Blog over PC Beveiliging
Berichten tagged worm
Yimfoca of Palevo worm via Skype en Yahoo Messenger
09 mei
Momenteel verspreidt versie twee van deze worm zich, niet alleen via Yahoo Messenger maar nu ook via Skype. Gebruikers ontvangen een bericht (zogenaamd van een bekend contact) met daarin een link en een afbeelding, ervan uitgaande dat de afbeelding via de link te downloaden is, klikken veel slachtoffers op de malafide link. Deze techniek noemt men ‘social engineering’.
Win32.Worm.Zimuse.A/B virus, worm & rootkit
30 jan
Deze nieuwe bedreiging combineert de vernietigende werking van een virus met de verspreidende eigenschappen van een worm en toont sporen van rootkit gedrag. De beoogde slachtoffers worden verleid om deel te nemen aan een IQ-test, waarna de worm 7 tot 11 kopieën van zichzelf op kritieke locaties van de PC nestelt.
Win32.Worm.Zimuse.A/B is een extreem gevaarlijke infectie, in tegenstelling tot de meeste wormen kan infectie leiden tot volledig data verlies omdat de eerste 50 KB van het Master Boot Record wordt overschreven, een essentieel onderdeel van de harde schijf. Om zichzelf iedere keer samen met Windows te laten opstarten plaatst de worm onderstaande registersleutel:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]”Dump”=”%programfiles%\Dump\Dump.exe
Tevens worden onderstaande drivers geïnstalleerd:
%system%\drivers\Mstart.sys en %system%\drivers\Mseu.sys
64-bit versies van Windows Vista en Windows 7 vereisen digitaal ondertekende drivers, dus hier zal Win32.Worm.Zimuse.A geen slagingskans hebben. Vanaf het begin is de infectie lastig te ontdekken. Na een aantal dagen (40 dagen voor variant A, 20 voor variant B) krijgt de gebruiker de foutmelding dat er malafide inhoud is aangetroffen in IP pakketten van een bepaalde site. Er wordt verzocht om het systeem te herstellen door op OK te klikken. Na de herstart raakt de harde schijf onbruikbaar vanwege de beschadigde MBR.
Bekijk een demo video over Win32.Worm.Zimuse.A
iPhone-botnet nog springlevend
26 nov
Het eerste iPhone-botnet dat sinds vorige week actief is, is nog altijd springlevend. Maandag meldde Scott McIntyre van XS4ALL dat het botnet zich in de nacht van zondag op maandag anders was gaan gedragen. De Security Officer schetste verschillende scenario’s, maar hoopte dat de server waarmee de bots verbinding maakten, uit de lucht was gehaald. Dat lijkt nu inderdaad het geval te zijn geweest, maar dat betekent niet het einde van de malware.
Voordat de hostingprovider de Command & Control (C&C) server van het botnet uitschakelde, zijn alle bots naar een nieuwe botnet controller gemigreerd. Waar deze tweede C&C-server staat wil McIntyre niet tegen Security.nl zeggen.
iPhone botnet raakt controle kwijt
24 nov
De server die het eerste iPhone botnet ter wereld bestuurt en zich vervolgens op ING-klanten richtte, is zich in de nacht van zondag op maandag anders gaan gedragen. “In plaats van het geven van nieuwe opdrachten om uit te voeren, geeft het alleen foutmeldingen terug”, zegt Scott McIntyre, Security Officer bij XS4ALL, tegenover Security.nl. Volgens McIntyre, die als eerste de worm ontdekte, kan dit verschillende dingen betekenen. Of de internetprovider waar de Command & Control (C&C) server van het botnet stond, heeft die uit de lucht gehaald. De provider in Litouwen zou door verschillende partijen zijn ingelicht. “Ik hoop dat dit de verklaring is, het is goed mogelijk.” De twee andere verklaringen van McIntyre zijn namelijk minder positief.
“De aanvaller heeft de afgelopen nacht een update aan geïnfecteerde systemen uitgevoerd, zodat ze nu met een nieuwe C&C server verbinding maken.” Een andere mogelijkheid is dat de aanvaller de command structuur heeft aangepast. Als de server uit de lucht is gehaald, is dit goed nieuws, gaat McIntyre verder. “Aan de andere kant, besmette systemen bellen nog steeds naar ‘huis’, en wie die server beheert, kan in potentie gejailbreakte iPhones en de al besmette telefoons opnieuw controleren.
iPhone worm valt ING-klanten aan
23 nov
De iPhone worm die sinds eind vorige week in Nederland actief is, heeft de aanval op ING-klanten geopend, zo laat XS4ALL aan Security.nl weten. Gebruikers met een geïnfecteerde telefoon die naar mijn.ing.nl gaan, worden doorgestuurd naar een phisingsite in Japan. Tevens zoekt de malware in de SMS-database van de iPhone naar TAN-codes en gedraagt zich anders zodra het die vindt. “Dat is op zichzelf niet nieuw, maar het laat zien dat de aanval financieel gemotiveerd is”, zegt Security Officer Scott McIntyre. Volgens McIntyre zitten er georganiseerde banking hackers achter de malware, die tevens voor het eerste iPhone-botnet verantwoordelijk is.
De plotselinge aanval op ING-klanten heeft mogelijk met het grote aantal geïnfecteerde Nederlandse iPhones te maken. “Waarschijnlijk zagen de aanvallers in de logs dat veel iPhones uit Nederland afkomstig waren.” Daardoor was het eigenlijk een logische tweede stap om een grote Nederlandse bank aan te vallen die met TAN-codes werkt. Of er al bankrekeningen van ING-klanten door de worm zijn geplunderd, is op dit moment onbekend. Zowel het Computer Incident Response Team van ING als het Japanse Computer Emergency Response Team zijn ingelicht.
Echte worm
Het komt niet vaak voor dat een Security Officer van een internetprovider de eerste worm voor een geheel nieuw platform ontdekt. Toch was McIntyre niet zo verrast. “Eindelijk een echte worm was mijn eerste gedachte”, zo merkt hij op. Security professionals hadden hier al lange tijd rekening mee gehouden, zeker omdat veel “jailbreakers” kwetsbaar zijn. Volgens schatting is zo’n 7% van alle iPhones gejailbreakt. Vaak door gebruikers die niet weten waarmee ze bezig zijn en vervolgens de standaard SSH-login niet wijzigen. Daardoor is het kinderspel voor de worm om de mobiele telefoon vervolgens te kapen.
Het feit dat XS4ALL als eerste de worm ontdekte, komt volgens McIntyre omdat de provider altijd al zeer alert op dreigingen en internetveiligheid is. “Een stukje verantwoordelijkheid.” Toen de Security Officer de verdachte activiteit op het netwerk waarnam, stelde hij direct een onderzoek in, met als uitkomst de nog altijd naamloze worm. Waarom T-Mobile geen alarm sloeg durft hij niet te zeggen. “Misschien hebben ze daar geen Security Officer met slaaptekort.”