image

Virus steelt foto's van Windows-computers

zondag 4 november 2012, 09:24 door Redactie, 13 reacties

Onderzoekers hebben nieuwe malware ontdekt die geen documenten of wachtwoorden steelt, maar foto's en andere afbeeldingen. De gestolen plaatjes worden vervolgens naar een FTP-server geüpload. De 'Pixsteal' Trojan zoekt op besmette computers naar .JPG, .JPEG en .DMP-bestanden. De eerste twee extensies zijn van afbeeldingen, terwijl DMP-bestanden informatie bevatten waarom een bepaald systeem is gestopt met werken.

Zodra de malware de afbeeldingen heeft verzameld, worden de eerste 20.000 bestanden naar de FTP-server gekopieerd. "Informatiediefstal is voornamelijk beperkt tot informatie in tekstvorm, dus deze malware vormt een geheel nieuw risico voor gebruikers", zegt Raymart Paraiso van Trend Micro.

Afpersing
Volgens de analist kunnen de verzamelde foto's voor identiteitsdiefstal, afpersing en zelfs toekomstige aanvallen worden gebruikt. Een scan van een rijbewijs of paspoort zou zo in handen van criminelen kunnen komen. De Pixsteal Trojan verspreidt zich via andere malware die al op het systeem actief is en via drive-by downloads.

Reacties (13)
04-11-2012, 10:30 door Anoniem
DMP bestanden? Er zal wel ergens iemand een tikfout gemaakt hebben en BMP bestanden bedoelen...
04-11-2012, 10:55 door Anoniem
Interessant zou zijn om te weten hoe de heren deze bergen aan afbeeldingen dan gaan analyseren op relevante info.

Afwegingen en tips

Hoewel het opslaan van wachtwoorden als afbeelding al sterker is als opslaan in tekst formaat (hoe vaak worden wachtwoorden nog niet per email in plain tekst verstuurd?), kan je het volgende overwegen.

- belangrijke informatie opslaan in een versleutelde map met sterk wachtwoord (scheelt weer het encrypten van je hele disk).

- afbeeldingen die belangrijke informatie bevatten :

* ontdoen van alle exif,..locatie data,.. etc. etc. .. info (doe dat ook eens voordat je persoonlijke foto's op het internet plaatst!).
* een zelf verzonnen extensie meegeven ("." + "vijf?" tekens), zijn de betreffende belangrijke afbeeldingen ook makkelijker te vinden voor jezelf bij een zoekopdracht.

- belangrijkste; gewoon geen belangrijke afbeeldingen laten slingeren op je computer (die paspoort scan op hoge resolutie bijvoorbeeld). Of als dan toch voor winkel gebruik een zwart wit versie in lage resolutie met een zwarte balk over belangrijke data (je sofinummer bijvoorbeeld) en strategisch diagonaal in beeld het woord kopie.
04-11-2012, 15:14 door [Account Verwijderd]
[Verwijderd]
04-11-2012, 17:44 door AdVratPatat
Door Anoniem: DMP bestanden? Er zal wel ergens iemand een tikfout gemaakt hebben en BMP bestanden bedoelen...
Haha, da's ook het eerste wat ik dacht maar als we de code in Figure 1 op http://blog.trendmicro.com/trendlabs-security-intelligence/malware-steals-image-files-from-systems/ mogen geloven, betreft het hier toch echt .dmp files.
Typfoutje van de malware-schrijver of misschien een crash-gevoelige béta?
04-11-2012, 18:56 door Rubbertje
Door Anoniem: DMP bestanden? Er zal wel ergens iemand een tikfout gemaakt hebben en BMP bestanden bedoelen...
Nee. DMP is juist. Staat hier beschreven: http://support.microsoft.com/kb/315263/nl
04-11-2012, 19:28 door Anoniem
Ik weet wel dat er ook DMP bestanden bestaan, maar deze zin loopt gewoon vreemd:

Onderzoekers hebben nieuwe malware ontdekt die geen documenten of wachtwoorden steelt, maar foto's en andere afbeeldingen. De gestolen plaatjes worden vervolgens naar een FTP-server geüpload. De 'Pixsteal' Trojan zoekt op besmette computers naar .JPG, .JPEG en .DMP-bestanden.

Het gaat de hele tijd over plaatjes, de trojan heet 'Pixsteal', en wat steelt ie? memorydumps.
Terwijl BMP bestanden juist heel aannemlijk zijn in die context.
04-11-2012, 21:56 door vimes
Die .DMP's worden meegezonden om de hacker in staat te stellen óf en welke processen die die virus afvuurt zijn vastgelopen en waarom. Handig controle mechanisme om je virus te verfijnen en te optimaliseren.
05-11-2012, 10:42 door 0101
Door Anoniem: DMP bestanden? Er zal wel ergens iemand een tikfout gemaakt hebben en BMP bestanden bedoelen...
Dat denk ik niet. Zo dicht liggen de B en de D toets niet bij elkaar.
05-11-2012, 12:22 door Anoniem
De eerste twee extensies zijn van afbeeldingen, terwijl DMP-bestanden informatie bevatten waarom een bepaald systeem is gestopt met werken.
05-11-2012, 12:23 door Anoniem
Door Anoniem: DMP bestanden? Er zal wel ergens iemand een tikfout gemaakt hebben en BMP bestanden bedoelen...

De eerste twee extensies zijn van afbeeldingen, terwijl DMP-bestanden informatie bevatten waarom een bepaald systeem is gestopt met werken.
05-11-2012, 19:04 door suder
Ok mij vraag is dan : stel je voor dat je geinstalleerde antivirus en anti spyware scanner deze malware niet hebben gestopt of gedetecteerd en deze malware draait op de achtergrond van je systeem en probeert foto,s of bestanden te versturen . Maar dan is er toch nog altijd je Firewall die dit ziet ? Een goede Firewall controleert toch ook het uitgaande verkeer van je computer ? Of is deze malware alle firewalls ook te slim af ?
06-11-2012, 17:20 door Anoniem
DMP file staat voor Dump file, Dump files zijn files waarin fout raporten worden opgenomen.
DMP is dus duidelijk iets anders dan BMP=Bitmap
06-11-2012, 19:52 door vimes
Door suder: Maar dan is er toch nog altijd je Firewall die dit ziet ? Een goede Firewall controleert toch ook het uitgaande verkeer van je computer ? Of is deze malware alle firewalls ook te slim af ?

Dat hangt er van af. In dit geval verstuurt het virus de bestanden via FTP. Als je de uitgaande FTP poort in je firewall geblokkerd hebt dan ben je in dit geval veilig, tenzij het virus bij de instellingen van je firewall kan komen.

Configureer dus een firewall altijd zo beperkt mogelijk kwa in- en uitgaand verkeer en bij voorkeur de firewall op de router en niet die van de pc.
Zorg er ook voor dat de router beveiligd is met een sterk wachtwoord anders dan die van de pc.

edit: quote syntax fout
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.