Nieuws
image

Onverwoestbare rootkit besmet 4,5 miljoen Windows pc's

donderdag 30 juni 2011, 15:18 door Redactie, 13 reacties

Een bijna "onverwoestbare" rootkit heeft 4,5 miljoen Windows computers besmet, daarvoor waarschuwt de Russische virusbestrijder Kaspersky Lab. De TDL-rootkit, ook bekend als TDSS, wordt als de meest complexe dreiging van het moment omschreven en zou verschillende manieren gebruiken om virusscanners te omzeilen.

De eerste versie van de rootkit verscheen in 2008. Sindsdien is de rootkit steeds verder ontwikkeld en is nu ook in staat om 64-bit Windows systemen te besmetten. Inmiddels zijn 4,5 miljoen Windows computers met de malware besmet. Daarvoor gebruiken de criminelen achter de rootkit de hulp van partners. Die ontvangen voor elke duizend installaties van TDL tussen de twintig en tweehonderd dollar, afhankelijk van de locatie van de computer van het slachtoffer.

Pornosites
Meestal wordt de rootkit op porno-, warez-, video- en dumpsites verstopt. De beheerders versleutelen de communicatie tussen de bots en de botnet command & controls servers, om zo toegang tot besmette computers te houden, ook al worden de C&C-servers uit de lucht gehaald. "De eigenaren van TDL proberen een onverwoestbaar botnet te bouwen dat beschermt is tegen aanvallen, concurrenten en anti-virusbedrijven", zegt Sergey Golovanov van Kaspersky Lab in deze analyse. Verder gebruikt de rootkit een publiek P2P-netwerk genaamd Kad om bestanden met opdrachten voor besmette computers uit te wisselen.

Door de Master Boot Record (MBR) te infecteren, wordt de levenscyclus van de malware verlengd en is het lastiger door virusscanners te detecteren. Daarnaast probeert de rootkit ook andere malware op het systeem te weren. Inmiddels bevat TDL code om twintig andere malware programma's te verwijderen. Eenmaal actief op een systeem kan de rootkit aanvullende malware installeren, zoals nep-virusscanners, adware en spambots. Ook wordt het botnet gebruikt voor het manipuleren van adware en zoekmachines.

Proxy
Volgens Kaspersky zou de malware al zo'n 4,5 miljoen machines hebben besmet, waarvan de meeste computers zich in de VS bevinden. Opmerkelijk genoeg is de rootkit niet op Russische computers aangetroffen. "Dit komt mogelijk omdat de partnerprogramma's niet betalen voor het infecteren van computers in Rusland", merkt Golovanov op.

Het botnet wordt ook gebruikt als proxy. Voor honderd dollar kunnen gebruikers anoniem via de besmette machines surfen. De eigenaren ontwikkelden zelfs een speciale Firefox plugin die gebruikers via de proxy machines laat surfen. Golovanov verwacht dat de rootkit zich verder zal ontwikkelen.

Reacties (13)
30-06-2011, 16:04 door Anoniem
Kortom,iedere internetgebruiker loopt groot gevaar met zijn /haar pc('s).Op deze manier is het niet veilig en niet leuk meer om nog te internetten.En die betaalde antivirus en firewall kun je wel de deur uit doen,want wordt toch omzeild.De nationale en internationale overheden zijn hierin de afgelopen jaren en zelfs tot de dag van vandaag laks geweest om hackers en malware te bestrijden.De straffen voor het maken en verspreiden van malware alsook het hacken zijn zeker in Europa erg laag.De pakkkans is uiterst klein.Hierin zal hoe dan ook verandering moeten komen.Registratie van alle computers en computergebruikers,voor het werken op een computer zul je je in de toekomst beter moeten identificeren dan alleen maar een password in te voeren.Cybercriminelen,zeker de ontwikkelaarsvan dit soort botnets zullen een levenslang internet en pc-verbod moeten krijgen en ook financieel kaalgeplukt,alle schade aan systemen en computers ook die vd particuliere pc-gebruikers moet worden vergoed.Laat ze maar de rest van hun armzalige leventje betalen! Ook de ontwikkelaars en verkopers van hacktools moeten zwaar gestraft worden.Stealth spyware,hardware en software keyloggers verkopen onder de noemer van je echtgenoot of je kind controleren moet nu eens afgelopen zijn! Als je de vergelijking met een vuurwapen trekt zou je krijgen dat vuurwapens legaal verkocht mogen worden want ach je kunt er hele goede dingen mee doe: jezelf en je gezin beschermen tegen criminelen en wilde dieren,tegen losgebroken valse pittbulls bijv.,en je kunt ermee jagen op wild,altijd handig als je geen geld voor boodschappen bij appie heijn hebt,toch? Maar ja je kunt er ook iemand gewoon mee omleggen,een overval mee plegen,voor de lol op loslopende katten schieten,etc.En dat is dan ook waarom vuurwapens verboden zijn,waarom kan dat dan niet met dit soort spyware!?
30-06-2011, 16:50 door Anoniem
Door Anoniem: Kortom,iedere internetgebruiker loopt groot gevaar met zijn /haar pc('s).Op deze manier is het niet veilig en niet leuk meer om nog te internetten. En die betaalde antivirus en firewall kun je wel de deur uit doen,want wordt toch omzeild.

De nationale en internationale overheden zijn hierin de afgelopen jaren en zelfs tot de dag van vandaag laks geweest om hackers en malware te bestrijden. De straffen voor het maken en verspreiden van malware alsook het hacken zijn zeker in Europa erg laag. De pak-kans is uiterst klein.Hierin zal hoe dan ook verandering moeten komen; registratie van alle computers en computergebruikers,voor het werken op een computer zul je je in de toekomst beter moeten identificeren dan alleen maar een password in te voeren.

Cybercriminelen, zeker de ontwikkelaars van dit soort botnets zullen een levenslang internet en pc-verbod moeten krijgen en ook financieel kaalgeplukt worden, alle schade aan systemen en computers ook die van particuliere pc-gebruikers moet worden vergoed. Laat ze maar de rest van hun armzalige leventje betalen!

Ook de ontwikkelaars en verkopers van hacktools moeten zwaar gestrafd worden. Stealth spyware, hardware en software keyloggers verkopen onder de noemer van je echtgenoot of je kind controleren moet nu eens afgelopen zijn! Als je de vergelijking met een vuurwapen trekt zou je krijgen dat vuurwapens legaal verkocht mogen worden want ach je kunt er hele goede dingen mee doe: jezelf en je gezin beschermen tegen criminelen en wilde dieren, tegen losgebroken valse pittbulls bijv.,en je kunt ermee jagen op wild, altijd handig als je geen geld voor boodschappen bij appie heijn hebt, toch?
Maar ja je kunt er ook iemand gewoon mee omleggen,een overval mee plegen,voor de lol op loslopende katten schieten, etc. En dat is dan ook waarom vuurwapens verboden zijn, waarom kan dat dan niet met dit soort spyware!?

Heb je comment even een beetje leesbaarder gemaakt, je kunt namelijk niet verwachten dat er mensen zijn die je verhaaltje gaan lezen wanneer je geen spaties, of soms ineens 3 spaties gebruikt én de enter-knop niet weet te vinden. (Sorry voor de lange zin)

Ik hoop dat je comment nu een beetje leesbaarder is geworden; inhoudelijk zit het goed in elkaar ;)

Betreffende het artikel: Dit baart me wel zorgen. Malware die de anti-virus programma's omzeilen, dat kán gewoon niet goed zijn! Hopelijk dat de AV-programma's zich hier dan ook mee bezighouden, zodat de AV-progjes ons toch kunnen blijven beschermen.
30-06-2011, 16:52 door Anoniem
Hoe moeilijk is het voor een antivirus vendor om te zorgen dat de malware wordt gedetecteerd ? Traffic naar onderstaande C&C servers laten zien dat je besmet bent ? De AV software moet toch deze DNS queries moeten kunnen detecteren / blokkeren ?

Control server address

01n02n4cx00.cc
01n02n4cx00.com
01n20n4cx00.com
0imh17agcla.com
10n02n4cx00.com
1il1il1il.com
1l1i16b0.com
34jh7alm94.asia
4gat16ag100.com
4tag16ag100.com
68b6b6b6.com
69b69b6b96b.com
7gaur15eb71.com
7uagr15eb71.com
86b6b6b6.com
86b6b96b.com
9669b6b96b.com
cap01tchaa.com
cap0itchaa.com
countri1l.com
dg6a51ja813.com
gd6a15ja813.com
i0m71gmak01.com
ikaturi11.com
jna0-0akq8x.com
ka18i7gah10.com
kai817hag10.com
kangojim1.com
kangojjm1.com
kur1k0nona.com
l04undreyk.com
li1i16b0.com
lj1i16b0.com
lkaturi71.com
lkaturl11.com
lkaturl71.com
lo4undreyk.com
n16fa53.com
neywrika.in
nichtadden.in
nl6fa53.com
nyewrika.in
rukkeianno.com
rukkeianno.in
rukkieanno.in
sh01cilewk.com
sho1cilewk.com
u101mnay2k.com
u101mnuy2k.com
xx87lhfda88.com
zna61udha01.com
zna81udha01.com
zz87ihfda88.com
zz87jhfda88.com
zz87lhfda88.com
30-06-2011, 17:40 door [Account Verwijderd]
[Verwijderd]
30-06-2011, 20:15 door Anoniem
Ik kan uit het artikel nog altijd niet opmaken welke exploit er misbruikt wordt om de rootkit te installeren. Het komt via wares&Pron sites, maar wat misbruiken ze? Java? Adobe meuk?

Die troep kan niet zonder enige exploit op de machine komen lijkt mij.

Wie weet er meer?
Wellicht zijn we niet zo vatbaar als hier beschreven wordt.
30-06-2011, 20:31 door Anoniem
weet wel dat kaspersky hier een aparte removal tool voor heeft (heb ik helaas al een x gebruik van moeten maken op andersmans pc)

maar als het zo simpel was om dit te blocken zou dit ook wel gebeuren door de grote AV bedrijven.

*gelukkige klanten zijn de beste in die wereld ;) mensen verwachten namelijk altijd een 100% protectie en krijgen ze die niet zijn ze vaak zwaar geneigd om een ander merk te pakken (tot die de mist in gaat natuurlijk)

mijn persoonlijke mening is ook dat ze deze mensen zwaarder moeten aanpakken!
30-06-2011, 21:54 door Anoniem
Maar wie bewaart er een kopie van zijn MBR, ik niet i.i.g. Is de MBR niet gewoon schoon te maken?
30-06-2011, 23:53 door Anoniem
@Peter V: En waarom zit zo'n mogelijkheid dan niet in een AV programma?
Hoe vertel ik mijn ouders, die niet technisch zijn, die gewoon alleen maar willen surfen en e-mailen hoe ze een kopie van een bootsector moeten terugzetten?

Enfin...een paar jaar geleden heeft GMer (gmer.net) mij geholpen een MBR virus (Postbank fishing) te herkennen die bijna alle AV programma's over het hoofd zagen. Norman AV kon hem toen gelukkig wel verwijderen.

Jeroen.
01-07-2011, 08:18 door [Account Verwijderd]
[Verwijderd]
01-07-2011, 09:30 door EDLIN
Hoe onverwoestbaar is deze malware als Kaspersky al een Tdss-killer heeft klaarliggen?
http://support.kaspersky.com/viruses/solutions?qid=208280684
01-07-2011, 11:44 door Anoniem
Door pe0mot: Ik kan iedereen aanraden niet de standaard DNS van je provider te gebruiken.
Door gebruik te maken van de opendns.com DNS servers worden bovengenoemde adressen keurig geblokkeerd.
Ook als je zelf de root server beheert, zijn er blocking lijsten of opendns.

Bovenstaand is een open deur voor alle beheerders, maar de vele bedrijven die ik heb gezien hebben geen DNS blocking.
Het excuus is altijd dat ze een Firewall en Virusscanner hebben met dure SLA's. Maar dit zijn maatregelen die altijd weken/maanden te laat actief worden. Het waren ook bedrijven met echte problemen door dit trage beleid.
DNS block is sneller (en gratis), vaak binnen uren na de eerste rapporten ergens in de wereld is het probleem geblokkeerd.
De enkele false positive is veel makkelijker te beheren dan de chaos na besmetting op besmetting.

Hoe stelt een leek dit in, als ik vragen mag?
01-07-2011, 12:37 door [Account Verwijderd]
[Verwijderd]
01-07-2011, 16:16 door Anoniem
Lekker ingewikkeld allemaal voor een leek zoals mijzelf.De oplossing is zelfreinigende en zelfherstellende pc.Deze moet zodra hij ziet dat er geknoeid is met de pc-software,instellingen gewijzigd zijn zichzelf reinigen en weer naar de STAAT VAN VOOR DE MALWARE BESMETTING herstellen.En daarna moet de pc zelf maatregelen nemen om hernieuwde besmetting te voorkomen. Hij kan de gebruiker aanraden om daarvoor dat en dat bestand/pprogramma te downloaden of te wijzigen de gebruiker moet daar dan eerst toestemming voor geven. Kortom het moet zo zijn/worden dat de gebruiker niet of nauwelijks wordt lastig gevallen met beveiligingsvraagstukken Microsoft/Windows moet de beveiliging van windows pc's gaan leiden,gaan coordineren.Alle virusscanners moeten hun virusinformatie en dergelijke met elkaar gaan delen virussen en andere malware krijgen voortaan 1 naam i.p.v. dat ze bij de ene scanner trojan x heten en bij de andere trojan abc Security produkten moeten niet langer gratis zijn,maar voor 10 euro per maand beschikbaar zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure