image

Trojaan besmet 220.000 Facebookgebruikers via simpele truc

woensdag 13 november 2013, 11:10 door Redactie, 16 reacties

Een Trojaans paard heeft via een simpele truc in één week tijd zo'n 220.000 Facebookgebruikers weten te infecteren. Het gaat om de Napolar-malware die netwerkverkeer monitort en inloggegevens voor FTP, e-mail en andere websites steelt en andere malware op het systeem installeert.

Daarnaast worden besmette computers gebruikt voor het uitvoeren van DDoS-aanvallen. Napolar werd begin augustus van dit jaar voor het eerst opgemerkt en heeft in de afgelopen zeven weken ruim een half miljoen Windowscomputers geïnfecteerd. In de week van 23 augustus kende het aantal infecties een sterke piek, toen er in zeven dagen tijd 220.000 machines besmet raakten.

Social engineering

De malware verspreidde zich toen via linkjes in Facebookberichten. De linkjes wezen naar een uitvoerbaar bestand, zoals Photo_012-WWW.FACEBOOK.COM.exe, dat op een bestandsuitwisselingssite was opgeslagen. "Hoewel dit een oude en bekende social engineering-truc is, weet het helaas nog steeds een behoorlijk aantal slachtoffers te misleiden", zegt Shawn Wang van het Microsoft Malware Protection Center.

Napolar installeert zich op dezelfde manier als veel andere malware, maar gebruikt ook een user-mode rootkit om de aanwezigheid op het systeem te verbergen. Vanwege de recente activiteit heeft Microsoft tijdens de patchdinsdag van november een update voor de in Windows ingebouwde Malicious Software Removal Tool (MSRT) uitgebracht, die de malware kan identificeren en verwijderen.

Openen

"Napolar is een Trojaans paard dat behoorlijk vervelende dingen kan doen, van het installeren van meer malware tot het stelen van inloggegevens. De social engineering-truc die het gebruikt is simpel, maar werkt. Herinner dat en wees voorzichtig als je uitvoerbare bestanden opent die via sociale netwerken zijn verstuurd. Open het niet als je geen idee hebt wat het is, zelfs als het van je vrienden afkomstig is", aldus Wang.

Image

Reacties (16)
13-11-2013, 11:54 door Anoniem
Daarom gebruik ik dus een anti-virus(een vd grootste namen en zeker niet goedkoop).Ik verwacht van mijn internet-security dat het dit soort aanvallen onderkent en ingrijpt en de malware verwijdert en de trucs die de malware op mn systeem heeft uitgehaald weer ongedaan maakt.Zet m op Norton! En Kaspersky! (op mn andere pc)
13-11-2013, 13:47 door Anoniem
Gevalletje "Darwin" als je het mij vraagt.
13-11-2013, 14:59 door Anoniem
Door Anoniem: Daarom gebruik ik dus een anti-virus(een vd grootste namen en zeker niet goedkoop).Ik verwacht van mijn internet-security dat het dit soort aanvallen onderkent en ingrijpt en de malware verwijdert en de trucs die de malware op mn systeem heeft uitgehaald weer ongedaan maakt.Zet m op Norton! En Kaspersky! (op mn andere pc)

De beste anti-virus is nog altijd een oplettende gebruiker, als een foto, pdf oid bij mij de bestandsextentie .exe heeft gaan alle alarmbellen al rinkelen, daar hoeft mijn Internet Security pakket niet eens wakker te worden.
13-11-2013, 15:08 door Anoniem
Door Anoniem: .Zet m op Norton!

Norton? LoL. Die niet eens malware detecteerd van 4 jaar oud.
Sletchste AV engine en researchers die ik me in zoverre kan bedenken.
13-11-2013, 16:54 door Anoniem
Door Anoniem: Daarom gebruik ik dus een anti-virus(een vd grootste namen en zeker niet goedkoop).Ik verwacht van mijn internet-security dat het dit soort aanvallen onderkent en ingrijpt en de malware verwijdert en de trucs die de malware op mn systeem heeft uitgehaald weer ongedaan maakt.Zet m op Norton! En Kaspersky! (op mn andere pc)

Of je opent geen vage .exe bestanden een beetje IT'er herkent deze vorm van malware in combinatie met social engineering wel...
13-11-2013, 20:24 door Vicktor
Het eerste wat ik altijd doe is "hide extensions for known file types" uitzetten. Dan weet je tenminste in 1 oogopslag met wat voor bestand je te maken hebt. Ik heb dan natuurlijk niet over Linux.
13-11-2013, 20:49 door Anoniem
Door Vicktor: Het eerste wat ik altijd doe is "hide extensions for known file types" uitzetten. Dan weet je tenminste in 1 oogopslag met wat voor bestand je te maken hebt. Ik heb dan natuurlijk niet over Linux.

Daar heb je ook zoveel aan bij een weblink ....
13-11-2013, 21:49 door Ler0y JenKins - Bijgewerkt: 13-11-2013, 21:53
Door Anoniem: Daarom gebruik ik dus een anti-virus(een vd grootste namen en zeker niet goedkoop).Ik verwacht van mijn internet-security dat het dit soort aanvallen onderkent en ingrijpt en de malware verwijdert en de trucs die de malware op mn systeem heeft uitgehaald weer ongedaan maakt.Zet m op Norton! En Kaspersky! (op mn andere pc)

Norton? LoL. Die niet eens malware detecteerd van 4 jaar oud.
Sletchste AV engine en researchers die ik me in zoverre kan bedenken.{/quote]

Aan de eerste Anoniem: Virus en Anti-virus is en blijft een kat-en-muis spel. Je weet nooit zeker van een virus of die al in een database staat.

Aan de 2e Anoniem: Norton is zo slecht nog niet. Leer eerst maar eens goed Nederlands. En heb je ook ooit gehoord van de AV-testen?
13-11-2013, 22:17 door Anoniem
Heb geen Facebook, wil geen Facebook, dus geen probleem!
14-11-2013, 09:17 door 0tactic
Moet facebook zo en zo EXE niet blocken? LOL
14-11-2013, 11:53 door Mysterio
Door Anoniem:
Door Anoniem: .Zet m op Norton!

Norton? LoL. Die niet eens malware detecteerd van 4 jaar oud.
Sletchste AV engine en researchers die ik me in zoverre kan bedenken.
Serieus!?

Norton is een prima product en zoverre is er geen enkel product met een 100% dekking. Gelukkig heb jij een concreet voorbeeld voor handen van malware die 4 jaar oud is en door Norton niet opgepikt zou worden. Zou je dat geval even willen delen? Dan kunnen we namelijk Norton even tippen.

De engine is niet de beste op aarde, maar duidelijk niet de slechtste. Het is alleen jammer dat ze niet meer mee doen met verschillende tests, dus harde cijfers zijn slecht voor handen. Over de onderzoekers kan ik weinig zeggen, want ik heb geen ervaring met ze. Over hun support ben ik wel te spreken trouwens.

Maar jij bent waarschijnlijk een zogenaamde troll, dus ik heb weinig hoop op een verdere zinvolle bijdrage.
14-11-2013, 19:43 door Anoniem
Door Mysterio:
Maar jij bent waarschijnlijk een zogenaamde troll, dus ik heb weinig hoop op een verdere zinvolle bijdrage.
Voor de vraag wat er zinvol is aan het gebruiken van een scanner die je zelf ook niet heel goed vind, die niet in tests meer worden meegenomen, waar geen harde cijfers over te vinden zijn maar waar je wel voor betaalt hoef je geen trol te zijn.
Hier de configuratie van de anti norton poster die hij zelf vergat te noemen als zijn ideaal, https://www.security.nl/posting/365620#posting365629 . Andere posts lezen in plaats van hopen kan zinvol zijn.
15-11-2013, 12:15 door Mysterio
Door Anoniem:
Door Mysterio:
Maar jij bent waarschijnlijk een zogenaamde troll, dus ik heb weinig hoop op een verdere zinvolle bijdrage.
Voor de vraag wat er zinvol is aan het gebruiken van een scanner die je zelf ook niet heel goed vind, die niet in tests meer worden meegenomen, waar geen harde cijfers over te vinden zijn maar waar je wel voor betaalt hoef je geen trol te zijn.
Hier de configuratie van de anti norton poster die hij zelf vergat te noemen als zijn ideaal, https://www.security.nl/posting/365620#posting365629 . Andere posts lezen in plaats van hopen kan zinvol zijn.
De testers vragen een aantal AV-boeren om mee te doen. Norton heeft een aantal keren aangegeven hier niet op te zitten wachten. Dat zegt niets over de kwaliteit van het product, meer over hoe Norton denkt over de tests. Je kunt je ook afvragen tot in hoeverre die tests harde cijfers opleveren, maar dat is een andere discussie.

Ik heb daarnaast niet gezegd dat Norton een slecht product is. Ik zeg alleen dat er betere zijn. Ik heb vorig jaar vrij intensief getest met Norton en ik ben er zeker over te spreken. Momenteel zit ik diep in Bitdefender en hoewel daar technisch gezien weinig op valt aan te merken, heb ik functioneel gezien behoorlijk wat opmerkingen.

Jouw link naar dat andere artikel snap ik niet. Het gaat daar over Comodo en Norton wordt 2 of 3 keer genoemd en geen eens negatief.

Waar het mij om gaat is dat dit Anoniempje claimt over informatie te beschikken dat Norton oude malware negeert. Dat wil ik dan graag weten. Wat ik verder van het product vind is niet relevant.
16-11-2013, 11:25 door Anoniem
Opvallend dat het bestand www.facebook.com.exe heet. .com is ookal een uitvoerbaar bestand, was meer dan genoeg geweest.
18-11-2013, 12:55 door Anoniem
Jammer dat de discussie gaat over welk pakket er wel of niet goed is.
het is een gegeven dat de av software van iedere fabrikant minimaal een maand achterlopen. Het moet herkend worden, ingebouwd (ehh.. de herkenning ervan in de av software), getest en dan gepubliceerd.
Het blijft belangrijk om zelf op te letten; met een controle op de link door een mouseover, uitzetten van het verbergen van bekende extensies is ook verstandig. (Waarom überhaupt extensies verbergen).

Ik heb zelf een heel bekend av pakket waar ik tevreden over ben, terwijl die ook vaak door gebruikers als negatief wordt ervaren. Zo heeft een ieder zijn voorkeur en ervaringen.

Wat het meest belangrijk is, is dat we elkaar blijven informeren en de mensen om ons heen proberen bij te brengen wat wel en niet handig is.
Zo heb ik ooit kunnen voorkomen dat zowel bij klm als bij cmg het 'i love you' virus groots doorbrak. Gewoon elkaar ff een handje helpen.
18-11-2013, 13:02 door [Account Verwijderd]
Ik ben blij dat ik nog steeds Faceloos ben. Klikderklikklak op een .exe is vragen om problemen.
Installeer en/of open alléén .exe (en andere uitvoerbare bestanden) indien ze afkomstig is/zijn van betrouwbare bronnen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.