image

Nep-virusscanner "hackt" Microsoft.com

donderdag 10 december 2009, 16:10 door Redactie, 7 reacties

Onderzoekers van anti-virusbedrijf Sunbelt hebben een nieuwe social engineering aanval ontdekt, waardoor het lijkt alsof Microsoft nep-virusscanners aanbiedt. Om slachtoffers voor DefenceLab te laten betalen, stuurt deze scareware gebruikers door naar een echte pagina op Microsoft.com. De scareware injecteert in real-time HTML code in de lokaal weergegeven pagina, waardoor het lijkt alsof Microsoft het aanschaffen van DefenceLab suggereert. Volgens Roger Thompson van AVG is het een behoorlijk goede truc waar een hoop mensen in zullen trappen.

De virusbestrijder waarschuwt dat Microsoft's website ook op een andere manier wordt gebruikt. In het geval van de Antivirus System PRO scareware, wordt het HOSTS bestand gewijzigd, zodat alle verzoeken voor Microsoft.com op een pagina terechtkomen waar men de nep-virusscanner kan kopen. Minder verfijnd dan de aanval die Sunbelt ontdekte, maar beide aanvallen laten zien hoe sluw de 'bad guys' zijn, aldus Thompson. "Wie had gedacht dat ze in real-time HTML aanpassen en dat ze met URLs zoals Microsoft.com rotzooien, maar ze doen het."

Reacties (7)
10-12-2009, 18:00 door Anoniem
Gelukkig download ik geen Microsoft troep. Dit zullen ze wel patchen op patch dinsdag neem ik aan?

*Ligt hier te lachen op de grond
10-12-2009, 21:01 door spatieman
en MS waarschuwt hier niet voor ?
11-12-2009, 08:31 door Syzygy
De scareware injecteert in real-time HTML code in de lokaal weergegeven pagina,

Is over deze methodiek wat zinnige info bekend ??

Ja ik heb Gegoogled

Nee ik heb niets gevonden dat er diep op ingaat !!

Als je zelf iets gaat verzinnen verifieer het eerst even ;-)
11-12-2009, 09:23 door Anoniem
hosts file om bezoeken aan de microsoft site om te leiden? was er geen draadje op het forum over hoe microsoft dit juist voorkomt door deze hardcoded in hun dnsapi.dll te zetten?
11-12-2009, 12:11 door Anoniem
It's a known way of social engineering, we (Panda Security) have been seeing this with banking trojans for a long time Syzygy.
Once a system is infected they can inject whatever code they want.

check this video for an example:
http://securitytube.net/Banking-Trojan-Demo-by-Panda-Labs-video.aspx

So if you can inject a couple of fields on a site, it's not a big deal to inject other "local" code

Regards,
Eth-x
11-12-2009, 12:12 door beuvih
Door Syzygy:
De scareware injecteert in real-time HTML code in de lokaal weergegeven pagina,

I
Ik kon er ook geen zinnig info van vinden behalve een webpagina met een paar plaatjes. Met je eens dus
12-12-2009, 11:45 door Anoniem
Windows Defender :') LOL.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.