Nieuwe Sober variant lastig te scannen
De Sober.P worm heeft zich de afgelopen dagen massaal verspreid via het internet. De nieuwe Sober variant is inmiddels met het infecteren van computers gestopt en zoekt op bepaalde locaties naar updates, wat een golf van nieuwe malware kan betekenen. Dat de worm zich kan verspreiden is onder andere te danken aan het feit dat veel bedrijven en thuisgebruikers nog steeds geen anti-virus gebruiken en dat de worm zich zowel in het Engels als in het Duits verspreidt. Vooral in Duitsland hebben de Sober varianten altijd veel succes gehad.
Nu zijn er meer wormen geweest die deze kenmerken hadden. Volgens Roel van Kaspersky Lab ligt het succes van Sober.P dan ook in het gebruikte beschermingsmechanisme. Net als andere Sober varianten maakt Sober.P gebruik van verschillende mechanismes om I/O toegang tot zijn bestanden te voorkomen.
In andere woorden: Programma's hebben geen toegang tot de bestanden van Sober. Zelfs applicaties die onder het SYSTEEM account draaien hebben geen toegang als Sober in het geheugen actief is. Dit mechanisme is door de tijd verbeterd, aangezien eerdere varianten van Sober niet konden voorkomen dat het systeem toegang tot de bestanden kreeg.
Hierdoor kunnen de bestanden tijdens een normale scan niet door een virusscanner gescand worden. Om Sober.P te stoppen moet de scanner de worm in het geheugen kunnen detecteren en dan de processen uitschakelen. Iets waar niet alle virusscanners in slagen.
informatie a.u.b, want daar is iedereen wel mee gediend!
op m'n mailserver aangetroffen, deze heb ik nog steeds niet
gezien.
free.grisoft.com kun je hem downen!
virusupdate gedownload word automatisch kijkt of het virus
wat erop staat (het virus wat dus check) kijkt of hijzelf in
de virusdifinities zit en daarvoor weer een morph van maakt
en zichzelf verder verspreid. Dus meteen als de
virusdefinitie binnen is zichzelf op de een of andere manier
weer ondetecteerbaar maakt op welke manier dan ook.
Mocht je heel erg goed zijn in bestandsformaten en de
indeling daarvoor dan zou je dit na een tijdje flink
programmeren moeten lukken. Kijken op de locaties waar de
virusdefinities gedownload worden met behulp van het
mechanisme van Sysinternals met het programma DiskMon.
Lijkt me een hele leuke opdracht als je dat goed kan, een
lekkere pittige, maar dan heb je ook wat :)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security Specialist Malware
NCSC
Zit cybersecurity diep in je DNA? Heb jij het in je om op het moment dat het er echt toe doet samen met je collega’s tot de juiste (technische) oplossing te komen? Als security specialist malware bij het Nationaal Cyber Security Centrum (NCSC) doe jij er alles aan om de impact van digitale dreigingen te verminderen en incidenten tegen te gaan.
Information Security Officer
Grijp deze unieke kans voor carrière-ontwikkeling in informatiebeveiliging! Bij Esri bouw je vertrouwensrelaties op en help je zowel ons als onze klanten veiligere technologie te gebruiken. Ben jij de ervaren Security Officer die energie krijgt van werken in 'twee werelden'? Solliciteer dan nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!