
Buiten deze schadelijke gevolgen worden soms ook startpagina’s en/of zoekresultaten aangepast, AntiVirus producten afgesloten, update mogelijkheden uitgeschakeld en vertragen sommige pc enorm door een hoog cpu gebruik van de Trojan.
Verwijdering vindt in principe plaats aan de hand van onderstaande stappen;
1) uitschakelen van Trojan proces zelf
2) verwijdering van Trojan bestanden
3) verwijdering van Trojan registersleutels
4) opschoning & controle
Maar voor onervaren gebruikers is het aan te raden de hulp van een expert in te schakelen.
Het direct wijzigen van de inloggegevens spreekt voor zich.
Trojan-Downloader.WMA.GetCodec.b
31 jan
Besmettingen (NL): 25.000
Type: Trojan
OS: Windows 98, ME, NT, 2000, XP, Server 2003
Alias: TR/Dldr.WMA.Wimad.N [Avira] Downloader-UA [McAfee] Trojan.Wimad [Symantec] Troj_Wimad.AM [Trend Micro]
Primeur: 8 mei, 2008
Deze redelijk onschuldige trojan arriveert op de pc als een bijlage van een besmette e-mail.
In de meeste gevallen vermomt deze trojan zich als een Windows Media Video (WMV) beschermd door
Windows Media Digital Rights Management (DRM).
Na uitvoeren van het bestand maakt de trojan verbinding met een kwaadaardige url en haalt het bestand CODEC.EXE binnen. Wat een tweede infectie oplevert.
Uiteindelijk nestelt de trojan zich in ‘systemvolumeinformation‘, oftewel het systeemherstel.
Voor verwijdering van de trojan dient systeemherstel op alle stations uitgeschakeld te worden.
Bekijk hier een demovideo van deze infectie.
Trojaans paard kost mobiele beller 35 euro per minuut
26 dec
De Russische virusbestrijder Kaspersky Lab waarschuwt voor een Trojaans paard dat mobiele telefoons infecteert en SMS’jes van 7 euro per keer verstuurd. De meeste malware die SMS-berichten naar dure telefoonnummers stuurt, gebruikt een van tevoren geprogrammeerd nummer en tekst. Het Trojaanse paard “Sejweek” hanteert een andere tactiek, omdat het een XML-bestand met de benodigde informatie zelf downloadt. Naast telefoonnummer en tekst, staat ook de interval vermeld wanneer de berichten worden verstuurd. De malware zou alleen op het Windows CE platform actief zijn.
De eerste variant hanteerde een interval van 11 seconden en stuurde SMS-berichten van 70 eurocent. Inmiddels is ook een tweede variant opgedoken die een nieuw telefoonnummer gebruikt en nu 7 euro per SMS-bericht rekent. Aangezien de interval nog steeds op 11 seconden staat, betekent dat slachtoffers 35 euro per minuut verliezen. Sejweek vermomt zich als allerlei applicaties. “Download dus niets, tenzij je weet wat je binnenhaalt”, zegt analist Denis Maslennikov.
False positive van MalwareBytes?
12 dec
Na een periodieke scan van de pc met MalwareBytes’ Anti-Malware kreeg ik de melding “1 Infectie gevonden. C:\Windows\System32\Msdirectx.exe –> Trojan.Netstop“. Een online scan van het betreffende bestand op Jotti.org gaf een twijfelachtig resultaat; 5 van de 21 scanners vonden een infectie, maar de bekendere scanners zoals Avast, AVG, G Data, Kaspersky, NOD32 en Panda gaven geen melding. Daarmee was de gedachte aan een ‘False Positive’ (valse melding) geboren.
Toen maar even het betreffende bestand zelf opgezocht en de eigenschappen bekeken, geen gegevens en ook geen digitale handtekening. Dus dat was geen goed teken. Op ons forum en op het forum van HijackThis.nl een topic geopend hierover inclusief een downloadlink (bestand tijdelijk op de webserver gezet). Naar aanleiding van dat topic kreeg ik een reactie van Daniel (Moderator) met de suggestie dat het zou kunnen gaan om een gecompileerde VisualBasic file. Na een online scan op Dr.Web was het resultaat 28/41, oftewel 68,3% van de scannners daar gaven een infectie melding. Dus dat het om een kwaadaardig bestand ging was eigenlijk wel duidelijk.
Toch maar even contact gezocht met Tony Krijnen van Microsoft, Rick den Breeijen van ESET (Spicylemon) en Jan van Haver van G Data. De reactie van Microsoft liet niet lang op zich wachten;
“Hi there, wij (microsoft) hebben geen bestand dat msdirectx.exe heet. Als je dit bestand ook download zie je dat het geen digitale handtekening heeft van Microsoft wat standaard is bij de onderdelen van het Microsoft OS.
Bij het downloaden kreeg ik ook gelijk een waarschuwing van mijn ForeFront Client Security dat dit bestand een Trojan is genaamd Win32/NetStop.B.
Geen False Positive dus, gewoon keihard een trojan. Meteen van je systeem verwijderen zou ik zeggen.”
Daarna kwam de reactie van Jan van Haver van G Data, maar ondertussen was het topic al opgelost. Jan van haver schreef dat hij de gedachte aan een ‘False Positive’ wel begreep omdat een aantal van de scanners op Jotti.org die aangaven dat er een probleem was, traditioneel hoog scoren op het gebied van “False Positives’.
Hierna aan MalwareBytes de ‘edele’ eer gegund om de betreffende Trojan definitief de nek om te draaien (met succes).
p.s. tot onze spijt heeft ESET tot op heden nog niet gereageerd op onze e-mail..