image

Onzichtbare Trojan steelt data van SSL streams

dinsdag 22 mei 2007, 12:21 door Redactie, 19 reacties

Er is een nieuwe versie van de Russische Gozi Trojan ontdekt, die in staat is om gegevens tijdens secure socket layer (SSL) transacties te stelen. Gozi behoort tot een van de meest complexe Trojaanse paarden bekend, en bevat allerlei features om zich onzichtbaar te maken. Als het een SSL transactie detecteert, wordt de geïnfecteerde computer volledig gemonitord. Door continu de eigen code aan te passen, onder andere via een eigen compressie programma, probeert de malware virusscanners te misleiden.

"Het is al erg genoeg dat deze nieuwe versie van Gozi de eigen code kan versleutelen en roteren, waardoor het conventionele op signature gebaseerde detectie omzeilt. Het feit dat het de keylogging functie aan en uit kan zetten als er een banksite wordt geopend, maakt het bijna niet te detecteren door normale beveiligingssoftware," zegt Geoff Sweeney. Gozi verspreidt zich via beveiligingslekken in Internet Explorer.

Volgens onderzoeker Don Jackson, die de nieuwe Gozi versie ontdekte, zouden al meer dan 10.000 rekeninggegevens en de informatie van 5200 thuisgebruikers gecompromitteerd zijn. "De informatie bevatte alles van de bank, winkel en betaaldiensten, alsmede SoFi-nummers en andere persoonlijke gegevens. Wat betreft de rekeningnummers gaat het om wachtwoorden van alle grote instellingen en online retailers," zo laat Jackson weten.

De gestolen informatie bevatte ook de logins en wachtwoorden van ambtenaren en verschillende politiediensten, en werd op een Russische server voor 2 miljoen dollar aangeboden.

Reacties (19)
22-05-2007, 12:47 door Anoniem
Toen echte mannen nog virussen schreven in Assembly, kwam
zelf morphing code regelmatig voor en kon deze wel gevonden
worden, maar die kennis is bij de heren antivirusschrijvers
kennelijk verloren gegaan.

Windows generatie.......
22-05-2007, 12:51 door [Account Verwijderd]
[Verwijderd]
22-05-2007, 12:55 door SirDice
Door Iceyoung
Door het faken van een SSL connectie met een banksite moet deze trojan zich toch blood geven.
Bloot? En waar staat dat'ie een SSL connectie hijacked?

According to Jackson, the keystroke logger appears to be activated when the user of an infected computer visits a banking Web site or initiates an SSL session.
22-05-2007, 13:37 door Anoniem
Je vraagt je nog steeds af waarom MSIE bijvoorbeeld rechten moet hebben
waarbij het deze zaken kan uitvoeren.
22-05-2007, 14:17 door Anoniem
sterk staaltjs programming.... selfmorphing, back to basics
22-05-2007, 14:29 door Anoniem
Door SirDice
Door Iceyoung
Door het faken van een SSL connectie met een banksite moet
deze trojan zich toch blood geven.
Bloot? En waar staat dat'ie een SSL connectie hijacked?

According to Jackson, the keystroke logger
appears to be activated when the user of an infected
computer visits a banking Web site or initiates an SSL
session.


Als het een SSL transactie detecteert, wordt de
geïnfecteerde computer volledig gemonitord

Volledig houd imo in dat er op dat moment niet alleen een
keylogger draait. Er wordt bovendien aangegeven dat het een
behoorlijk geavanceerde trojan is, het lijkt me dan niet erg
waarschijnlijk dat het ding alleen maar om keylogger speelt.

-Jeroen
22-05-2007, 15:12 door G-Force
Onzichtbare Trojan

Logica?

Gozi verspreidt zich via beveiligingslekken in Internet Explorer.

Eigen schuld....Er wordt al jaren van de kansel geroepen deze browser niet te gebruiken!
22-05-2007, 15:19 door [Account Verwijderd]
[Verwijderd]
22-05-2007, 15:29 door [Account Verwijderd]
[Verwijderd]
22-05-2007, 16:19 door Grudge
Door rookie
Je zou maar als onderzoeker zo'n complexe worm ontdekken (of
als computercrimineel zo'n complexe worm maken), dan zit je
er echt ongekend diep in.
Ik heb hier maar 1 woord voor: respect.

Tot dat jij het slachtoffer word van dat soort eikels...

dan heb je er geen 'respect' meer voor waarschijnlijk...

Er zijn voldoende Firefox en Opera exploits geweest waarvan
deze Trojan misbruik had kunnen maken.... (en dat zal zeker
ook nog gaan gebeuren..!)

De Trojan doet zijn best om niet gedetecteerd te worden, dit
betekend dus dat detectie niet onmogelijk is...... (dit
verhaal is op een gedecteerde Trojan gebaseerd..)

When scanned by 30 leading anti-virus products, none of them detected malware specifically; however, several of them using heuristics detected it as a "suspicious" file or "generic" threat based on the fact that it was compressed by a common malware packer, a compression utility commonly used shrink and hide malicious code in executable (EXE) files.

http://www.secureworks.com/research/threats/gozi/
22-05-2007, 23:57 door d3m0nic
Alhoewel ik zwaar tegen zulke troep ben, schuilt er toch een
bepaalde schoonheid in. De whitehats en de blackhats... de
jedi en de sith. Er is maar één remedie en dat is
internationaal keihard optreden tegen deze boeven. Zulk tuig
stop je niet met enkel 5 jaar... beter is voor elke
incident, 5 jaar te geven, zoals dat bij een overval of
beroving gaat. Dus bij 5000 besmette pc's... 25.000 jaar de
kerker in.
23-05-2007, 02:17 door G-Force
Door Iceyoung
Wat ik bedoel is dat als hij aktief wordt hij uit stealth
mode moet komen
(zich bloot stellen om de ssl connectie te detecteren en te
volgen -
activated ) op dat ogenblik is ie te traceren .

Nou, dit is echt niets nieuws hoor. In 2000 was er ook zo'n
computervirus dat voortdurend in stealth mode was,
maar soms uit zijn schuilplaats moest komen. Niets nieuws
onder de zon zou ik zeggen...
23-05-2007, 02:20 door G-Force
...Door Anoniem op dinsdag 22 mei 2007 12:47
Toen echte mannen nog virussen schreven in Assembly, ..

Jij moet beslist eens een cursus logica gaan volgen vriend!
23-05-2007, 02:24 door G-Force
Door d3m0nic
Er is maar één remedie en dat is
internationaal keihard optreden tegen deze boeven. Zulk tuig
stop je niet met enkel 5 jaar... beter is voor elke
incident, 5 jaar te geven, zoals dat bij een overval of
beroving gaat. Dus bij 5000 besmette pc's... 25.000 jaar de
kerker in.

Zou jij ook jezelf zo hard beoordelen? (denk het niet) wees
ook eens wat barmhartig voor een ander!
23-05-2007, 07:24 door Anoniem
Door Anoniem
Toen echte mannen nog virussen schreven in Assembly, kwam
zelf morphing code regelmatig voor en kon deze wel gevonden
worden, ...

"Echte mannen" hoeven hun geld niet te verdienen door middel
van diefstal...
23-05-2007, 09:47 door Anoniem
Als men slim is heeft men al weer een nieuwe versie klaar na dit bericht,
zijn de afnemers ook weer gerust gesteld.

Voor online banking ben ik niet zo bang voor een keylogger, Rabobank lijkt
mij wat dat betreft wel vrij veilig aangezien je altijd weer nieuwe codes
moet generen. Heeft men dit in het buitenland eigenlijk ook of is het daar
nog gewoner om met alleen een ww in te loggen?

Het wordt lastiger als men on the fly dingen zou weten aan te passen op
de achtergrond. Dat ipv 100 euro naar ome Belastingdienst er ineens 100
richting Rusland verdwijnt.
23-05-2007, 17:53 door G-Force
FF nog op het internet gezocht, maar als mijn conclusie
juist is (verbetering is welkom) dan is deze Trojan al
maanden eerder gesignaleerd (maart 2007)

Artikel van het ISC:
http://isc.sans.org/diary.html?storyid=2498&rss

SecureWorks:
http://www.secureworks.com/research/threats/gozi/

De virusscanners zouden deze malware al detecteren.

Daarin staan ook nog links die diep ingaan op deze malware
(via pakketsniffers). Voer voor professionals...
23-05-2007, 23:43 door Anoniem
Door Anoniem
Toen echte mannen nog virussen schreven in Assembly, kwam
zelf morphing code regelmatig voor en kon deze wel gevonden
worden, maar die kennis is bij de heren antivirusschrijvers
kennelijk verloren gegaan.

Windows generatie.......

En gelijk heb je .... ( en ik ben maar 21 winters oud. )

De verschillende morph en " rotating " zoals het hier
genoemd word, engines worden ook "los" te koop aangeboden.
En dit gebeurd al JAREN.
Whitehats lopen altijd achter de feiten aan, het gaat ze
niet om de veiligheid, het gaat ze om het geld.
24-05-2007, 07:46 door spatieman
tja,.
hoe kom je aan die troep.

1 je opend een bijlage van iemand.
2 je bezoekt sites die heel fout zijn.
3 je gebruikt een oude internet explorer
4 je gebruikt ! internet explorer
5 je bent heel naief, en vertrouwt op de virus/spyware scanner.
6 je bent zo naief met de gedachte, gebeurd mij niet.
7 je bent gewoon heeeeel dom.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.