Nieuwe Sober variant lastig te scannen
De Sober.P worm heeft zich de afgelopen dagen massaal verspreid via het internet. De nieuwe Sober variant is inmiddels met het infecteren van computers gestopt en zoekt op bepaalde locaties naar updates, wat een golf van nieuwe malware kan betekenen. Dat de worm zich kan verspreiden is onder andere te danken aan het feit dat veel bedrijven en thuisgebruikers nog steeds geen anti-virus gebruiken en dat de worm zich zowel in het Engels als in het Duits verspreidt. Vooral in Duitsland hebben de Sober varianten altijd veel succes gehad.
Nu zijn er meer wormen geweest die deze kenmerken hadden. Volgens Roel van Kaspersky Lab ligt het succes van Sober.P dan ook in het gebruikte beschermingsmechanisme. Net als andere Sober varianten maakt Sober.P gebruik van verschillende mechanismes om I/O toegang tot zijn bestanden te voorkomen.
In andere woorden: Programma's hebben geen toegang tot de bestanden van Sober. Zelfs applicaties die onder het SYSTEEM account draaien hebben geen toegang als Sober in het geheugen actief is. Dit mechanisme is door de tijd verbeterd, aangezien eerdere varianten van Sober niet konden voorkomen dat het systeem toegang tot de bestanden kreeg.
Hierdoor kunnen de bestanden tijdens een normale scan niet door een virusscanner gescand worden. Om Sober.P te stoppen moet de scanner de worm in het geheugen kunnen detecteren en dan de processen uitschakelen. Iets waar niet alle virusscanners in slagen.
informatie a.u.b, want daar is iedereen wel mee gediend!
op m'n mailserver aangetroffen, deze heb ik nog steeds niet
gezien.
free.grisoft.com kun je hem downen!
virusupdate gedownload word automatisch kijkt of het virus
wat erop staat (het virus wat dus check) kijkt of hijzelf in
de virusdifinities zit en daarvoor weer een morph van maakt
en zichzelf verder verspreid. Dus meteen als de
virusdefinitie binnen is zichzelf op de een of andere manier
weer ondetecteerbaar maakt op welke manier dan ook.
Mocht je heel erg goed zijn in bestandsformaten en de
indeling daarvoor dan zou je dit na een tijdje flink
programmeren moeten lukken. Kijken op de locaties waar de
virusdefinities gedownload worden met behulp van het
mechanisme van Sysinternals met het programma DiskMon.
Lijkt me een hele leuke opdracht als je dat goed kan, een
lekkere pittige, maar dan heb je ook wat :)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
