image

Computernaam schrikt malware af

maandag 12 oktober 2009, 15:19 door Redactie, 6 reacties

Een berucht Trojaans paard dat FTP wachtwoorden steelt en besmette machines onderdeel van een botnet maakt, schakelt zichzelf uit als het een bepaalde computernaam of gebruikersnaam ziet. Ook gebruikers van de Comodo Firewall hoeven zich over de Bredolabs Trojan geen zorgen te maken. Vanwege zijn toenemende activiteit werd de malware onlangs aan de Microsoft Malicious Software Removal Tool toegevoegd.

Sergey Golovanov en Igor Soumenkov van Kaspersky Lab analyseerden het Trojaanse paard dat rootkit technologieën gebruikt en andere malware installeert. Ze ontdekten dat de malware het draaien in een sandbox probeert te voorkomen door te kijken naar gebruikersnaam, computernaam en registersleutels. Zodra het als gebruikersnaam USER, user, CurrentUser of Sandbox tegenkomt, schakelt Bredolabs zichzelf uit. Dat doet het ook als de computer "SANDBOX" is genaamd. Daarnaast is de malware ook 'allergisch' voor de Comodo firewall.

PDF exploit
Is de installatie van de bot wel succesvol, dan neemt die contact op met een Command & Control server en downloadt een ander Trojaans paard. Deze malware steelt FTP wachtwoorden, waarmee de bende vervolgens exploits op legitieme websites plaatst. Het gaat met name om PDF exploits, die nieuwe bezoekers infecteren en zo de cyclus voortzetten. Naast wachtwoordstelers maakt Bredolabs besmette machines ook onderdeel van de Rustock en Pushdo botnets.

Reacties (6)
12-10-2009, 16:10 door Anoniem
Dus ik begrijp hieruit dat als ik een extra account aan zou maken met de naam Sandbox dan zou deze trojan zichzelf uitschakelen? Als dit zo is zou dit dan ook helpen tegen sommige andere Malware varianten?
12-10-2009, 16:20 door Anoniem
Tja en hoe lang gaat dat werken.
2 dagen ?
12-10-2009, 16:37 door Anoniem
Kijk, dan heb ik toevallig weer gelukt mocht ie op de computer raken, mijn gebruikersnaam is toevallig "User" :P
12-10-2009, 16:54 door MrBil
Door Anoniem: Dus ik begrijp hieruit dat als ik een extra account aan zou maken met de naam Sandbox dan zou deze trojan zichzelf uitschakelen? Als dit zo is zou dit dan ook helpen tegen sommige andere Malware varianten?
In veel malware zit een scriptje zodat de malware zich niet verder voortzet al word er iets als Sandbox gedetecteerd. Alleen word dit gedaan door procs-scans en niet door een scannertje dat de usernames/accounts af gaat.

~MrBil
13-10-2009, 09:15 door _Peterr
Nu het bekend is komen de HOAX mailtjes de komenden maanden/jaren ook weer op gang. Ik zie in 2014 wel weer een mailtje langskomen met DE OPLOSSING tegen malware.

Deze oplossing werkt 2 dagen zoals "Gisteren,16:20 door Anoniem" al melde. Dus informatief is het leuk maar verder geen nieuwswaarde.

PS: Mijn PC heet "zandbak" en de user heet "gebruiker01" werkt dat ook?
15-10-2009, 10:47 door H.King
want mr.Bill al aangeeft werkt het anders. En mochten er een aantal scripts zijn die wel zo werken, werken die in combinatie met meerdere factoren dus niet alleen de computer naam.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.