Trojaans paard verstopt zich via Windows encryptie
Onderzoekers hebben een Trojaans paard ontdekt dat het Microsoft Windows' Encrypted File System gebruikt om zich te verstoppen en detectie te voorkomen. De Trojan bestaat uit twee componenten, een dialer genaamd Qdial-45 en de versleutelde downloader "Spy-Agent.bf". De dialer vervangt de huidige inbelverbinding met een duur inbelnummer. De downloader gebruikt daarna het Encrypted File System (EFS) om zich te verbergen en nieuwe content van verschillende websites te downloaden.
"De Trojan maakt een administrator login account aan met willekeurige naam en wachtwoord. Met deze login wordt het downloader component versleuteld. Het maakt dan een willekeurige service aan die naar het versleutelde bestand met logon mogelijkheden wijst. " aldus McAfee dat de malware ontdekte.
De Trojan is de nieuwste malware die encryptie gebruikt om zichzelf te verbergen. Vorige maand werd er een virus ontdekt dat ook encryptie en verschillende Windows functies gebruikte om dit te doen. De malware waar McAfee voor waarschuwt werd al begin augustus ontdekt, maar er is sindskort een toename van het aantal infecties waargenomen.
het daarvoor de rechten krijgt is me niet duidelijk.
Ook minder leuk: vandaag ontdekte ik een Keylogger op mijn PC
(nog nooit eerder binnengehad). Mijn virusscanner gaf geen
sjoeger, alleen CounterSpy deed zijn werk goed. Die ontdekte
de rotzooi. Het bleek een Chat monitor te zijn. Ik heb
meteen mijn accountwachtwoorden veranderd.
Pfff...houdt het nou nooit op met die malware troep? Nu weer het
Encrypted System binnendringen. Vraag me af of dit geen rootkitachtige
verschijnselen zijn (verbergen en niet te detecteren).
Ook minder leuk: vandaag ontdekte ik een Keylogger op mijn PC
(nog nooit eerder binnengehad). Mijn virusscanner gaf geen
sjoeger, alleen CounterSpy deed zijn werk goed. Die ontdekte
de rotzooi. Het bleek een Chat monitor te zijn. Ik heb
meteen mijn accountwachtwoorden veranderd.
Welke virusscanner mag dat dan wel niet zijn ???
Niet zijn?
oke zijn dan
De trojan doet dingen in HKLM en %WinDirSystem32%. Maar hoe het daarvoor de rechten krijgt is me niet duidelijk.
Omdat bijna iedereen, standaard, op een administrator account werkt?
@ Anoniempje: jammer dat CounterSpy 15 dagen evaluatie
versie heeft.
Ehm ja, maar ik heb deze suit gekocht via m'n creditcard. Tot nu toe bevalt
het pakket zeer goed. Er wordt echt een grondige beveiligingsniveau
uitgevoerd op de PC. (BHO, Host-file, AutoProtect, ActiveX,
beveiligingsniveau Browser).
De trojan doet dingen in HKLM en %WinDirSystem32%. Maar hoe het
daarvoor de rechten krijgt is me niet duidelijk.
Omdat bijna iedereen, standaard, op een administrator account werkt?
Neuh....als je browsed dan laad je content in de Temp-files daar helpt
geen rechten beperkingen tegen. De rotzooi is binnengekomen via een
website.
Niet zijn?
oke zijn dan
Dat maakt toch niet zoveel uit. Ik geloof dat alleen Nod32 de enige scanner
is die nieuwe malware goed kan detecteren. Ik ben er achtergekomen dat
de malware waarschijnlijk een nieuwe variant was. Volgens CounterSpy
staat deze keylogger op de eerste plaats van de top 10 van spyware
besmettingen. De overige AV-scanners presteren zowieso maar matigjes
(en dan heb ik het over die grote merken zoals McAfee, Symantec etc)
virusscanner je gebruikt.
ik gewoon goed spul...beter dan symatec of mcAffee
Ook minder leuk: vandaag ontdekte ik een Keylogger op mijn PC
(nog nooit eerder binnengehad). Mijn virusscanner gaf geen
sjoeger, alleen CounterSpy deed zijn werk goed. Die ontdekte
de rotzooi. Het bleek een Chat monitor te zijn. Ik heb
meteen mijn accountwachtwoorden veranderd.
Welke virusscanner was dit en zou een andere dit wel gezien hebben ?
Counterspy deed zijn werk wel, dit programma zie ik dan ook als mede
een van de betere op dit gebied.
Niet zijn?
oke zijn dan
Dat maakt toch niet zoveel uit. Ik geloof dat alleen Nod32 de enige scanner
is die nieuwe malware goed kan detecteren. Ik ben er achtergekomen dat
de malware waarschijnlijk een nieuwe variant was. Volgens CounterSpy
staat deze keylogger op de eerste plaats van de top 10 van spyware
besmettingen. De overige AV-scanners presteren zowieso maar matigjes
(en dan heb ik het over die grote merken zoals McAfee, Symantec etc)
Natuurlijk maakt dat uit. Geef gewoon aan om welke scanner het gaat.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
