Op maat gemaakt Trojaans paard onvindbaar voor viruscanners
Virusschrijvers bieden steeds vaker op maat gemaakte malware aan. Een bekend voorbeeld hiervan is de rootkit "Hacker Defender" van auteur "Holy Father", die elke verkochte versie anders maakt. De Spaanse anti-virusaanbieder Panda Software heeft een soortgelijke operatie ontdekt. Het gaat om een Trojaans paard ontwikkeld om persoonlijke gegevens te stelen, en dan met name bankgegevens en informatie uit webformulieren.
De auteur van Briz.A belooft op de website dat als een virusscanner de Trojan herkent, hij een nieuwe versie uitbrengt. De virusschrijver zou zelfs elke dag de virusdefinities controleren. Een op maat gemaakt versie van Briz.A kost geinteresseerden 990 dollar.
Het bestand dat het systeem infecteert heet "iexplore.exe" en doet zichzelf voor als Internet Explorer. Als het bestand geopend wordt, downloadt het verschillende bestanden en schakelt het het Windows Security Center en Shared Internet Access uit. Het verzamelt ook informatie van progamma's zoals Outlook, Eudora en The Bat, die daarna naar de aanvaller wordt gestuurd.
Om detectie te voorkomen past de Trojan het hosts bestand aan, zodat de geinfecteerde gebruiker geen websites van anti-virusaanbieders meer kan bezoeken. Volgens Panda is dit het meest complexe voorbeeld van een crimineel business plan dat steeds meer virusschrijvers hebben.
omdat een aantal spyware scanners dit bestand controleren op
veranderingen.
Zou mijn virusscanner niets merken, dan kan meneer Trojaan
toch echt niet naar buiten wegens een Firewall.
vrij logisch, of een spammer nou een standaard trojan ( = proxy achtig iets)
rondspamt en bijna overal geblockt wordt, of dat hij er een koopt voor een
paar 100$ en overal binnenkomt...
iets)? die omzeil je zo.
Tja, nou mijn host-bestand kan niet zomaar veranderd worden
omdat een aantal spyware scanners dit bestand controleren op
veranderingen.
(ook antispywaresoftware kan gestopt en verwijderd worden)
Trojaan
toch echt niet naar buiten wegens een Firewall.
(via HTTP-verkeer kan je makkelijk data naar buiten
smokkelen zonder een firewall dit tegenhoudt)
Beetje naief om te denken dat je zo supergoed geschermd bent.
My 2 cents
steeds Windows gebruikt ;) dan werk je altijd onder een LUA
(Limited User Account), dus niet onder Administrator of
Power User. Dan hoef je ook niet zo bang te zijn dat je
hosts file wordt aangepast omdat je daar simpelweg geen
rechten voor hebt.
Hier staat een illustratief tabelletje van de opgelopen
malware als je onder een LUA werkt versus het werken onder
Administrator/Power account:
http://oiepoie.nl/?id=68
het org. host file.
Tja, nou mijn host-bestand kan niet zomaar veranderd worden
omdat een aantal spyware scanners dit bestand controleren op
veranderingen.
(ook antispywaresoftware kan gestopt en verwijderd worden)
Trojaan
toch echt niet naar buiten wegens een Firewall.
(via HTTP-verkeer kan je makkelijk data naar buiten
smokkelen zonder een firewall dit tegenhoudt)
Beetje naief om te denken dat je zo supergoed geschermd bent.
My 2 cents
Nee hoor. Veranderingen in mijn host bestand worden
gedetecteerd door Spybot Search & Destroy en CounterSpy.
Beiden hebben een Resident Shield actief. Met naïviteit
heeft het helemaal niets van doen.
Tja, nou mijn host-bestand kan niet zomaar veranderd worden
omdat een aantal spyware scanners dit bestand controleren op
veranderingen.
(ook antispywaresoftware kan gestopt en verwijderd worden)
Trojaan
toch echt niet naar buiten wegens een Firewall.
(via HTTP-verkeer kan je makkelijk data naar buiten
smokkelen zonder een firewall dit tegenhoudt)
Beetje naief om te denken dat je zo supergoed geschermd bent.
My 2 cents
Nee hoor. Veranderingen in mijn host bestand worden
gedetecteerd door Spybot Search & Destroy en CounterSpy.
Beiden hebben een Resident Shield actief. Met naïviteit
heeft het helemaal niets van doen.
vervolgens verwijderd?
Als je een beetje security bewust bent en ondanks dat nog
steeds Windows gebruikt ;) dan werk je altijd onder een LUA
(Limited User Account), dus niet onder Administrator of
Power User. Dan hoef je ook niet zo bang te zijn dat je
hosts file wordt aangepast omdat je daar simpelweg geen
rechten voor hebt.
Hier staat een illustratief tabelletje van de opgelopen
malware als je onder een LUA werkt versus het werken onder
Administrator/Power account:
http://oiepoie.nl/?id=68
veel te uitgebreid staat :P
Tja, nou mijn host-bestand kan niet zomaar veranderd worden
omdat een aantal spyware scanners dit bestand controleren op
veranderingen.
(ook antispywaresoftware kan gestopt en verwijderd worden)
Trojaan
toch echt niet naar buiten wegens een Firewall.
(via HTTP-verkeer kan je makkelijk data naar buiten
smokkelen zonder een firewall dit tegenhoudt)
Beetje naief om te denken dat je zo supergoed geschermd bent.
My 2 cents
Nee hoor. Veranderingen in mijn host bestand worden
gedetecteerd door Spybot Search & Destroy en CounterSpy.
Beiden hebben een Resident Shield actief. Met naïviteit
heeft het helemaal niets van doen.
vervolgens verwijderd?
Er bestaat geen BOM-PROOF software...Dat zou je toch moeten weten!
een adminaccount het kan veranderen, ben je al een heel eind lijkt me.
Moet je daarna niet als die admin inloggen dan heh .....
Er bestaat geen BOM-PROOF software...Dat zou je toch moeten
weten!
Als je de hosts file read-only maakt en de rechten zo aanpast dan alleen een adminaccount het kan veranderen, ben je al een heel eind lijkt me.
Anders verplaats je je host file en maak je een link naar het org. host file.
of The Bat! maar bijv. Thunderbird, dan is er dus ook niks
aan de hand. :P
beetje kort door de bocht.. maar zo zie ik het wel, zoals
het nu geschreven is.
de laatste keer dat ik keek startte Firefox niet op onder
iexplore.exe :>
Ik pretendeer ook niet dat ik veilig ben hoor. Ik heb securitysoftware die het een en ander moeilijker maakt, maar zeker niet onmogelijk. Moet er wel bij vermelden dat ik inmiddels al heel wat jaartjes virus en spyware vrij ben, alleen zal ik daardoor mijzelf niet laten verleiden minder alert te zijn,. Vandaar dat ik ook sites zoals deze nog steeds regelmatig bezoek en ook naar de klanten die ik help naar deze site verwijs wanneer zij weer eens afgesloten zijn vanwege een open relay. ;-)
vooral een hobby was van pubers die geen meisje konden krijgen, maar
anno nu hebben we te maken met professionele criminelen. Het gevecht
wordt daarom voor de bekende anti-virus bedrijven steeds moeilijker.
En wat gaan we daaraan doen? Het tuig aanklagen, kapot hacken of ???
beetje updates erover heen en hoppa geen gezeik meer.
Maar ja als overheden achterdeurtjes wensen en MS zelf ook hier en daar
wat laat hangen waar blijven we dan?
Ik bedoel ik kan hun handelswijze niet controleren...
kortom tis een bende..Maar ook dat is geen nieuws.
Voor elke belangrijke actie Image terugzetten en daarna updates
binnenhalen..en hierna met een account werken welke geen toegang
heeft tot belangerijke lokale bestanden is misschien nog het verstandigste
en .
Ach ja het blijft toch allemaal zo sterk als de zwakste schakel ....
dan dit weer dan dat weer...
Prima ga zo door
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
