image

Rootkit Trojan plundert 270.000 bankrekeningen

vrijdag 31 oktober 2008, 12:44 door Redactie, 16 reacties

Eén bende cybercriminelen heeft de afgelopen twee en een half jaar meer dan 500.000 bankrekeningen en creditcards misbruikt, dat blijkt uit vandaag gepubliceerd onderzoek. Volgens de onderzoekers van RSA die de Sinowal Trojan onderzochten, zijn er zelden zoveel gestolen gegevens bij elkaar aangetroffen. Sinowal is specifiek ontwikkeld voor financiële fraude en werd vorig jaar onder andere tegen de Postbank ingezet. Sinds het begin van dit jaar kan het ook de bootsector van harde schijven infecteren, waardoor het zelfs na een herinstallatie van Windows het systeem weer kan besmetten.

Van de meer dan 500.000 gestolen gegevens ging het om 270.000 bankrekeningen en zo'n 240.000 creditcard en debitcardnummers en bijbehorende persoonlijke informatie. Onderzoekers vonden de data op verschillende webservers die de Sinowal-bende gebruikte. Het Trojaanse paard en de gevonden gegevens dateren van februari 2006. "Bijna drie jaar is een zeer lange tijd voor een online bende om met één Trojaans paard te werken", zegt Sean Brady van RSA. "Zelden komen we dit soort crimeware tegen die sinds 2006 continu persoonlijke en financiële gegevens steelt en verzamelt."

Tussen april en oktober van dit jaar ontdekten de onderzoekers elke maand tussen de 60 en 80 nieuwe varianten, die door de helft of zelfs twee derde van de virusscanners niet herkend werden. Inmiddels kan Sinowal van 2700 banken en e-commerce websites de gegevens stelen, waarbij het niet uitmaakt of het slachtoffer twee-factor authenticatie gebruikt. De malware verspreidt zich voornamelijk via ongepatchte beveiligingslekken in populaire software zoals Flash en QuickTime. De laatste zes maanden wist het Trojaanse paard meer dan 100.000 bankrekeningen te plunderen, wat waarschijnlijk het gevolg is van een groot aantal gehackte websites.

Reacties (16)
31-10-2008, 12:56 door [Account Verwijderd]
[Verwijderd]
31-10-2008, 13:57 door capricornus
En dan weer de domste vraag van déze maand:

"Sinds het begin van dit jaar kan het ook de bootsector van harde schijven infecteren, waardoor het zelfs na een herinstallatie van Windows het systeem weer kan besmetten."

Indien ik met GPartEd die schijf helemaal herpartitioneer, persisteert het wormpje dan ook? Of moet ik apart ook de MBR wipen?
31-10-2008, 15:11 door Bitwiper
Door capricornusEn dan weer de domste vraag van déze maand:

"Sinds het begin van dit jaar kan het ook de bootsector van harde schijven infecteren, waardoor het zelfs na een herinstallatie van Windows het systeem weer kan besmetten."

Indien ik met GPartEd die schijf helemaal herpartitioneer, persisteert het wormpje dan ook? Of moet ik apart ook de MBR wipen?
Helemaal geen domme vraag.

Voor zover ik kan vinden nestelt deze malware zich inderdaad in het MBR (Master Boot Record). Dit is de allereerste sector op elke harde schijf, en moet niet verward worden met de bootsector die zich aan het begin van elke partitie (ook van je C: schijf) bevindt.

Het MBR bestaat uit 2 delen: een stuk uitvoerbare code en de partitietabel (daarnaast zet windows er nog een semi-uniek serienummer in om meerdere schijven uit elkaar te kunnen houden). GPartEd zal zeker de tabel wijzigen maar of deze iets aan de code doet weet ik niet. De reden om dit niet te doen is dat er speciale code in zou kunnen staan van bootmanagers of tools die problemen tussen grote harddisks en oudere BIOS versies verhelpen (ik weet niet of het spul nog bestaat maar denk daarbij aan [url=http://www.ontrack.com/fujitsu/]Ontrack Diskmanager[/url] en vergelijkbare producten van HDD fabrikanten).

Persoonlijk zou ik altijd het MBR wissen (lees: 512 bytes met nullen overschrijven) en dan een partitioneertool (of diskmanager zoals boven beschreven) draaien. Sterker, ik zou de hele harddisk met nullen overschrijven. Dat voorkomt dat je, mocht je ooit een unerase tool gebruiken, ongewnste bestanden en/of (delen van) malware terughaalt, of zelfs hele partities.

Mocht je alleen het MBR willen wissen dan vond ik na wat Googlen [url=http://www.daniweb.com/forums/thread134861.html]hier[/url] een thread waarin naar een tooltje mbr.exe verwezen wordt waar je je MBR mee zou kunnen fixen. Ik heb er geen ervaring mee, gebruik op eigen risico.
31-10-2008, 15:12 door Anoniem
Niet zo'n domme vraag.. Boot sector virussen werken buiten het filesysteem om. In het MBR wordt een lader geplaatst
die de code van het virus van een _sector_ van de HD laadt en daar na uitvoerd (meestal wordt die sector als "bad" gelabeld).
Partitionering alleen helpt dus niet. Ik ben er niet zeker van of formatering in alle gevallen ook een "bad" sector weghaald.
Waarschijnlijk niet.
31-10-2008, 17:50 door Anoniem
de mbr kan je formatteren met de fdisk tool, uit het oude dostijdperk, met het commando fdisk /mbr (wees hier zeer voorzichtig mee)

bij een snelformat word je schijf niet geheel gewist, en bij een gewone format worden bad sectors overgeslagen dacht ik.
je hebt met oa partitionmagic een optie voor retest of reclaim bad sectors, hierbij worden bad sectors opnieuw getest en als ze goed zijn weer gewoon aan het volume toegevoegd, als je daarna een gewone format doet, geen snelformat, dan zou de bad sector weg zijn, en hetgene in die sector gewist zijn...

er zijn ook nog lowlevel formats enz mogelijk, wat ook alles geheel met nullen overschijft, maar heel lang kan duren

dus alle partities verwijderen,
dan fdisk /mbr,
retest bad sectors,
dan een gehele (zeer trage) format,
of lowlevel format...
het wissen van de mbr is niet genoeg in ieder geval.

(voor wie een dual boot met bv linux draait, je grub enz gaan ook in rook op als je de mbr wist, dus pas op)
31-10-2008, 18:01 door Bitwiper
Door AnoniemNiet zo'n domme vraag.. Boot sector virussen werken buiten het filesysteem om. In het MBR wordt een lader geplaatst die de code van het virus van een _sector_ van de HD laadt en daar na uitvoerd (meestal wordt die sector als "bad" gelabeld).
Partitionering alleen helpt dus niet. Ik ben er niet zeker van of formatering in alle gevallen ook een "bad" sector weghaald.
Waarschijnlijk niet.
Een sector of een blok bestaande uit meerdere sectoren kan op twee manieren als "bad" worden aangemerkt: binnen de harde schijf (maar dan kom je er, zonder speciale schijf-afhankelijke tools van buitenaf niet meer bij, ook malware niet), of een block met daarin 1 of meer bad sectors wordt door een besturingssysteem in een tabel als "bad" gemarkeerd - maar dit gebeurt per partitie: malware code bevindt zich meestal voor de eerste partitie achter de partitietabel.

Wat je vwaarschijnlijk bedoelt is dat de code de sector verstopt, in elk geval voor software die van BIOS routines gebruik maakt. Overigens doen de diskmanagers die ik eerder beschreef dat ook, ze remappen de echte MBR waardoor je denkt naar een schone MBR te kijken terwijl je naar een sector verderop de schijf kijkt. Daarom is het verstandig om bij het met nullen overschrijven van de schijf een tool te gebruiken die niet van de BIOS gebruik maakt, maar de schijf direct benadert. De typische surface-check programma's die elke HDD fabrikant voor zijn schijven beschikbaar stelt kunnen dit.
31-10-2008, 22:00 door Anoniem
Ben ik het nu alleen of missen anderen ook een waslijst aan namen van banken die hiervoor kwetsbaar zijn gebleken? Banken houden er in de eerste plaats van om de schijn van betrouwbaarheid op te houden. Helaas ook graag als er zaken in veiligheid niet in orde zijn. Of heeft iemand hier een lijst met banken die ook door deze vorm van gegevensplundering het haasje zijn?
31-10-2008, 23:24 door Anoniem
....of zoals Joost Tonino deed.....je computer gewoon bij het oud-vuil zetten (totdat Peter R de Vries er weer achter komt natuurlijk.)
31-10-2008, 23:37 door ccengine
Beste mensen,
Kan er nu eindelijk eens iemand een heldere en zekere manier van opschonen bedenken en ergens opstellen of neerzetten op het net, zodat ook de wat minder technische computergebruikers dit gemene probleem kunnen oplossen?
Een van mijn eigen computers is zeker besmet met dit virus en ik heb al tools als GMER en MBR gebruikt, maar het blijkt allemaal niet te werken...
...of is de Recovery Console toch de snelste en doeltreffendste manier?
Het wordt er allemaal niet duidelijker op hoe je dit moet aanpakken.

Wie voelt zich geroepen???

Alvast hartelijk bedankt!
01-11-2008, 01:01 door Anoniem
oke! Gaan we weer ik heb de MBR helemaal herschreven B.V met fixmbr of voor vista bootrec /fixmbr wel de orginele Windows cd gebruiken bij het booten (opstarten F10 of R inhouden bij het opstarten) ik heb met testdisk alles gedelete toen weer alles rebuild MBR en Partiontable. En nou komt het leuke het is weg maar als je windows opnieuw installeert en je gaat het weer LOWformateren (geen internet verbinding gehad) zit het er gwoon nog in. Rara hoe kan dat en voer bij uitvoeren eens CMD en dan arp -a in krijg je dan allemaal mac adressen? Ik vroeg aan kasperksy of een virus ook een mac adres heeft want een virus krijgt natuurlijk instructies? Dat vondt ie helle goeien vraag waar ie geen antwoord op had. En ik kwam nog wat tegen microsoft MSN runonce is een keylogger en kreeg in mijn register een verwijzing naar een torrentsite? Dit is mijn 3de pc in 1 jaar want die anderen hebben ze naar de gorten geholpen. Vol met Maleware in de MBR. Ik heb deze helemaal dicht getimmerd en nog komen ze erin het lijkt wel of ze DPI gebruiken Deep packet inspection. want niks helpt gebrukt vista heb beperkte rechten het de bios beveiligd met paswoord gebruikt kaspersky gebruik threatfire gebruik firefox gebruik zonelab forcefield gebruik SteadyState Version 2.5 ect.ect. maar niks helpt, en allemaal met dit probleem:
InitDiskillegal partition table *
drive 00 sector 0
illegal partition table * drive 00 sector 0
illegal partition table * drive 00 sector 0
illegal partition table * drive 00 sector 0

Ik moet alles naar kaspersky opsturen want het is te ingewikkelt hier moet programeurs aan te pas komen werd mij gezegt.
Mischien heeft iemand anders een oplossing?
01-11-2008, 08:46 door Lamaar
Door D3nn3Dat wordt weer beter uitkijken naar waar je naartoe surft dus..
Of beter beveiligen. Ik heb letterlijk nog nooit last gehad van wat voor besmetting dan ook. Ik werk met Vista en heb Avira Security Suite. Kijk maar eens op avira.com wat voor beveiligingen er allemaal inzitten. Die zie je niet snel bij de concurrenten.
01-11-2008, 13:04 door Anoniem
En nou komt het leuke het is weg maar als je windows opnieuw installeert en je gaat het weer LOWformateren (geen internet verbinding gehad) zit het er gwoon nog in. Rara hoe kan dat
Mischien heeft iemand anders een oplossing?[/quote]
Waarschijnlijk is je bios gepatched door deze heren. Je zou eens kunnen proberen je bios te voorzien van een versie je op een andere pc gedownload hebt (liefst md5sum checked).
01-11-2008, 22:35 door ccengine
Anoniem,
Jouw uitleg is uitvoerig, dat kan ik wel zien. Maar mijn vraag was in essentie hoe gaat een minder technische (of helemaal geen technisch) persoon dit nou adequaat oplossen? Is kennelijk niet mogelijk :-(
Erg jammer dat er nou altijd figuren bestaan die uit zijn op ellende, ergernissen, vernielingen en plunderen van andermans zuur verdiende geld, enz. enz...
03-11-2008, 09:30 door Anoniem
op deze pagina staat een goede beschrijving: http://www2.gmer.net/mbr/
03-11-2008, 20:30 door Anoniem
ik heb ik gedaan bios geflasht bios gereset cmos eruit gehaald opnieuw gereset tijdje eruit gedaan weekje jumpertje's reset mocht ook niet baten. nog een oplossing mischien?
04-11-2008, 23:44 door ccengine
GMER heb ik ook al geprobeerd, en ook die mbr.exe uitgevoerd. Niks geholpen.
De Recovery Console ook geprobeerd en de MBR overschreven. Niets baat............
Erg hardnekkig...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.