image

Video demonstreert Trojaans paard voor Mac OS X

maandag 21 januari 2008, 11:25 door Redactie, 38 reacties

Sinds vorig jaar november zijn Mac OS X gebruikers het doelwit van een Trojaans paard dat zich voordoet als een video codec, maar in werkelijkheid de DNS instellingen wijzigt. Hoewel de media aandacht voor de malware is verdwenen, verschijnen er nog dagelijks nieuwe varianten van deze "DNS changer", die inmiddels bij variant "BK" is aangekomen. De "codec" wordt op verschillende websites, waaronder pornosites, aangeboden, en ziet of een bezoeker een Windows of Mac computer gebruikt. Afhankelijk van het platform krijgt het een andere versie van de Trojan.

Installeert een nietsvermoedende eindgebruiker de malware, dan worden de DNS instellingen gewijzigd zodat die wijzen naar de DNS servers van de bende achter deze malware. Dit kan dan gebruikt worden voor het stelen van vertrouwelijke informatie, zoals bank- en creditcardgegevens. Het Finse F-Secure maakte onderstaande video die demonstreert hoe de infectie in z'n werk gaat.

Reacties (38)
21-01-2008, 12:18 door SirDice
Goed begin :)
21-01-2008, 12:22 door Anoniem
Het filmpje is nagenoeg onleesbaar.
Maargoed, je zit lekker te fappen achter je pc en opeens moet je iets
installeren waarvoor het root-wachtwoord nodig is. Hoe dom is de
gebruiker die gewoon doorklikt? Zo dom dat het vast geen echte Apple-
gebruiker is! ;)
21-01-2008, 12:30 door Anoniem
Moraal van het verhaal.

Ieder besturingssysteem is kwetsbaar als je een programma installeert
dat iets anders doet dan wat je verwacht dat het zou moeten doen.
21-01-2008, 12:40 door dS John Doe
Vraag me af of het mogelijk is als je een router hebt.
Ik heb namelijk een fixed DNS op m'n pc staan.
Zonder deze fixed DNS kan mijn pc geen verbinding met mijn router
maken en dus ook niet met het internet.
21-01-2008, 12:56 door Anoniem
"Vraag me af of het mogelijk is als je een router hebt. Ik heb namelijk een
fixed DNS op m'n pc staan."

Wellicht dat ik wat mis, maar je gateway op je machine werkt met een IP
adres, en niet met MAC adres. Waarvoor heb je DNS nodig bij het
bereiken van je router ?
21-01-2008, 13:10 door SirDice
Je kunt een verbinding maken zonder DNS. DNS zorgt alleen
voor het resolven van hostname naar IP.

Waarschijnlijk heb je de DNS servers van je ISP ingevuld op
je machine? Deze trojan zorgt ervoor dat je machine andere
DNS servers gaat gebruiken. Daar merk je niets van..
21-01-2008, 13:32 door Anoniem
"Installeert een nietsvermoedende eindgebruiker".
Installeren en niets vermoeden....?!?
21-01-2008, 13:43 door dS John Doe
Op mijn pc staat de DNS van de router, dus niet van de ISP.
In mijn geval is dat dus 192.168.2.1 de gebruikelijke IP voor routers.
Ik heb met deze router nog nooit een verbinding kunnen krijgen zonder de
DNS te fixen en aangezien ik hier op mijn computerkamertje al heel wat
pc's heb gemaakt is het dus niet alleen op mijn eigen pc.
Ik vindt het wel een goede beveiliging overigens.
Het blijft natuurlijk de vraag of dit soort Trojans je router kunnen
benaderen om daar de DNS te vervangen, maar dit lijkt me haast
onmogelijk met een w8woord van 14 karakters.

Het is overigens al héél erg lang geleden dat ik een of ander virus of
malware op mijn pc heb gehad, sinds ik me er bewust van geworden ben
hoe deze progjes werken.
Heb reeds teveel geïnfecteerde pc's van anderen geschoond en weet dus
ook precies hoe dit te voorkomen op mijn eigen pc.

Ik denk dus ook dat dit virus alléén maar kan werken als de pc een directe
verbinding heeft met het internet en niet via een router actief kan worden.
21-01-2008, 13:54 door Anoniem
Door SirDice
Je kunt een verbinding maken zonder DNS. DNS zorgt alleen
voor het resolven van hostname naar IP.

Waarschijnlijk heb je de DNS servers van je ISP ingevuld op
je machine? Deze trojan zorgt ervoor dat je machine andere
DNS servers gaat gebruiken. Daar merk je niets van..
Hoezo?
Gewoon /etc/resolv.conf ro maken, probleem opgelost.
21-01-2008, 14:02 door Anoniem
"Op mijn pc staat de DNS van de router, dus niet van de ISP."

Dat heeft te maken met de DNS verbinding naar websites op internet.
Indien je geen DNS op je router invult, dan zal dat geen enkel probleem
geven met de IP connectiviteit naar je router of naar internet (logisch,
want anders zou je je router ook niet kunnen bereiken voor je DNS relay).

Wanneer in je windows instellingen je DNS wordt gewijzigd, heb je nog
steeds op IP-niveau verbinding met je router en met internet, maar je
DNS informatie zal door de nieuwe server worden verstrekt. Je kunt dan
dus ook je nieuwe, kwaadaardige, DNS server bereiken, en last
ondervinden van dit soort malware.

"Ik denk dus ook dat dit virus alléén maar kan werken als de pc een
directe verbinding heeft met het internet en niet via een router actief
kan worden."

Ik denk dat je dat fout ziet.
21-01-2008, 14:05 door Anoniem
"Het blijft natuurlijk de vraag of dit soort Trojans je router kunnen
benaderen om daar de DNS te vervangen, maar dit lijkt me haast
onmogelijk met een w8woord van 14 karakters."

Wanneer je DNS op je PC wordt gewijzigd, dan doen de DNS instellingen
op je router er niet langer toe; het is voor deze malware dus helemaal
niet nodig om informatie op je router te vervangen.

"Ik heb met deze router nog nooit een verbinding kunnen krijgen zonder
de DNS te fixen en aangezien ik hier op mijn computerkamertje al heel
wat pc's heb gemaakt is het dus niet alleen op mijn eigen pc."

Wat lukte precies niet. Verbinding krijgen op DNS naam, of op IP adres ?
En wat gebeurde er wanneer je de DNS server van je provider of van
OpenDNS bijvoorbeeld instelde i.p.v. je DNS van je router ;)
21-01-2008, 14:13 door Anoniem
Je router gebruiken als DNS is geen beveiliging tegen dit
soort malware.
21-01-2008, 14:53 door spatieman
@Door SirDice op maandag 21 januari 2008 13:10

mee eens..
voor windows, ZOU je evt de hosts kunnen locken door deze
write protected te maken..

en evt, de DNS resolver die in je services staat uit te zetten.
21-01-2008, 15:13 door Anoniem
"voor windows, ZOU je evt de hosts kunnen locken door deze write
protected te maken.."

ervanuit gaande dat men in de malware (zoals reeds vaak gedaan) niet
gewoon de naam en/of lokatie van je hosts file wijzigt, of de permissies
op het bestand aanpast om deze vervolgens alsnog te kunnen wijzigen
(ervan uitgaande dat de gebruiker met admin rights is ingelogd).
21-01-2008, 15:30 door SirDice
Ik heb even geen Mac voorhanden maar.... Op *nix is
/etc/resolv.conf alleen voor root beschrijfbaar. Nu zie ik
tijdens dat filmpje nergens een verzoek tot invoeren van het
root wachtwoord? Wordt resolv.conf niet gebruikt op OS-X? Of
is'ie beschrijfbaar voor normale gebruikers?

En hoe zit dat met die DMG bestanden, als ik het goed
begrijp zijn dat disk images? Kan ik daar een SUID root
bestand opzetten?
21-01-2008, 17:01 door Nomen Nescio
Niet interessant voor de media. Nee, dank je de koekoek. Het zou eens om
Microsoft moeten gaan, dan stond half Nederland op zijn kop. Zo zie je
maar weer hoe subjectief de media zijn.
21-01-2008, 17:09 door dS John Doe
Mijn computer moet het DNS adres van mijn router aanhouden vanwege
de NAT firewall.
Op het moment dat het DNS adres op mijn pc gewijzigd wordt, kan deze
geen verbinding meer maken met de router en dus ook niet meer met het
internet.
Geloof me, ik heb dit reeds vele malen getest op diverse pc's die op mijn
router aangesloten geweest zijn.
21-01-2008, 17:30 door SirDice
Door dS John Doe
Mijn computer moet het DNS adres van mijn router aanhouden vanwege de NAT firewall.
Die twee hebben niets met elkaar te maken.

Op het moment dat het DNS adres op mijn pc gewijzigd wordt, kan deze geen verbinding meer maken met de router en dus ook niet meer met het internet.
Er is een groot verschil tussen een verbinding maken en het kunnen resolven van een hostname.
21-01-2008, 21:15 door Anoniem
Windows installeren..
21-01-2008, 22:26 door [Account Verwijderd]
[Verwijderd]
21-01-2008, 22:34 door Anoniem
Door Nomen Nescio
Niet interessant voor de media. Nee, dank je de koekoek. Het
zou eens om
Microsoft moeten gaan, dan stond half Nederland op zijn kop.
Zo zie je
maar weer hoe subjectief de media zijn.
onzin, er is vaak genoeg iets lek in windows en maar bij een
klein deel bereikt zoiets de grotere media.
21-01-2008, 23:27 door Anoniem
Zo ziet dat eruit op een Mac :

computer:~ user$ uname -a
Darwin computer.local 8.11.1 Darwin Kernel Version 8.11.1:
Wed Oct 10 18:23:28 PDT 2007;
root:xnu-792.25.20~1/RELEASE_I386 i386 i386

computer:~ user$ ls -l /etc/resolv.conf
lrwxr-xr-x 1 root wheel 20 Aug 4 13:10
/etc/resolv.conf@ -> /var/run/resolv.conf

computer:~ user$ ls -l /var/run/resolv.conf
-rw-r--r-- 1 root daemon 52 Jan 21 21:36
/var/run/resolv.conf

computer:~ user$ more /var/run/resolv.conf
nameserver 208.67.222.222
nameserver 208.67.220.220

de resolv.conf readonly maken zoals Sir Dice schreef is een
goed idee, kijk maar :

computer:~ user$ touch /tmp/foo
computer:~ user$ chmod 444 /tmp/foo
computer:~ user$ sudo echo "bogus nameserver 10.10.10.10" >
/tmp/foo
-bash: /tmp/foo: Permission denied
computer:~ user$ ln -s /tmp/foo /tmp/link
computer:~ user$ ls -l /tmp/link
lrwxr-xr-x 1 user wheel 8 Jan 21 23:23 /tmp/link@ ->
/tmp/foo
computer:~ user$ sudo echo "bogus nameserver 10.10.10.10" >
/tmp/link
-bash: /tmp/link: Permission denied
computer:~ user$ chmod 644 /tmp/foo
computer:~ user$ sudo echo "bogus nameserver 10.10.10.10" >
/tmp/foo
computer:~ user$ cat /tmp/foo
bogus nameserver 10.10.10.10
22-01-2008, 00:17 door eMilt
Door dS John Doe
Geloof me, ik heb dit reeds vele malen getest op diverse
pc's die op mijn
router aangesloten geweest zijn.

Je kan iedere DNS server gebruiken welke recursion
ondersteund. Normaal gesproken gebruik je de DNS servers van
je provider. NAT doet er helemaal niks toe.
22-01-2008, 08:26 door dS John Doe
OK jongens, even terug naar de bron......

Voor zover ik begrepen had wat het virus doet:
Het virus zorgt er voor dat je pc een andere DNS server gaat gebruiken.
Deze DNS server resolved je aanvraag naar zijn eigen website.

Ik denk dat mijn NAT op mijn router wel degelijk indirect te maken heeft
met mijn DNS, want mijn router staat het niet toe om een directe
verbinding naar buiten te maken en verloopt dus alles via mijn router, zelfs
de DNS request.
Dus DNS request en verbinding verlopen allemaal via de router.

In de router staat het DNS adres van mijn ISP en dus niet op mijn pc.
Mijn DNS request moet dus ook via mijn router lopen en verloopt dus NIET
rechtstreeks via mijn ISP.

Het is natuurlijk niet zo dat een NAT firewall de DNS regelt, maar als ik de
NAT uitschakel en de "gewone" Firewall inschakel op mijn router kan ik
dus wél een rechtstreekse verbinding met de DNS.
Aangezien het virus je DNS serveradres vervangt, kun je dus alleen maar
verbinding met deze maken als je de DNS request rechtstreeks naar
buiten verstuurt.

Dit is dus onmogelijk als je router de DNS request forward.

Of ben ik gewoon helemaal gek aan het worden??? :P
22-01-2008, 09:00 door Nomen Nescio
Door Anoniem
Het filmpje is nagenoeg onleesbaar.
Maargoed, je zit lekker te fappen achter je pc en opeens moet je iets
installeren waarvoor het root-wachtwoord nodig is. Hoe dom is de
gebruiker die gewoon doorklikt? Zo dom dat het vast geen echte Apple-
gebruiker is! ;)
Tuurlijk niet joh: Applegebruikers zijn intelligent, de rest is dom.
22-01-2008, 09:02 door Nomen Nescio
Door Anoniem
Door Nomen Nescio
Niet interessant voor de media. Nee, dank je de koekoek. Het
zou eens om
Microsoft moeten gaan, dan stond half Nederland op zijn kop.
Zo zie je
maar weer hoe subjectief de media zijn.
onzin, er is vaak genoeg iets lek in windows en maar bij een
klein deel bereikt zoiets de grotere media.
Onzin. Er zijn genoeg voorbeelden van zelfs broodje-aapverhalen over Microsoft die de
landelijke media halen. Maar grote miskleunen bij Apple, denk aan de
iPod, worden doodgezwegen in diezelfde media.
22-01-2008, 09:31 door Anoniem
Door Nomen Nescio
Door Anoniem
Door Nomen Nescio
Niet interessant voor de media. Nee, dank je de koekoek. Het
zou eens om
Microsoft moeten gaan, dan stond half Nederland op zijn kop.
Zo zie je
maar weer hoe subjectief de media zijn.
onzin, er is vaak genoeg iets lek in windows en maar bij een
klein deel bereikt zoiets de grotere media.
Onzin. Er zijn genoeg voorbeelden van zelfs
broodje-aapverhalen over Microsoft die de
landelijke media halen. Maar grote miskleunen bij Apple,
denk aan de
iPod, worden doodgezwegen in diezelfde media.
onzin, ook apple komt wel eens negatief in het nieuws. maar
aangezien microsoft groter is zul je daar meer over horen.
22-01-2008, 09:36 door dS John Doe
en ziet of een bezoeker een Windows of Mac computer gebruikt.

LEZEN JONGENS!!!!!

Het gaat hier om BEIDE OS's
22-01-2008, 09:50 door Anoniem
Door rookie
Heerlijk als apple gepwned wordt. :)

Windows wordt elke dag "gepwned" zoals jij het wilt noemen ;)
En nogal oftopic met je kindertaal hea? Voor elke OS is/komt er wel
een virus dus.. vanwaar de drukte?
22-01-2008, 10:16 door SirDice
John Doe, mbt je router en dns.. Ik denk dat je je eens moet
verdiepen in TCP/IP. DNS heeft niets te maken met het wel of
niet kunnen verbinden. Dat staat helemaal los van elkaar..
Verdiep je ook eens in hoe NAT werkt. Basis TCP/IP.
22-01-2008, 11:48 door dS John Doe
Sry, maar ik denk dat we hier een typisch geval hebben van
miscommunicatie.
Ik weet wat DNS en NAT inhouden, maar we komen er niet echt aan uit.
Zal waarschijnlijk met mijn manier van uileg te maken hebben.
Ik ben nml geen programmeur of systeembeheerder oid.
22-01-2008, 13:01 door Anoniem
Als je firewall/nat-router ook dns-verzoeken van werkstations tegenhoudt,
maar bijvoorbeeld niet van een eigen dns-server, dan gaat dns-resolving
op die werkstations het niet meer doen.
Dan ga je vanzelf kijken waar dat opeens door gekomen is...
22-01-2008, 13:48 door dS John Doe
Toch duidelijke taal of niet?

http://www.hccbrabant.nl/vena/netwerk/ip.php

Als u via een router verbonden bent met het internet zal deze router vaak
als DNS relay server geschakeld zijn. De router doet dan net of hij de DNS
server in uw netwerk is. Uw computers vragen dan aan uw router om een
naam te vertalen naar een IP adres. De router stelt dan op zijn beurt die
vraag aan de DNS servers van uw internet provider.

Ik weet niet waarom jullie zo moeilijk doen over mijn router, maar het staat
overal op het internet.
Jullie kijken volgens mij gewoon een beetje te moeilijk naar dit soort
kwesties

Google maar eens op "dns relay"
22-01-2008, 14:09 door dS John Doe
Dit is trouwens ook meteen de reden waarom NAT hier wel degelijk mee
te maken heeft.
De router moet immers weten van welk IP adres de DNS request vandaan
komt, omdat de externe DNS server dit niet kan vanwege het NAT IPadres.
23-01-2008, 12:43 door Anoniem
nslookup http://www.google.com 67.138.54.100

kun je dat doen? dan werkt je beveiliging dus niet zoals je
denkt.
23-01-2008, 18:28 door dS John Doe
Door Anoniem
nslookup http://www.google.com 67.138.54.100

kun je dat doen? dan werkt je beveiliging dus niet zoals je
denkt.

Dit heeft hier niets mee te maken, dan kun je net zo goed pingen.

Het zou dus wel kunnen als je dan de opdracht "server" invoert om een
dns als standaard in te stellen.
Dit lukt dus niet bij mijn pc, omdat hij deze niet rechtstreeks kan bereiken
voor een dnsrequest.
24-01-2008, 16:58 door SirDice
De router moet immers weten van welk IP adres de DNS request vandaan komt, omdat de externe DNS server dit niet kan vanwege het NAT IPadres.
En hier heb je dus geen DNS relay voor nodig aangezien NAT het DNS (udp/53) pakketje netjes omzet. Juist dankzij NAT heb je heel die relay niet nodig en kan je machine zelfstandig namen resolven op een Internet DNS server.

Mijn punt was dat je de term "verbinding" onterecht bij DNS legt. DNS is niet verantwoordelijk voor de "verbinding", da's een puur TCP/IP verhaal. DNS komt daarna pas. Als DNS resolving niet werkt kun je gewoon een verbinding maken. Dat moet dan wel met een IP adres ipv. hostname maar de verbinding werkt. Zoals ik al zei, DNS zorgt alleen maar voor het omzetten van een naam naar een IP adres. Niets meer en niets minder.
25-01-2008, 10:58 door dS John Doe
Had gisterenochtend een lijst met DNS servers uitgeprobeerd, maar niet
naar de datum gekeken, was een lijst van 2004 :S
Sorry dat ik zo vervelend was.
Heb getest met goede DNS IP en daadwerkelijk een verbinding, thx.
Dit was ook mijn vraag of die mogelijkheid er was.
Ik moet altijd eerst zelf zien en dan geloven.
Eerder begin ik er niet aan.(kan af en toe vervelend zijn voor anderen :P)
Thx voor jullie engelengeduld ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.