image

Virus vindt geografische locatie slachtoffers via Google Maps

woensdag 15 november 2006, 12:20 door Redactie, 6 reacties

Virusschrijvers zijn niet alleen geinteresseerd in de PC's die ze infecteren, ze willen ook weten waar hun slachtoffers zich bevinden, zo blijkt uit de analyse van een nieuw virus. De malware wordt verspreidt via e-mail en is een .exe bestand vermomd als een JPEG afbeelding, die weer in een ZIP archief zit.

Opent men de malware, dan wordt er een downloader actief die weer een andere downloader downloadt. Deze downloader downloadt allerlei malware, zoals keyloggers en BHOs (Browser Helper Objects). Daarnaast plaatst het ook meerdere versies van hetzelfde Trojaanse paad, alleen met verschillende checksums. Wat de kans moet verhogen dat de malware niet door een virusscanner wordt opgemerkt.

Na de installatie van de malware wordt de firewall in Windows XP SP2 en het complete Security Center uitgeschakeld. Daarna wordt verbinding gemaakt met een webserver die weer andere malware op het systeem plaatst.

Voordat alle gevonden informatie op het geinfecteerde systeem naar virusschrijver wordt gestuurd, maakt de malware verbinding met detectlocation.ru waarop een perl script draait. Het perl script pakt het IP adres van de geinfecteerde machine om de geografische locatie te vinden. De coördinaten die het terugstuurt kunnen zelfs in Google Maps gebruikt worden.

Volgens het Internet Storm Center verzamelt de malware alleen informatie, maar zou die mogelijk ook verband kunnen houden met de recente toename van spam. Het is wel duidelijk dat de virusschrijver door het gebruik van Google Maps creatief te werk is gegaan. Voor gebruikers wiens systeem met dit soort malware is geinfecteerd rest, vanwege de hoeveelheid geinstalleerde malware, alleen het opnieuw installeren van het systeem.

Reacties (6)
15-11-2006, 14:52 door Anoniem
Begrijp ik dat nu goed? Dus als ik een JPEG-afbeelding open,
dan kan daarin een virus zitten?
15-11-2006, 16:22 door Anoniem
Door Anoniem
Begrijp ik dat nu goed? Dus als ik een JPEG-afbeelding open,
dan kan daarin een virus zitten?
Ja, klopt. Sterker nog: dat is niet echt nieuw. Wat wel
nieuw is, is dat dit virus een ander virus download, die op
zijn beurt weer allerlei zaken gaat downloaden...

Ook worden plaatjes gebruikt om je e-mailadres te
achterhalen, om zo nog meer spam naar je toe te kunnen
sturen. Oppassen met plaatjes in e-mail blijft dus de boodschap!
15-11-2006, 16:49 door Anoniem
Het is een .exe vermomd als jpeg, dit betekent meestal
zoiets als bestandsnaam.jpeg.exe met een jpeg icoontje als
icoon (aangezien je de icoontjes van .exe bestanden in het
bestand zelf kunt specificeren). Op computers waar bekende
extensies verborgen worden (standaard instelling op windows)
zien deze bestanden er precies uit als jpegs.
15-11-2006, 17:33 door [Account Verwijderd]
[Verwijderd]
15-11-2006, 22:33 door the virusman
Ik geef dit virus hier nul procent kans, ben dus niet onder de indruk van
deze dreiging.
Echter minder beveiligde pc's met mensen achter het toetsen bord met
weinig kennis van zaken. tja daar wordt zoiets natuurlijk wel gevaarlijk.
16-11-2006, 00:44 door nixfreak
Na de installatie van de malware wordt de firewall in
Windows XP SP2 en het complete Security Center
uitgeschakeld

Kijk, als je als administrator bent ingelogt en DIT gebeurt
dan zeg ik..eigen schuld. Maar als dit zelfs als gebruiker
met "beperkte rechten" nog mogelijk is, dan zit je op een os
te werken wat structureel verkeerd in elkaar is gezet.

Maar de eerlijkheid gebied mij te zeggen dat ik dit NIET uit
het verhaal kan opmaken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.