image

Virusschrijvers springen op Windows LNK-lek

vrijdag 23 juli 2010, 10:30 door Redactie, 3 reacties

Wereldwijd lopen honderden miljoenen Windows-gebruikers risico nu meer malwaremakers het ongepatchte lek in het besturingssysteem gebruiken om systemen te infecteren. Ongeveer een week nadat bekend werd dat er een nieuwe kwetsbaarheid in alle moderne Windows versies zit waardoor de zeer professionele Stuxnet-worm zich op computers nestelt, zijn er twee andere malware families ontdekt die het lek ook misbruiken.

In tegenstelling tot Stuxnet, dat onder andere gestolen certificaten van Realtek en JMicron gebruikte om de malware te signeren en SCADA-systemen aanviel, zijn de nu aangetroffen exemplaren minder hoogstand. Virusonderzoeker Pierre-Marc Bureau spreekt zelfs van 'bottom feeders', die de techniek van anderen voor hun eigen doeleinden gebruiken. De eerste nieuwe familie die het lek ook misbruikt is een Trojan-downloader genaamd Chymine. De malware installeert een keylogger op systemen en stuurt gestolen gegevens naar een remote server.

Verspreiding
De tweede familie die het 'LNK-lek' als aanvalsvector gebruikt is Autorun.VB. Deze malware gaat al langere tijd rond, maar is met het nieuwe Windows-lek uitgebreid. Bureau verwacht dat meer virusschrijvers op het lek zullen springen. De onderzoeker merkt op dat ze Chymine geen kwaadaardige snelkoppelingen hebben zien maken. "We hebben alleen snelkoppelingen gezien die het laatste lek misbruiken, die ernaar wijzen. In andere woorden, Chymine verspreidt zich niet zelf, maar krijgt hulp van iets of iemand." Autorun.VB daarentegen maakt wel nieuwe LNK-bestanden aan die het lek misbruiken en zo helpen bij het verspreiden van de malware.

Exploit
Anti-virusbedrijf Symantec zegt dat het de afgelopen 72 uur ongeveer 14.000 unieke en met Stuxnet besmette IP-adressen verbinding heeft zien maken met de Command & Control server. Bijna zestig procent van de connecties is uit Iran afkomstig, gevolgd door Indonesië met een kleine 20%. India is met ruim acht procent derde.

Volgens Randy Abrams van ESET hebben de makers van Stuxnet zeer bewust voor de certificaten van Realtek en JMicron gekozen. "Door het certificaat van een betrouwbare leverancier te stelen, verkleinen ze de kans dat hun kwaadaardige software snel wordt opgemerkt." In tegenstelling tot wat een analist van Kaspersky Lab dacht, denkt Abrams niet dat beide bedrijven met de Zeus Trojan zijn besmet, maar dat het waarschijnlijk om een 'inside job' gaat.

Toekomst
De makers van Stuxnet waren bekend met het wachtwoord-lek in Siemens WinCC systemen voordat ze de malware ontwikkelden. Ze hadden niet alleen de kans om voor SCADA-systemen te programmeren, maar wisten ook precies waar het probleem zat. "Dat is een ernstig probleem en iets dat we in de nabije toekomst mogelijk vaker zullen zien", zegt Dennis Fisher. "Gerichte aanvallen, waar grondig onderzoek en planning aan vooraf gaat, zijn aan de orde van de dag, en zoals Stuxnet laat zien, doen de aanvallers zeker hun huiswerk."

Microsoft heeft inmiddels een Fix-it oplossing voor het probleem uitgebracht en maakt duidelijk dat het lek ook via websites en documenten is te misbruiken. Eerder werd al bekend dat de exploit ook aan hackertool Metasploit was toegevoegd. Deze demonstratie laat zien hoe eenvoudig dit het voor aanvallers maakt.

Reacties (3)
23-07-2010, 11:58 door Anoniem
Windows is toch geweldig goed. Hoe kan dat nou toch altijd?
23-07-2010, 15:08 door Anoniem
windows is een soort van ruwe olie

het is inefficiënt, gevaarlijk, vervuilend, duur, licht explosief, lekt, achterhaald etc etc...

eigenlijk wil iedereen er van af maar weinig mensen durven daadwerkelijk over te stappen op meer verantwoorde en open software omdat iedereen naar elkaar kijkt en afwacht totdat de ander eerst gaat.

maar goed de eerste schapen zijn over de dam, google wil er niets meer mee te maken hebben, Dell geeft toe dat het rotzooi is, IBM wil het niet meer, general motors is om en langzaam begint het landschap eindelijk te veranderen..
23-07-2010, 15:42 door cyberpunk
De Fix-It oplossing (= klooien in het Register) lijkt me niet interessant, maar ik heb al van in het begin van mijn installatie de WebClient-service uitgeschakeld, dus ik lig er niet echt wakker van...

eigenlijk wil iedereen er van af maar weinig mensen durven daadwerkelijk over te stappen op meer verantwoorde en open software omdat iedereen naar elkaar kijkt en afwacht totdat de ander eerst gaat.

Als iedereen zou overschakelen naar "meer verantwoorde en open software", dan zou je zien dat ook dat soort software kwetsbaarder zou worden. Simpel en alleen door het feit dat er meer gebruikers zijn. Het heeft voor virusschrijvers geen zin om een virus te schrijven voor bijv. Ubuntu als het maar door 5 man gebruikt wordt... In theorie zullen die lekken sneller gedicht worden, maar zo lang er niet meer (doorsnee) gebruikers zijn kan je volgens mij niet vergelijken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.