image

SpyEye steelt gegevens van gebruikersaccount

donderdag 22 april 2010, 15:57 door Redactie, 2 reacties

Anti-virusbedrijven zijn verdeeld over het gevaar van 'Zeus-killer' SpyEye, toch kan de malware gegevens stelen van gebruikers die met verminderde rechten inloggen. In februari berichtte Symantec over een nieuw Trojaans paard dat de mogelijkheid heeft om de Zeus Trojan te verwijderen. Zeus is de populairste Trojan van dit moment en wordt op grote schaal ingezet voor het plunderen van bankrekeningen. Volgens sommige experts komt SpyEye niet eens in de buurt van Zeus en is er helemaal geen sprake van een oorlog tussen virusschrijvers.

Beveiligingsbedrijf PrevX zegt dat het een toename van SpyEye infecties ziet. Hoewel het geen complexe malware is, omschrijft Marco Giuliani het als het perfecte stereotype van huidige malware infecties. "Ontworpen om met eenvoudige infectie technieken gevoelige gegevens te stelen. De code is eenvoudig, maar op hetzelfde moment effectief." Volgens Giuliani laat SpyEye het gat tussen malware ontwikkelaars en het klassieke antwoord van virusscanners zien.

Versleuteld
Volgens PrevX heeft SpyEye de potentie om de volgende Zeus Trojan te worden. Het is goedkoper dan Zeus, de code is effectief en de toolkit laat gebruikers binnen minuten hun botnet Command & Control server en Trojaanse paard opzetten. Eenmaal actief op een systeem injecteert SpyEye code in alle processen waar het toegang toe krijgt. Vervolgens kaapt het verschillende Windows en browser API's waarbij het ook user mode rootkit technieken gebruikt.

Door de browser processen te kapen, kan het gevoelige informatie stelen, zelfs van met SSL-versleutelde websites. "Door deze techniek is het zelfs in staat om klassieke anti-keyloggers te omzeilen die toetsaanslagen versleutelen." De gestolen informatie wordt vervolgens via HTTP naar de C&C server gestuurd.

Mythe
SpyEye maakt ook een einde aan de mythe dat gebruikers met verminderde rechten geen risico op malware lopen. "Dat is niet zo", zegt Giuliani. Het Trojaanse paard kan zich probleemloos op een beperkt account installeren en gegevens stelen. "Ik hoor veel mensen zeggen dat ze geen virusscanner nodig hebben omdat ze Windows met een beperkt account gebruiken: het kan zijn dat ze al met SpyEye besmet zijn."

Reacties (2)
22-04-2010, 17:38 door SirDice
SpyEye maakt ook een einde aan de mythe dat gebruikers met verminderde rechten geen risico op malware lopen.
Iets wat ik ook al jaren roep. Op die zelfde manier is dus ook OS-X en *nix te infecteren. Een root/admin wachtwoord is nu eenmaal niet altijd noodzakelijk om effectieve malware te maken. Dat een hoop Windows malware wel admin rechten nodig heeft zegt meer over de malware dan over het systeem waar het op moet draaien.
22-04-2010, 17:52 door Dev_Null
De beste manier om dit troep te verwijderen blijft nog altijd "met het handje vanaf the Command-line".

Tool_A inzetten om een ander tool_B te wissen... is misschien wel lekker makkelijk, maar toch is het imo vragen om (nog meer) ellende, want je weet dan nog niet, wat er achter dat mooie GUI-windootje echt gebeurd ;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.