Conficker mysterie opgelost met nep-virusscanner
Maandenlang vroegen experts zich af wat het doel van de Conficker worm was, maar sinds de update van gisterenavond is het eindelijk bekend, namelijk het installeren van nep-virusscanners. Naast het updaten van de geïnfecteerde machine, installeert Conficker ook het programma "SpywareProtect2009". De allereerste Conficker variant die eind november verscheen, probeerde ook op deze manier slachtoffers geld uit hun zakken te kloppen.
Net als bij andere nep-virusscanners krijgen gebruikers de melding dat hun systeem besmet is en ze voor 50 dollar de infectie kunnen verwijderen. De timing van de update is opmerkelijk, gisteren publiceerde Microsoft het zesde Security Intelligence Report, waarin het de nadruk op de uitbraak van nep-virusscanners legt
Virusscanners falen
Beveiligingsexpert Gary Warner was verbaasd over het nieuws dat Conficker zich via het domein "goodnewsdigital.com" aan het updaten was. Een kleine 3000 IP-adressen gebruiken dit domein voor het verspreiden van Waledac malware. Toen Warner het bestand downloadde, bleek het om een standaard Waledac bestand te gaan dat door slechts 9 virusscanners werd herkend. Warner kan het niet geloven. "Een treurige bevestiging van de staat waar virusscanners zich in bevinden, dat een bekend malware distributiepunt dat al sinds halverwege maart virussen voor een groot spam botnet verstuurt, door driekwart van de virusscanners niet wordt gedetecteerd."
De virusbestrijder merkt tevens op dat de aanname van Trend Micro, over de Waledac malaware en Conficker, niet klopt. Het gedownloade bestand waar Trend Micro het over heeft is namelijk niet de primaire Waledac malware. Dat neemt niet weg dat andere anti-virusbedrijven wel een koppeling tussen Conficker en Waledac zien. Het laatste botnet wordt vooral ingezet voor het versturen van spam en stelen van vertrouwelijke data.
Toen Warner het bestand downloadde, bleek het om een standaard Waledac bestand te gaan dat door slechts 9 virusscanners werd herkend. Warner kan het niet geloven. "Een treurige bevestiging van de staat waar virusscanners zich in bevinden, dat een bekend malware distributiepunt dat al sinds halverwege maart virussen voor een groot spam botnet verstuurt, door driekwart van de virusscanners niet wordt gedetecteerd."
Dat is waarom ik blijf geloven in het feit dat anti virus softwares het volledig verkeerd aanpakken. Ze moeten gaan naar whitelisting ipv blacklisting net zoals ze doen bij firewalls. Laat enkel toe wat gekent en veilig is en blokkeer al de rest. Maar dan moeten Antivirus scanner ten eerste toegeven dat ze het bij het verkeerde eind hebben en dan moeten zo ook hun producten schrappen en opnieuw maken. Economisch wss niet haalbaar. Wat dan ook wel weer aanhaalt waar de prioriteiten liggen :)
Zodra anti-virus pro-actief detectie maken, zullen virusschrijvers net zolang sleutelen totdat het niet meer gedetecteerd wordt.
Dat is wel verschrikkelijk moeilijk, nu da werkt wel als de MD5 checksums gebruiken (md5 collision en dergelijke) maar als ze sha gebruiken, kijken naar de grootte, public key infrastructure en namen, dan lijkt het me echt wel moeilijk :)
Dat is waarom ik blijf geloven in het feit dat anti virus softwares het volledig verkeerd aanpakken. Ze moeten gaan naar whitelisting ipv blacklisting net zoals ze doen bij firewalls. Laat enkel toe wat gekent en veilig is en blokkeer al de rest. Maar dan moeten Antivirus scanner ten eerste toegeven dat ze het bij het verkeerde eind hebben en dan moeten zo ook hun producten schrappen en opnieuw maken. Economisch wss niet haalbaar. Wat dan ook wel weer aanhaalt waar de prioriteiten liggen :)
Whitelisting is erg lastig, wanneer bedrijven en personen zelf iets maken, staat het per definitie niet op de whitelist. Hoe krijg je dat er wel op? Dat gaat vast 2 keer geld kosten: 1 keer voor de klant die de AV software gebruikt en 1 keer voor degene die iets gewhitelist wil hebben (want het moet natuurlijk uitgebreid geverifieerd worden.....)
Dat is waarom ik blijf geloven in het feit dat anti virus softwares het volledig verkeerd aanpakken. Ze moeten gaan naar whitelisting ipv blacklisting net zoals ze doen bij firewalls. Laat enkel toe wat gekent en veilig is en blokkeer al de rest. Maar dan moeten Antivirus scanner ten eerste toegeven dat ze het bij het verkeerde eind hebben en dan moeten zo ook hun producten schrappen en opnieuw maken. Economisch wss niet haalbaar. Wat dan ook wel weer aanhaalt waar de prioriteiten liggen :)
Whitelisting is erg lastig, wanneer bedrijven en personen zelf iets maken, staat het per definitie niet op de whitelist. Hoe krijg je dat er wel op? Dat gaat vast 2 keer geld kosten: 1 keer voor de klant die de AV software gebruikt en 1 keer voor degene die iets gewhitelist wil hebben (want het moet natuurlijk uitgebreid geverifieerd worden.....)
Daar ben ik me van bewust, en dat is volgens mij een van de grootste problemen.
en kan het kleinere softwarebedrijf en de open source wereld het nakijken. Als je wil dat microsoft de wereld
gaat beheersen, nog meer dan nu, dan moet je dat doen. Ik denk niet dat de EU dat zou toestaan.
Daarnaast komen virussen en andere badware vaak via exploits binnen en wordt hun code in een bestaand
proces geinjecteerd, zoals de RPC service van windows, die zich vandaaruit in het systeem installeert.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
