image

Malware voor internetbankieren verstopt zich in geheugen

dinsdag 17 december 2013, 12:33 door Redactie, 18 reacties

Een Trojaans paard dat ontwikkeld is om geld van online bankrekeningen te stelen heeft een update gekregen waardoor het zich in het geheugen van de computer kan verstoppen, wat detectie door virusscanners lastiger moet maken. Daarvoor waarschuwt het Duitse anti-virusbedrijf G Data.

De Bebloh banking Trojan bestaat al enkele jaren, maar was nooit echt een succes onder cybercriminelen, die eerder voor bekende Trojaanse paarden zoals Zeus, Citadel en Sinowal kozen. In november had Bebloh echter een plek in de top 3 van meest gedetecteerde banking Trojans veroverd, aldus G Data. Het bleek om een nieuwe versie te gaan, die voor 25% ten opzichte van de bekende varianten was aangepast.

Geheugen

De aanpassingen aan de nieuwe versie zorgen er onder andere voor dat Bebloh zodra het op een systeem actief wordt zich in het explorer.exe proces injecteert en het originele malware-bestand van de harde schijf verwijdert. Daardoor is de malware alleen in het geheugen en niet meer op de harde schijf te vinden, en kan zich zo voor virusscanners verbergen. Doordat de malware alleen in het geheugen actief is zou een herstart in dit geval het einde van de malware betekenen, maar daarvoor heeft Bebloh een oplossing bedacht.

Zodra het doorheeft dat de gebruiker de computer afsluit of wil herstarten, schrijft de malware zichzelf gauw naar de harde schijf en maakt een verwijzing aan zodat de malware bij het opstarten weer wordt geladen. Daarbij wordt de bestandsnaam die Bebloh gebruikt elke keer willekeurige gegeneerd. Bij elke herstart heeft de malware dan ook een andere naam.

Gebruikers kunnen de malware voorkomen door geen ongevraagde e-mailbijlagen te openen. De malware zou zich namelijk verspreiden via een e-mailbijlage die beweert een vluchtreservering te zijn.

Image

Reacties (18)
17-12-2013, 13:12 door Anoniem
Dus niet netjes afsluiten, maar de stekker uit je computer halen (en eventueel accu indien het een laptop betreft).
17-12-2013, 14:04 door [Account Verwijderd] - Bijgewerkt: 17-12-2013, 14:10
[Verwijderd]
17-12-2013, 14:05 door Anoniem
Dus: 1× de stekker uit de computer trekken is genoeg om deze malware te verwijderen.
17-12-2013, 14:24 door Anoniem
En onderin het artikel staat toch duidelijk : Gebruikers kunnen de malware voorkomen door geen ongevraagde e-mailbijlagen te openen. De malware zou zich namelijk verspreiden via een e-mailbijlage die beweert een vluchtreservering te zijn.
17-12-2013, 15:29 door mvh69 - Bijgewerkt: 17-12-2013, 15:33
"De aanpassingen aan de nieuwe versie zorgen er onder andere voor dat Bebloh zodra het op een systeem actief wordt zich in het explorer.exe proces injecteert en het originele malware-bestand van de harde schijf verwijdert. "

Ik vind bovenstaande tips erg vermakelijk , waarom accu's en al uit een laptop halen om simpele malware die alleen in explorer.exe zit te killen ?

1: start taskmanager (evt. met admin rechten)
2: kill explorer.exe
3: start een nieuwe instance van explorer.exe (met taskmanager) , of (indien gewenst) windows opnieuw opstarten (kan ook met taskmanager)

Moeilijk he ?

ps. indien het zich in meer processen injecteerd dan alleen explorer.exe , dan voor die processen simpelweg dezelfde methode gebruiken , is echt kinderlijk eenvoudig.
17-12-2013, 15:33 door [Account Verwijderd] - Bijgewerkt: 17-12-2013, 15:35
[Verwijderd]
17-12-2013, 15:40 door [Account Verwijderd]
[Verwijderd]
17-12-2013, 15:43 door Anoniem
Het is altijd zo jammer. Dat er over een virus/malware wordt besproken en niet over het opsporings methode als jouw PC besmet is.

Enne, een PC uit de stekker halen is niet altijd handig. I.v.m beschadigen bestanden op de harddisk.
17-12-2013, 15:49 door Anoniem
Mensen moeten gewooon niet zo dom zijn om email te openen die niet voor hen bestemd is.
Waarom open je een email met een reservering als je helemaal geen reservering hebt gemaakt ?

Je hoeft dan ook de stekker er niet uit te trekken en alle bovenstaande "expert tips" te volgen, gewoon zelf de grijze massa gebruiken.

Gr,
Johan
17-12-2013, 18:21 door mvh69 - Bijgewerkt: 17-12-2013, 18:35
Door Peter V.:
Door mvh69:
Ik vind bovenstaande tips erg vermakelijk
Hoe lang jij in de computerbusiness zit weet ik niet, maar dat kan nooit erg lang zijn.

Elk geheugen-virus kon je in de jaren 90 tot en met de dag van vandaag killen door de accu en de stroom eraf te halen.
Moeilijk he?


Nog niet zo heel erg lang , ongeveer 25 jaar.

Bovendien snap ik niet waarom ik achter mijn buro zou moeten kruipen en stekkers los zou moeten trekken als het zo simpel kan als ik in mijn eerdere reactie melde , jou methode lijkt mij toch echt nodeloos ingewikkeld , en zoals anoniem van 15:43 al melde , de computer niet op de normale wijze afsluiten maar de stekker er uit trekken (hoeft niet) maar kan tot oa beschadiging van het bestand systeem leiden :)


ps. Ik heb een redelijke verzameling malware hier , laats nog getest met een exemplaar van Zbot , die net als Bebloh zichzelf in explorer.exe injecteerd , daarnaast injecteerd die zichzelf ook in veel andere processen zoals svchost.exe , bovendien zorgt die er voor dat hij na een (gewone) reboot (of nadat iemand de stekker er uit haalt) opnieuw opstart.
Zbot staat er overigens om bekend dat hij makkelijk te detecteren , maar zeer lastig te verwijderen is , omdat zodra je een van de processen die geinjecteerd is killed en opnieuw opstart dat process opnieuw word geinjecteerd vanuit een van de andere processen die nog draait. En toch kan je Zbot ook op bovenstaande methode redelijk makkelijk verwijderen. Ik spreek dus uit ervaring :)
17-12-2013, 18:39 door Anoniem
Ik zit de reacties met verbazing te lezen, dat is niet omdat ik geen win-pc heb.

In de eerste plaats moet je weten dàt je geïnfecteerd bent, door welke signalen wordt je daarop geattendeerd en zijn een reden actie te gaan ondernemen?

Ik vraag me af welk stekkerje los zit dat maakt dat andere stekkertjes direct los moeten. Verder, een accu eruit gaat nog wel, op zoek naar het batterijtje in je desktop is een ander verhaal.

Wat is er mis met een reboot met een antiviruscd-tje?
Wanneer definities van de virusvarianten bekend zijn kunnen deze door de scanner gedetecteerd worden op de harde schijf, na een opstart zit het niet meer in het geheugen maar staat het op je harddisk, opstart van een cd laat de verwijzing die de malware op de harddisk achterlaat ongemoeid waardoor het ook niet automatisch gewist wordt voordat de virusscanner de files onschadelijk kan maken.

Regelmatig, uit voorzorg of bij een vermoeden van een infectie, direct een stekker of een accu eruit trekken zal, als opgemerkt hier, de levensduur van sommige device componenten aanmerkelijk bekorten.

Opstartcd dus, goede reden om dan ook maar te gaan internetbankieren vanaf een opstartcd-tje, die kan niet beschreven worden door malware, een usbimage misschien weer wel.
17-12-2013, 19:14 door Anoniem
Door mvh69:
Door Peter V.:
Door mvh69:
Ik vind bovenstaande tips erg vermakelijk
Hoe lang jij in de computerbusiness zit weet ik niet, maar dat kan nooit erg lang zijn.

Elk geheugen-virus kon je in de jaren 90 tot en met de dag van vandaag killen door de accu en de stroom eraf te halen.
Moeilijk he?


Nog niet zo heel erg lang , ongeveer 25 jaar.

Op zich zegt dat niets , je hebt ook van die chauffeurs die al 25 jaar op de weg zitten en er nog niets van bakken.


ps. Ik heb een redelijke verzameling malware hier , laats nog getest met een exemplaar van Zbot , die net als Bebloh zichzelf in explorer.exe injecteerd , daarnaast injecteerd die zichzelf ook in veel andere processen zoals svchost.exe , bovendien zorgt die er voor dat hij na een (gewone) reboot (of nadat iemand de stekker er uit haalt) opnieuw opstart.
Zbot staat er overigens om bekend dat hij makkelijk te detecteren , maar zeer lastig te verwijderen is , omdat zodra je een van de processen die geinjecteerd is killed en opnieuw opstart dat process opnieuw word geinjecteerd vanuit een van de andere processen die nog draait. En toch kan je Zbot ook op bovenstaande methode redelijk makkelijk verwijderen. Ik spreek dus uit ervaring :)
17-12-2013, 19:35 door Ivanhoe - Bijgewerkt: 17-12-2013, 20:50
Een laptop 'hard' uitzetten om de malware kwijt te raken, kan toch ook wel zo denk ik (want dan hoef je de laptop niet te bewegen terwijl de HDD nog actief is), of kan de malware ook dan nog in het geheugen blijven hangen?
EDIT: En in hoeverre zorgt de CMOS-batterij er nog voor dat de malware in het geheugen kan blijven hangen of nu al c.q. ter zijner tijd in staat is om zich naar de BIOS te dupliceren?
1. Adapter en batterij gewoon laten zitten en de aan/uit-knop ingedrukt houden tot de laptop uitschakelt.
2. Adapter loskoppelen en de batterij verwijderen.
3. Aan/uit-knop 15 tot 30 tellen ingedrukt houden en laptop daarna nog een paar minuten met rust laten misschien.
4. Batterij en adapter weer plaatsen en de laptop is wat deze malware betreft weer 'schoon' voor gebruik.

Wat ik me aan de hand van dit verhaal daarnaast nog afvraag is of een programma als Process Explorer echt alle processen die geladen zijn in het geheugen ook daadwerkelijk 'vindt', want het lijkt mij dat een beetje malware(schrijver) wel op de hoogte is van Process Explorer en zijn activiteit daarvoor zal willen verbergen.
Zijn er ook gratis programma's die het geheugen 'scannen' en zich niet zullen laten neppen door malware?
17-12-2013, 20:33 door mvh69
@ Ivanhoe , Process Explorer zal dit niet detecteren , de malware zit immers in explorer.exe geinjecteerd en draait niet als een apart process .

@ anoniem van 19:14 , ga lekker terug naar fok om daar te trollen :)
17-12-2013, 20:51 door Ivanhoe
Door mvh69: @ Ivanhoe , Process Explorer zal dit niet detecteren , de malware zit immers in explorer.exe geinjecteerd en draait niet als een apart process.
Ai! Missertje. Bedankt.
17-12-2013, 22:12 door mvh69
@Ivanhoe , als het goed is kan de CMOS batterij er niet voor zorgen dat de malware actief blijft in het geheugen . Ik hou hier enige slag om de arm omdat gezien de huidige onthullingen rond de NSA niets meer onmogelijk lijkt .
De kans dat malware in de BIOS terecht komt is niet ondenkbaar , in het verleden zijn er al meerdere virussen geweest die dat konden . En dat kan ook de BIOS van een video kaart of een dvd speler/brander zijn (alhoewel ik daar geen voorbeelden van ken).

Als je een laptop via de aan/uit knop uitzet dan dacht ik dat windows op de "normale" manier word afgesloten en dan zou deze malware dus alsnog de tijd hebben om zichzelf naar een bestand op de harddisk weg te schrijven . Dat zou betekenen dat je er dus niet van af bent. Ook als je de aan/uit knop 10 seconden ingedrukt houdt (om hem geforceerd uit te schakelen) dan nog zou de malware dus tijd genoeg hebben om zichzelf naar de harddisk weg te schrijven , ondanks dat de laptop dan halverwege het "normale" windows afsluit proces door de BIOS word uitgeschakeld.

Je vroeg ook of er gratis tools zijn die dit wel in het geheugen kunnen detecteren , helaas ben ik even vergeten of sommige van de uitgebreide tools die ik gebruik dit inderdaad detecteren. Als het even lukt wil ik mezelf morgen nog even met die Zbot malware infecteren om dat uit te testen. Dan laat ik het je hier nog wel even weten.

Aan de andere kant kunnen security pakketten met HIPS functionaliteit (zoals Comodo , zij noemen het Defense+) dit soort injecties makkelijk detecteren en blokkeren , maar meestal zal je dan de standaard configuratie weg moeten gooien en zelf aan het stoeien gaan met de instellingen.

ps. @ Peter V. Ik denk dat jij nog te veel met memory resistant malware (uit het dos tijdperk) in je hoofd zit , daar is hier echter geen sprake van (explorer.exe is echt weg als het proces gekilled is).
18-12-2013, 11:01 door Mysterio
Of gewoon EMET installeren en explorer.exe toevoegen als te controleren applicatie. Stekkers eruit trekken en dat soort onzin moet je alleen doen als je een goede backup en een nieuwe schijf hebt liggen.
18-12-2013, 11:52 door Anoniem
Door mvh69: @Ivanhoe , als het goed is kan de CMOS batterij er niet voor zorgen dat de malware actief blijft in het geheugen . Ik hou hier enige slag om de arm omdat gezien de huidige onthullingen rond de NSA niets meer onmogelijk lijkt .
De kans dat malware in de BIOS terecht komt is niet ondenkbaar , in het verleden zijn er al meerdere virussen geweest die dat konden . En dat kan ook de BIOS van een video kaart of een dvd speler/brander zijn (alhoewel ik daar geen voorbeelden van ken).

Als je een laptop via de aan/uit knop uitzet dan dacht ik dat windows op de "normale" manier word afgesloten en dan zou deze malware dus alsnog de tijd hebben om zichzelf naar een bestand op de harddisk weg te schrijven . Dat zou betekenen dat je er dus niet van af bent. Ook als je de aan/uit knop 10 seconden ingedrukt houdt (om hem geforceerd uit te schakelen) dan nog zou de malware dus tijd genoeg hebben om zichzelf naar de harddisk weg te schrijven , ondanks dat de laptop dan halverwege het "normale" windows afsluit proces door de BIOS word uitgeschakeld.

Je vroeg ook of er gratis tools zijn die dit wel in het geheugen kunnen detecteren , helaas ben ik even vergeten of sommige van de uitgebreide tools die ik gebruik dit inderdaad detecteren. Als het even lukt wil ik mezelf morgen nog even met die Zbot malware infecteren om dat uit te testen. Dan laat ik het je hier nog wel even weten.

Aan de andere kant kunnen security pakketten met HIPS functionaliteit (zoals Comodo , zij noemen het Defense+) dit soort injecties makkelijk detecteren en blokkeren , maar meestal zal je dan de standaard configuratie weg moeten gooien en zelf aan het stoeien gaan met de instellingen.

ps. @ Peter V. Ik denk dat jij nog te veel met memory resistant malware (uit het dos tijdperk) in je hoofd zit , daar is hier echter geen sprake van (explorer.exe is echt weg als het proces gekilled is).
+1
Ik vind trouwens wel dat je erg veel aandacht besteed aan de huis-troll...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.