image

Microsoft beschermt Windows tegen banking Trojan

woensdag 11 september 2013, 09:59 door Redactie, 3 reacties

Met de patches van patchdinsdag heeft Microsoft ook een update voor de in Windows ingebouwde virusverwijdertool uitgebracht, die nu in staat is om een gevaarlijke banking Trojan te detecteren. Het gaat om de Simda Trojan, die al sinds 2009 bestaat.

Via de malware kan een aanvaller op afstand verbinding met een machine maken en verschillende acties uitvoeren, zoals het stelen van inloggegevens en het maken van screenshots. Simda gebruikt een drietal Windows-lekken uit 2010 om de rechten op het systeem te verhogen en zo bepaalde Windowsprocessen te kunnen injecteren.

Als de lekken in kwestie zijn gepatcht, wordt er via een woordenboekaanval geprobeerd om de verhoogde rechten te krijgen. Verder schakelt Simda verschillende beveiligingsprogramma's uit, zoals hijackthis, Malwarebytes Anti-Malware en de Kaspersky Virus Removal Tool. Ook worden verschillende websites van anti-virusfabrikanten geblokkeerd.

Verspreiding

De malware verspreidt zich zowel via drive-by downloads als social engineering, waarbij het zich in het laatste geval voordoet als een Flash Player update. Recentelijk hebben de ontwikkelaars van Simda verschillende aanpasisngen doorgevoerd, zodat het ook gebruikers van internetbankieren kan aanvallen. Het kaapt hiervoor verschillende Windows systeem APIs, zodat het gegevens voor internetbankieren kan onderscheppen.

De malware heeft het volgens Microsoft voornamelijk op banken in Europa en Rusland voorzien, hoewel de meeste infecties na Rusland zich in de Verenigde Staten en Brazilië bevinden. In totaal zou Simda 19 verschillende systemen voor online bankieren kunnen aanvallen. Vanwege het grote aantal infecties is de Malicous Software Removal Tool (MSRT) nu in staat om Simda te detecteren en verwijderen.

Reacties (3)
11-09-2013, 10:14 door MI-10 - Bijgewerkt: 11-09-2013, 10:14
Het gaat om de Simda Trojan, die al sinds 2009 bestaat.

En waarom moet er 4 jaar gewacht worden voordat MS eindelijk stappen onderneemt?
11-09-2013, 11:12 door 0101
@MI-10
De MSRT verwijdert alleen de meest voorkomende malware, het is geen vervanging van een antivirus. Dat deze malwarefamilie nu pas is toegevoegd is waarschijnlijk omdat deze eerder niet zo veelvoorkomend was.
11-09-2013, 14:05 door MI-10 - Bijgewerkt: 11-09-2013, 14:06
Door 0101: @MI-10
De MSRT verwijdert alleen de meest voorkomende malware, het is geen vervanging van een antivirus. Dat deze malwarefamilie nu pas is toegevoegd is waarschijnlijk omdat deze eerder niet zo veelvoorkomend was.
Ja 0101, dat weet ik ook allemaal wel, maar daar gaat het niet om. Het is een BankingTrojan uit 2009 en dan zou je toch verwachten dat dit in de MSRT eerder was verschenen en niet 4 jaar later..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.