Nieuws
image

Geïnfecteerde Winlogon.exe lastig te detecteren

maandag 7 januari 2008, 12:37 door Redactie, 14 reacties

Het infecteren van gebruikers via kwaadaardige codecs en filmpjes van recente incidenten is nog altijd een zeer populair, en besmettingen zijn vaak lastig te detecteren. Virusonderzoekers hebben een nieuwe variant van het Kibik virus ontdekt dat zichzelf injecteert in een ongebruikt gedeelte van Winlogon.exe. In tegenstelling tot veel andere malware verandert hierbij de grootte van het bestand niet. Het laat ook geen sporen achter in het Windows register of past andere bestanden aan. Toch laadt de malware zichzelf elke keer dat de machine start.

Eenmaal geïnfecteerd heeft een aanvaller volledige controle over de machine, en downloadt de malware nieuwe bestanden. De betreffende variant werd verspreid via codecs, maar andere versies worden ook als web exploit "aangeboden". McAfee omschrijft de malware als een "geniep parasitisch virus", dat door maar weinig beveiligingsbedrijven wordt gedetecteerd.

Reacties (14)
07-01-2008, 13:09 door Anoniem
Vreemd. Je kunt toch controleren of de hash van Winlogon.exe
veranderd is?
07-01-2008, 13:50 door SirDice
Door Anoniem
Vreemd. Je kunt toch controleren of de hash van Winlogon.exe
veranderd is?
Dan moet je wel een hash hebben van voor dat'ie veranderd is.
07-01-2008, 14:34 door Anoniem
Onder normale omstandigheden restored Windows toch systeem files
welke overschreven worden? Schakelt het virus dat dan uit? En hoe krijgt
het virus toegang tot de systeem bestanden?
07-01-2008, 14:50 door Anoniem
Heh.. wat een 'kul. Virussen die zich in de .exe (met name de .exe header)
zijn niets nieuws. Wedden dat het mechanisme voor het infecteren van
winlogon.exe gejat is uit een van deze oude virussen _EN_ dat de antivirus
programma's/producenten het signatuur voor dit mechanisme niet meer in
hun databases hebben?
07-01-2008, 14:59 door Anoniem
Door Anoniem
Je kunt toch controleren of de hash van Winlogon.exe
veranderd is?

Dat doet me denken aan een dos-tooltje wat ik destijds
gebruiktte: integrity master van stiller research. Ik zie
dat we nog steeds bij versie 4.21a zijn gebleven...

Iemand een beter (moderner, lange bestandsnaam compatible)
proggel bekend ?

Groet,
Robert
07-01-2008, 14:59 door Anoniem
Door Anoniem
Onder normale omstandigheden restored Windows toch systeem files
welke overschreven worden? Schakelt het virus dat dan uit? En hoe krijgt
het virus toegang tot de systeem bestanden?

De systeem files worden niet overschreven, maar veranderd. De malware
nesteld zich als een 'echt' virus in het winlogon.exe programma zonder de
functionaliteit aan te tasten. Het programma krijgt alleen _extra_
funtionaliteit ;-)
De enige vraag is of Windows niet met een soort checksum zijn systeem
files controleerd ??? en zo ja hoe de malware dat omzeild.
07-01-2008, 16:07 door Anoniem
De systeem files worden niet overschreven, maar veranderd.
Bestands herstel wordt als het goed is ook door het veranderen van
system files getriggerd?
07-01-2008, 18:37 door wimbo
Lijkt me dat MS maar een mechanisme in moet bouwen dan
iedere 15 seconden alle lokale Windows bestanden
controleerd. De hashes staan bij MS, om te voorkomen dat
deze ook lokaal worden aangepast. Daarbij treedt geen
performance verlies op en wordt minimale bandbreedte gebruikt.

Hosts file en DNS kunnen zelfs niet meer aangepast worden
zonder een Internetdiploma of in het bijzijn van een
Microsoft Helpdesk medewerker.

Dus..... (ofzo)
07-01-2008, 19:38 door [Account Verwijderd]
[Verwijderd]
07-01-2008, 21:38 door Anoniem
dat zichzelf injecteert in een ongebruikt gedeelte
van Winlogon.exe

Dat geeft dus aan dat er een mogelijkheid tot injecteren
mogelijk is, een kwestie van ervoor zorgen dat er geen
ongebruikt gedeelte in winlogon aanwezig is.
Als er dan iets gewijzigd word aan Winlogon moet de hash wel
opnieuw worden aangemaakt omdat de documentgroote is gewijzigd.
Met een 'ongebruikt gedeelte' is het mogelijk om spaties te
vervangen met code terwijl de documentgroote gelijk blijft
en het systeem 'gefopt' kan worden ongeacht de bijbehorende
hash.
07-01-2008, 22:12 door Anoniem
Systeemherstel......herstelpunt terugzetten.....probleem zou
opgelost moeten zijn.....
08-01-2008, 15:01 door Anoniem
Alle windows bestand vanaf win2000 SP4 hebben een authenticode
signature zodat je weet dat ze van microsoft afkomstig zijn en dat het
bestand niet is aangepast.
Met http://www.runscanner.net kan je van al je automatisch opstartende
bestanden kijken of de signature nog klopt en zo potentieële malware
detecteren. (ongeveer zoals hijackthis, maar dan beter)
12-11-2008, 19:23 door Anoniem
Ik snap het hele gedoe van virussen niet...
Wat is er leuk aan iemand anders zijn computer te slopen?
( Met VBScript kan je leuke dingen doen.. )
30-01-2010, 13:28 door Anoniem
Door Anoniem:
dat zichzelf injecteert in een ongebruikt gedeelte
van Winlogon.exe

Dat geeft dus aan dat er een mogelijkheid tot injecteren
mogelijk is, een kwestie van ervoor zorgen dat er geen
ongebruikt gedeelte in winlogon aanwezig is.
Als er dan iets gewijzigd word aan Winlogon moet de hash wel
opnieuw worden aangemaakt omdat de documentgroote is gewijzigd.
Met een 'ongebruikt gedeelte' is het mogelijk om spaties te
vervangen met code terwijl de documentgroote gelijk blijft
en het systeem 'gefopt' kan worden ongeacht de bijbehorende
hash.


Als ik winlogon.exe verwijder of beeindig beschadig ik dan mijn laptop?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure