Nieuws
image

Digitale bankrover mijdt pc's zonder geluidskaart

vrijdag 17 augustus 2012, 11:55 door Redactie, 8 reacties

Malware doet er alles aan om niet door onderzoekers te worden ontdekt, zo blijkt een nieuwe variant van de beruchte Zeus Trojan niet op computers zonder geluidskaart te werken. Zeus is een banking Trojan, speciaal ontwikkeld om online geld van bankrekeningen te stelen. In het verleden werd al een versie ontdekt die trage computers niet infecteerde. De code van de malware gaat ervan uit dat de processor op tenminste 2Ghz draait. Is dit niet het geval, dan dacht de malware dat het in een virtual machine werd geanalyseerd.

Bij een nieuwe versie die onlangs opdook, controleert Zeus aan de hand van de geluidskaart of het in een "normale omgeving" actief is. Wordt er geen geluidskaart aangetroffen dan zal de malware niet werken omdat het mogelijk om een VMware of andere gevirtualiseerde omgeving gaat.

Het Finse anti-virusbedrijf F-Secure merkt op dat de meeste anti-virusbedrijven geen standaard virtualisatie software gebruiken. "Maar dit zou wel meer hands-on analisten kunnen frustreren, bijvoorbeeld die voor banken werken", aldus Sean Sullivan.

Reacties (8)
17-08-2012, 12:03 door [Account Verwijderd]
[Verwijderd]
17-08-2012, 12:16 door Nerd
Door exit: Ben ik even blij dat mijn geluidskaart net stuk is gegaan van mijn laptop.

Lol, dat de output niet werkt, wil niet betekenen dat er geen drivers zijn, of dat het niet aangestuurd kan worden vanuit het OS, of gedetecteerd.
17-08-2012, 12:29 door Anoniem
Is dit dan een mogelijkheid voor een nieuwe vorm van beveiligen. Verbergen wat de eigenschappen van je PC zijn?
17-08-2012, 13:50 door Anoniem
bericht: Wordt er geen geluidskaart aangetroffen dan zal de malware niet werken omdat het mogelijk om een VMware of andere gevirtualiseerde omgeving gaat.

Waarom ben je dan precies blij?
17-08-2012, 14:02 door Anoniem
Door Anoniem: Is dit dan een mogelijkheid voor een nieuwe vorm van beveiligen. Verbergen wat de eigenschappen van je PC zijn?

Mijn inziens is het altijd een interresant punt geweest. al is het alleen al om information disclosure te voorkomen.
17-08-2012, 22:58 door Anoniem
Sorry hoor maar ik geloof daar de ballen van.
19-08-2012, 09:23 door TD-er
Door Anoniem: Sorry hoor maar ik geloof daar de ballen van.
Het lijkt mij ook wat onwaarschijnlijk.
Er zijn namelijk veel meer manieren om te detecteren of je in een virtuele omgeving draait.
- beperkte set aan netwerk-drivers
- MAC-adres valt ofwel in een bepaalde range, of is zo random dat het buiten de range valt van uitgegeven MAC-adres-blokken.
- De HASP-Sentinel dongle software (die meegeleverd wordt met dure software) heb ik nog niet kunnen betrappen op het niet goed detecteren van een virtuele omgeving, dus kennelijk kunnen zij dat ook.

Dus om nu te concluderen dat een PC zonder geluidskaart een virus-analist is, lijkt me een beetje kort door de bocht geredeneerd voor een virus-schrijver.
Voor hetzelfde geld heb je een kantoor-terminal in een bank te pakken of een pin-automaat en dan heb je ineens wel een interessante omgeving te pakken als virus.
19-08-2012, 12:54 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure