Nieuws

Trojaans paard blokkeert virusscanner via firewall

vrijdag 16 oktober 2009, 13:20 door Redactie, 6 reacties

Cybercriminelen hebben een nieuwe truc ontdekt om te voorkomen dat virusscanners op besmette systemen zich kunnen updaten, namelijk het gebruik van een commerciële firewall. De meeste malware wijzigt het HOSTS bestand, zodat de anti-virus software geen updates meer kan ontvangen. Aangepaste HOSTS bestanden zijn eenvoudig te herkennen en te verwijderen, omdat ze zich altijd in dezelfde locatie bevinden. Eenmaal verwijderd, kan de computer weer met de geblokkeerde website verbinding maken.

Om dit te voorkomen worden nu onderdelen van de Windows Packet Filter Kit gebruikt, een commercieel product waarmee ontwikkelaars kleine netwerkfilter applicaties kunnen maken. In dit geval gebruikt de virusschrijver de tools om toegang tot de websites van verschillende anti-virusaanbieders te blokkeren. De malware plaatst de bestanden ndisrd_xp.sys, ndisrd.sys en ndisapi.dll in de Windows driver map, terwijl de firewall via Netfilter.exe wordt uitgevoerd. Individuele gebruikers betalen 95 dollar voor een Windows Packet Filter Kit licentie, terwijl de volledige versie, inclusief broncode, 3500 dollar kost.

Interessant
"WinpkFilter is een interessant pakket voor virusschrijvers om te gebruiken. Het is niet erg bekend, maar biedt ontwikkelaars veel functionaliteit. In dit geval zoekt de driver naar pakketten die bepaalde domeinnamen bevatten en blokkeert vervolgens de verbinding", zegt Andrew Brandt van Webroot. Gebruikers merken alleen dat de virusscanner geen updates kan installeren, terwijl alle andere websites wel naar behoren blijven functioneren.

De truc wordt voornamelijk door de nep-virusscanner Antivirus 2010 toegepast. Een voordeel is wel dat gebruikers die iets vermoeden, via TaakBeheer naar het bestand Netfilter.exe kunnen zoeken. Als dat aanwezig is, kunnen ze de firewall stoppen, om vervolgens de virusscanner wel te laten updaten.

Microsoft geeft onderzoekers gratis COFEE tool

Amber alert hoax verspreidt zich via Twitter

Reacties (6)

16-10-2009, 16:30 door Anoniem

Het is geen slecht idee om je HOSTS file read-only te maken.

16-10-2009, 19:35 door cyberpunk

Online Armor Free "scant" het HOSTS bestand constant (maar of dat genoeg is?).

16-10-2009, 20:13 door Rene V

Ik draai XP als Power user en heb de bestanden ndisrd_xp.sys, ndisrd.sys en ndisapi.dll niet kunnen vinden, noch Netfilter.exe in mijn taskmanager niet. het vreemde is wel dat sinds 14 oktober (nadat ik Windows geupdate heb), Avira Free niet meer wilde updaten en ik dus handmatig de definities hebben moeten downloaden en installeren. :-/
Toen ik dit las dacht ik, hmm, komt erg overeen met wat mij is gebeurd, echter zoals gezegd ben ik niet besmet met genoemde bestanden.

Ik heb zojuist de Start Update functie weer eens gebruikt in Avira en na 3 minuten afgebroken. Mijns inziens genoeg tijd om te checken of er een update beschikbaar is. Dit is wat het log report mij vermelde:

(gedeelte van het log)

[UPD] [INFO] Downloading of 'http://62.146.66.181/update/idx/master.idx' to 'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
[UPDLIB] [ERROR] Download manager: An error occurred inside the WinINet library.
[UPD] [INFO] Select update server 'http://62.146.66.178/update'.
[UPD] [INFO] Downloading of 'http://62.146.66.178/update/idx/master.idx' to 'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
[UPDLIB] [ERROR] Download manager: An error occurred inside the WinINet library.
[UPD] [INFO] Downloading of 'http://62.146.66.178/update/idx/master.idx' to 'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
[UPDLIB] [ERROR] Download manager: An error occurred inside the WinINet library.
[UPD] [INFO] Downloading of 'http://62.146.66.178/update/idx/master.idx' to 'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
[UPD] [WARNING] The update was terminated by the user.
[UPDLIB] [ERROR] Download manager: An error occurred inside the WinINet library.
[UPD] [INFO] Select update server 'http://80.190.143.236/update'.
[UPDLIB] [ERROR] Update aborted by the user.
[UPD] [ERROR] Generation of update structure failed. UpdateLib delivers error 522.

Iemand enig idee? Ik had al gezocht op Google, en je komt er wel update errors tegen, maar allemaal uit het verleden. Niets van recentelijk. Ook op het Avira forum heb ik nog geen antwoord gekregen (alleen standaard tips & tricks die ik zelf ook kan bedenken maar die geen oplossing leveren). Overigens handmatig naar de bovenstaande update IP adressen gaan in een browser, worden ook niet geladen.
Lijkt erop dat meerdere mensen er last van hebben zag ik net op het Avira forum en iedereen wordt maar afgescheept met do a manual update, maar verder geen uitleg over wat er gaande is en wanneer er een fix voor is. :/

17-10-2009, 08:30 door Anoniem

Avira checkt ook altijd je host files e.d.. Je zou is een totale manueel scan kunnen doen met Avira. Als er dan niets tevoorschijn komt Avira verwijderen compleet en dan opnieuw installeren. Je kan via hun site dan ook de laatste versie gelijk installeren.

17-10-2009, 18:45 door Anoniem

Door René V: Ik draai XP als Power user en heb de bestanden ndisrd_xp.sys, ndisrd.sys en ndisapi.dll niet kunnen vinden, noch Netfilter.exe in mijn taskmanager niet. het vreemde is wel dat sinds 14 oktober (nadat ik Windows geupdate heb), Avira Free niet meer wilde updaten en ik dus handmatig de definities hebben moeten downloaden en installeren. :-/
Toen ik dit las dacht ik, hmm, komt erg overeen met wat mij is gebeurd, echter zoals gezegd ben ik niet besmet met genoemde bestanden.

Ik heb zojuist de Start Update functie weer eens gebruikt in Avira en na 3 minuten afgebroken. Mijns inziens genoeg tijd om te checken of er een update beschikbaar is. Dit is wat het log report mij vermelde:

(gedeelte van het log)

[UPD] [INFO] Downloading of 'http://62.146.66.181/update/idx/master.idx' to 'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
[UPDLIB] [ERROR] Download manager: An error occurred inside the WinINet library.
[UPD] [INFO] Select update server 'http://62.146.66.178/update'.
[UPD] [INFO] Downloading of 'http://62.146.66.178/update/idx/master.idx' to 'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
[UPDLIB] [ERROR] Download manager: An error occurred inside the WinINet library.
[UPD] [INFO] Downloading of 'http://62.146.66.178/update/idx/master.idx' to 'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
[UPDLIB] [ERROR] Download manager: An error occurred inside the WinINet library.
[UPD] [INFO] Downloading of 'http://62.146.66.178/update/idx/master.idx' to 'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
[UPD] [WARNING] The update was terminated by the user.
[UPDLIB] [ERROR] Download manager: An error occurred inside the WinINet library.
[UPD] [INFO] Select update server 'http://80.190.143.236/update'.
[UPDLIB] [ERROR] Update aborted by the user.
[UPD] [ERROR] Generation of update structure failed. UpdateLib delivers error 522.

Iemand enig idee? Ik had al gezocht op Google, en je komt er wel update errors tegen, maar allemaal uit het verleden. Niets van recentelijk. Ook op het Avira forum heb ik nog geen antwoord gekregen (alleen standaard tips & tricks die ik zelf ook kan bedenken maar die geen oplossing leveren). Overigens handmatig naar de bovenstaande update IP adressen gaan in een browser, worden ook niet geladen.
Lijkt erop dat meerdere mensen er last van hebben zag ik net op het Avira forum en iedereen wordt maar afgescheept met do a manual update, maar verder geen uitleg over wat er gaande is en wanneer er een fix voor is. :/

De vorige week lag de update-server voor de freewareversie er ook al uit. Ik denk dat ze daar wat aan het spelen zijn. Zal wel weer goed komen

Rex.

25-01-2010, 19:30 door Anoniem

iemand een idee hoe ik er van af kom? Ben bang dat ik dit op pc heb. Ik kan geen enkele update doen, omdat firewall het blokkeert. Ook als firewall uit staat.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer