Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Nut van SiteAdvisor etc?
http://www.security.nl/artikel/32651/1/Trojaans_paard_in_USB-batterijlader_software.html betreft software die al sinds de zomer van 2007 gedownload kan worden.
Kennelijk pas afgelopen week is vastgesteld dat er tijdens installatie een kwaadaardig bestand Arucer.dll geinstalleerd wordt dat onder meer luistert op poort 7777/tcp. Ik vraag me af hoe het mogelijk is dat zo'n backdoor zo lang onopgemerkt blijft, terwijl Arucer.dll redelijk wijd verbreid lijkt te zijn (een Google search naar Arucer.dll laat je redelijk wat webpages vinden van mensen die hijackthis logs hebben gesubmit vanwege klachten die waarschiijnlijk in veel gevallen door andere malware lijken te worden veroorzaakt, maar zoeken naar Arucer.dll cpu laat zien dat er nogal wat high-cpu-load klachten zijn).
Interessant is dat http://www.siteadvisor.com/sites/energizer.com/downloads/15820938/ meldt dat er niks mis is met UsbCharger_setup_V1_1_1.exe:
Ik heb het bestand UsbCharger_setup_V1_1_1.exe twee keer gedownload vanaf http://web.archive.org/ (1x vanaf snapshot date/time 20071216110956 en 1x vanaf snapshot date/time 20080701154249); de bestanden waren identiek. Dit bestand kon ik probleemloos uitgepakken met InnoUnpack (http://innounp.sourceforge.net/). De md5sum ervan is 3f4f10b927677e45a495d0cdd4390aaf.
Die AV boeren moeten echt beter hun best gaan doen. Slechts 2 van de 42 scanners vinden dat er iets mis is met UsbCharger_setup_V1_1_1.exe, zie http://www.virustotal.com/analisis/76776094c46a6d9c4315489c339a124a121a0776b16bef9a661156864b6eb1d7-1267974683. Dat de de malware erin zo slecht gevonden wordt betekent dat je afhankelijk bent van desktopbeveiliging.
Op de desktop, nl. waar de losse Arucer.dll geinstalleerd wordt, is de score wat hoger, nl. 7/42 (zie http://www.virustotal.com/analisis/1c7f6f75617dd69a68d60224277a17f0720e7d68e4d321b7ae246f9c7dd2cfcf-1267978357, maar het blijft een bedroevend verhaal.
Conclusies:
- Signed binaries kunnen ook malware bevatten.
- Misschien wel omdat ze signed zijn besteden AV boeren er minder aandacht aan (het zal wel goed zijn).
- SiteAdvisor kan het mis hebben.
- AV besteedt te weinig aandacht aan het scannen van de inhoud van packed bestanden.
- AV werkt niet goed genoeg zoals dit (zoveelste) voorbeeld maar weer eens laat zien.
Kennelijk pas afgelopen week is vastgesteld dat er tijdens installatie een kwaadaardig bestand Arucer.dll geinstalleerd wordt dat onder meer luistert op poort 7777/tcp. Ik vraag me af hoe het mogelijk is dat zo'n backdoor zo lang onopgemerkt blijft, terwijl Arucer.dll redelijk wijd verbreid lijkt te zijn (een Google search naar Arucer.dll laat je redelijk wat webpages vinden van mensen die hijackthis logs hebben gesubmit vanwege klachten die waarschiijnlijk in veel gevallen door andere malware lijken te worden veroorzaakt, maar zoeken naar Arucer.dll cpu laat zien dat er nogal wat high-cpu-load klachten zijn).
Interessant is dat http://www.siteadvisor.com/sites/energizer.com/downloads/15820938/ meldt dat er niks mis is met UsbCharger_setup_V1_1_1.exe:
UsbCharger_setup_V1_1_1.exe
In our tests, this download was free of adware, spyware and other potentially unwanted programs.
Nuisance Score
0 (van 0..10)
How does it modify my system?
The following programs were registered in our Add/Remove Programs:
- Energizer UsbCharger v1.0.0
In our tests, UsbCharger_setup_V1_1_1.exe did not make any changes to the system registry.
In our tests, UsbCharger_setup_V1_1_1.exe did not make any changes to the hard drive.
Other information
* The title could not be determined.
* The URL of the download publisher could not be determined.
* URL of the download: http://www.energizer.com/usbcharger/download/UsbCharger_setup_V1_1_1.exe
* Filename: UsbCharger_setup_V1_1_1.exe
* File size: 3086648
* Full checksum (MD5): 3f4f10b927677e45a495d0cdd4390aaf
* SiteAdvisor Program ID: 15820938
* SiteAdvisor last tested this download: 2008 July
* SiteAdvisor last verified this link: 2009 May
Daar kun je dus niet blindelings op vertrouwen...In our tests, this download was free of adware, spyware and other potentially unwanted programs.
Nuisance Score
0 (van 0..10)
How does it modify my system?
The following programs were registered in our Add/Remove Programs:
- Energizer UsbCharger v1.0.0
In our tests, UsbCharger_setup_V1_1_1.exe did not make any changes to the system registry.
In our tests, UsbCharger_setup_V1_1_1.exe did not make any changes to the hard drive.
Other information
* The title could not be determined.
* The URL of the download publisher could not be determined.
* URL of the download: http://www.energizer.com/usbcharger/download/UsbCharger_setup_V1_1_1.exe
* Filename: UsbCharger_setup_V1_1_1.exe
* File size: 3086648
* Full checksum (MD5): 3f4f10b927677e45a495d0cdd4390aaf
* SiteAdvisor Program ID: 15820938
* SiteAdvisor last tested this download: 2008 July
* SiteAdvisor last verified this link: 2009 May
Ik heb het bestand UsbCharger_setup_V1_1_1.exe twee keer gedownload vanaf http://web.archive.org/ (1x vanaf snapshot date/time 20071216110956 en 1x vanaf snapshot date/time 20080701154249); de bestanden waren identiek. Dit bestand kon ik probleemloos uitgepakken met InnoUnpack (http://innounp.sourceforge.net/). De md5sum ervan is 3f4f10b927677e45a495d0cdd4390aaf.
Die AV boeren moeten echt beter hun best gaan doen. Slechts 2 van de 42 scanners vinden dat er iets mis is met UsbCharger_setup_V1_1_1.exe, zie http://www.virustotal.com/analisis/76776094c46a6d9c4315489c339a124a121a0776b16bef9a661156864b6eb1d7-1267974683. Dat de de malware erin zo slecht gevonden wordt betekent dat je afhankelijk bent van desktopbeveiliging.
Op de desktop, nl. waar de losse Arucer.dll geinstalleerd wordt, is de score wat hoger, nl. 7/42 (zie http://www.virustotal.com/analisis/1c7f6f75617dd69a68d60224277a17f0720e7d68e4d321b7ae246f9c7dd2cfcf-1267978357, maar het blijft een bedroevend verhaal.
Conclusies:
- Signed binaries kunnen ook malware bevatten.
- Misschien wel omdat ze signed zijn besteden AV boeren er minder aandacht aan (het zal wel goed zijn).
- SiteAdvisor kan het mis hebben.
- AV besteedt te weinig aandacht aan het scannen van de inhoud van packed bestanden.
- AV werkt niet goed genoeg zoals dit (zoveelste) voorbeeld maar weer eens laat zien.
Reacties (14)
08-03-2010, 08:09 door
[Account Verwijderd]
[Verwijderd]
De gemiddelde Anti Virus scanner zoekt ook voornamelijk virussen. Malware is op zich geen virus, eenmaal aanwezig op je systeem kan deze wel deze virussen etc binnenhalen, eventueel door je anti virus programma uit te schakelen. Dat slechts een AV geen malware ziet vind ik in principe niet zo vreemd, daarom heb je dan ook meer aan een totaal pakket.
Aan de malware wordt het meestte geld verdiend (keyloggers etc).
Aan de malware wordt het meestte geld verdiend (keyloggers etc).
08-03-2010, 11:46 door
[Account Verwijderd]
[Verwijderd]
08-03-2010, 11:47 door
[Account Verwijderd]
[Verwijderd]
08-03-2010, 12:55 door
[Account Verwijderd]
[Verwijderd]
08-03-2010, 16:00 door
spatieman
Siteadvisor zegt het al.
het kijken eigenlijk naar de website of die voud is ja of nee.
niet naar de aangeboden software.
Maar op zich wel een goed artikel.
het kijken eigenlijk naar de website of die voud is ja of nee.
niet naar de aangeboden software.
Maar op zich wel een goed artikel.
Downloads
Downloadable files like screensavers, toolbars and file sharing programs can be-or may be bundled with -- adware, spyware, viruses and other malicious computer code. Sometimes, the malware is added without your knowledge. Sometimes, you click "yes" or "I agree" without reading the fine print. The end result is often the same – a PC that slows to a crawl, a hidden password sniffer that is used to steal your identity, or valuable personal files destroyed or scrambled.
We download and install each file we find – we even open zip files. We then scan our test computer to see what changes have been made. If a program is determined to be a virus, Trojan, or certain other types of malware, that program will earn a red rating.
Volgens de eigen website van McAffee zou je dus WEL beschermd moeten zijn.
"we even open zipfiles"....
ASL
08-03-2010, 18:58 door
Mazzaroth
Door escaper:
dat is zo, en de beste virusscanner ben je altijd zelf
Door Anoniem: De gemiddelde Anti Virus scanner zoekt ook voornamelijk virussen. Malware is op zich geen virus, eenmaal aanwezig op je systeem kan deze wel deze virussen etc binnenhalen, eventueel door je anti virus programma uit te schakelen. Dat slechts een AV geen malware ziet vind ik in principe niet zo vreemd, daarom heb je dan ook meer aan een totaal pakket.
Aan de malware wordt het meestte geld verdiend (keyloggers etc).
Aan de malware wordt het meestte geld verdiend (keyloggers etc).
dat is zo, en de beste virusscanner ben je altijd zelf
En misschien moet je niet 3 keer hetzelfde posten...
10-03-2010, 00:44 door
Bitwiper
Eens kijken of de AV-detectie ondertussen is verbeterd. Hmm, iemand anders was me net voor en heeft de betreffende files dinsdag eind van de avond door virustotal gehaald:
http://www.virustotal.com/analisis/76776094c46a6d9c4315489c339a124a121a0776b16bef9a661156864b6eb1d7-1268173067
File UsbCharger_setup_V1_1_1.exe received on 2010.03.09 22:17:47 (UTC)
File size: 3086648 bytes
MD5 : 3f4f10b927677e45a495d0cdd4390aaf
SHA1 : c94423fa25cb515301422188b0b35ff16b9be749
Result: 11/42 (26.19%)
http://www.virustotal.com/analisis/1c7f6f75617dd69a68d60224277a17f0720e7d68e4d321b7ae246f9c7dd2cfcf-1268173739
File Arucer.dll received on 2010.03.09 22:28:59 (UTC)
File size: 28672 bytes
MD5 : 1070be3e60a1868d2cd62fc90d76c861
SHA1 : d102b1d2538d8771be85403272e5a22a4b3f81ad
Result: 25/41 (60.98%)
Grappig overigens dat Arucer.dll door F-Secure gedetecteerd wordt als "Backdoor:W32/Agent.NSA". Die drie-letterige extensie had F-Secure beter over kunnen slaan (en dan ook maar meteen .NSB), want uit http://forum.f-secure.com/topic.asp?TOPIC_ID=6737 maak ik op dat dit gewoon een alfabetische enumerator is, en -waarschijnlijk- niets met de bekende NSA te maken heeft...
http://www.virustotal.com/analisis/76776094c46a6d9c4315489c339a124a121a0776b16bef9a661156864b6eb1d7-1268173067
File UsbCharger_setup_V1_1_1.exe received on 2010.03.09 22:17:47 (UTC)
File size: 3086648 bytes
MD5 : 3f4f10b927677e45a495d0cdd4390aaf
SHA1 : c94423fa25cb515301422188b0b35ff16b9be749
Result: 11/42 (26.19%)
http://www.virustotal.com/analisis/1c7f6f75617dd69a68d60224277a17f0720e7d68e4d321b7ae246f9c7dd2cfcf-1268173739
File Arucer.dll received on 2010.03.09 22:28:59 (UTC)
File size: 28672 bytes
MD5 : 1070be3e60a1868d2cd62fc90d76c861
SHA1 : d102b1d2538d8771be85403272e5a22a4b3f81ad
Result: 25/41 (60.98%)
Grappig overigens dat Arucer.dll door F-Secure gedetecteerd wordt als "Backdoor:W32/Agent.NSA". Die drie-letterige extensie had F-Secure beter over kunnen slaan (en dan ook maar meteen .NSB), want uit http://forum.f-secure.com/topic.asp?TOPIC_ID=6737 maak ik op dat dit gewoon een alfabetische enumerator is, en -waarschijnlijk- niets met de bekende NSA te maken heeft...
11-03-2010, 01:39 door
[Account Verwijderd]
[Verwijderd]
SiteAdvisor kan het mis hebben
dat schijnt nog wel eens en meer dan eens te gebeuren, ja
groen: veilig, geel: pas op, rood: wegwezen lijkt heel duidelijk, maar als je kijkt welk mechanisme erachter zit, dan krijg je toch het gevoel van valse veiligheid
What is wrong with SiteAdvisor?: http://www.snapfiles.com/siteadvisor.html
14-03-2010, 11:21 door
Bitwiper
Door Anoniem: What is wrong with SiteAdvisor?: http://www.snapfiles.com/siteadvisor.html
Dank voor de link!Behalve dat SiteAdvisor bestanden niet goed analyseert ("In our tests, UsbCharger_setup_V1_1_1.exe did not make any changes to the system registry" is gewoon fout), de manier waarop sites worden beoordeeld lijkt ook niet in orde.
Hoewel het me zou verbazen als Snapfiles uitsluitend betrouwbaar spul ter download aan zou bieden (het is, ook voor SnapFiles, onmogelijk om dat vast te stellen) is het vreemd dat SnapFiles een geel uitroepteken krijgt en andere download sites niet.
Enger vind ik dat SiteAdvisor vooral gebruik lijkt te maken van externe reviewers die kennelijk scores kunnen beinvloeden, zie de sectie "SiteAdvisor reviewers" (onderaan http://www.snapfiles.com/siteadvisor.html en de verwijzing naar http://www.siteadvisor.com/analysis/reviewercentral/). Als het ook externe reviewers zijn die bestanden beoordelen, hoe weet ik dan of die reviewers enige kennis van zaken hebben en tevens onafhankelijk zijn?
14-03-2010, 12:59 door
Goeroeboeroe
Toen SiteAdvisor werd ontwikkeld, 'n aantal jaren geleden, ben ik betrokken geweest bij de ontwikkeling. Het was toen 'n uitstekend idee. Het idee was om van elke site alles te downloaden wat er op stond en dan te controleren op wijzigingen in register/startpagina, enz, op virussen, noem maar op. 'Foute' sites kregen 'n rode waarschuwing. Ook als je linkte naar zo'n 'foute' site kreeg je rood.
Bij sites waar dat kon werd geregistreerd en als dan spam werd verzonden, kreeg de site geel. Net zo als 'n site die heel veel pop-ups toonde. (Bij registratie werd voor elke site 'n uniek mail-adres aangemaakt, dus er was te herkennen waar spam vandaan kwam. 't Idee was echt heel goed.)
Die controles vonden geautomatiseerd plaats. Daardoor stonden bijvoorbeeld veel sites met mailinglists ten onrechte op de gele lijst.
SiteAdvisor liep dus per definite (fors) achter. Als 'n site malware had, maar nog niet was gecontroleerd, werd niet gewaarschuwd. Geen probleem: dat werd duidelijk aangegeven. Nu niet meer.
Er was toen 'n actieve groep mensen mee bezig. Als er iets niet klopte en je stuurde 'n mail, kreeg je gewoon antwoord. Zoals bijvoorbeeld bij sites met 'n maillist die ten onrechte geel hadden gekregen. Of als malware was verwijderd van je site. Dan werd de site (eventueel na controle) weer verwijderd van de gele/rode lijst.
Helaas is SiteAdvisor verkocht aan McAfee. Sinds die tijd is het volstrekt waardeloos. Van 'n kleine add-on bij de browser werd het 'n joekel van 'n programma, vol met reclame.
Het ergste is dat McAfee nergens op reageert: niet op mails, niet op reviewers, nergens op. Die externe reviewers hebben geen enkele invloed meer. Voor de verkoop hadden ze dat wel. (Althans: er werd dan bekeken of het klopte wat ze zeiden.)
Omdat SiteAdvisor niet vaak controleert, heb je zo 'n halfjaar rood te pakken als site. Vandaar het gigantische aantal rode sites. En als je linkt naar zo'n site heb je ook rood.
Ik heb zelf 'n site met zo'n 600 links op het gebied van css. Als daar maar ??n site van is gehackt en malware heeft of zo, krijg ik ook rood. Althans; als dat zo is op het moment dat SiteAdvisor toevallig controleert. En dat duurt minstens zo'n halfjaar. En elke site die naar mij linkt krijgt ook rood gedurende die tijd. Als waarschuwing heb je er dus helemaal niets meer aan, want het merendeel van de gele en rode sites staat er volkomen ten onrechte op.
McAfee heeft er, denk ik, belang bij zoveel mogelijk rood en geel te maken. Als je mensen bang maakt, kopen ze eerder je antivirus-software. McAfee wilde wel de reclame van SiteAdvisor, maar investeert niet in mensen om het bij te houden.
Hoewel ik dus zelf bij de ontwikkeling was betrokken en het idee nog steeds heel goed vind, kan ik het zoals McAfee het uitvoert alleen nog maar afraden. Het is 'n waardeloos stuk reclame geworden.
Edit: vergeet nog wat. Toen SiteAdvisor nog zelfstandig was en gewoon via 'n add-on/extensie werkte, werkt het op alle systemen. Sinds McAfee het heeft overgenomen werkt het alleen nog maar op Windows en OS X, niet meer op Linux e.d.
Bij sites waar dat kon werd geregistreerd en als dan spam werd verzonden, kreeg de site geel. Net zo als 'n site die heel veel pop-ups toonde. (Bij registratie werd voor elke site 'n uniek mail-adres aangemaakt, dus er was te herkennen waar spam vandaan kwam. 't Idee was echt heel goed.)
Die controles vonden geautomatiseerd plaats. Daardoor stonden bijvoorbeeld veel sites met mailinglists ten onrechte op de gele lijst.
SiteAdvisor liep dus per definite (fors) achter. Als 'n site malware had, maar nog niet was gecontroleerd, werd niet gewaarschuwd. Geen probleem: dat werd duidelijk aangegeven. Nu niet meer.
Er was toen 'n actieve groep mensen mee bezig. Als er iets niet klopte en je stuurde 'n mail, kreeg je gewoon antwoord. Zoals bijvoorbeeld bij sites met 'n maillist die ten onrechte geel hadden gekregen. Of als malware was verwijderd van je site. Dan werd de site (eventueel na controle) weer verwijderd van de gele/rode lijst.
Helaas is SiteAdvisor verkocht aan McAfee. Sinds die tijd is het volstrekt waardeloos. Van 'n kleine add-on bij de browser werd het 'n joekel van 'n programma, vol met reclame.
Het ergste is dat McAfee nergens op reageert: niet op mails, niet op reviewers, nergens op. Die externe reviewers hebben geen enkele invloed meer. Voor de verkoop hadden ze dat wel. (Althans: er werd dan bekeken of het klopte wat ze zeiden.)
Omdat SiteAdvisor niet vaak controleert, heb je zo 'n halfjaar rood te pakken als site. Vandaar het gigantische aantal rode sites. En als je linkt naar zo'n site heb je ook rood.
Ik heb zelf 'n site met zo'n 600 links op het gebied van css. Als daar maar ??n site van is gehackt en malware heeft of zo, krijg ik ook rood. Althans; als dat zo is op het moment dat SiteAdvisor toevallig controleert. En dat duurt minstens zo'n halfjaar. En elke site die naar mij linkt krijgt ook rood gedurende die tijd. Als waarschuwing heb je er dus helemaal niets meer aan, want het merendeel van de gele en rode sites staat er volkomen ten onrechte op.
McAfee heeft er, denk ik, belang bij zoveel mogelijk rood en geel te maken. Als je mensen bang maakt, kopen ze eerder je antivirus-software. McAfee wilde wel de reclame van SiteAdvisor, maar investeert niet in mensen om het bij te houden.
Hoewel ik dus zelf bij de ontwikkeling was betrokken en het idee nog steeds heel goed vind, kan ik het zoals McAfee het uitvoert alleen nog maar afraden. Het is 'n waardeloos stuk reclame geworden.
Edit: vergeet nog wat. Toen SiteAdvisor nog zelfstandig was en gewoon via 'n add-on/extensie werkte, werkt het op alle systemen. Sinds McAfee het heeft overgenomen werkt het alleen nog maar op Windows en OS X, niet meer op Linux e.d.
14-03-2010, 13:10 door
Goeroeboeroe
Wat 'n hopeloos systeem is dit. Blijkt hij dus wel m'n aanvulling te hebben opgeslagen.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
