Maar wordt Carberp zo ondertussen al wel herkent?

Interessant onderzoek van Jim McKenney!
Ca. 350 computers draaiden nog XP SP2, je kunt er donder op zeggen dat die niet (volledig) geüpdate waren. Nog eens bijna 150 draaiden XP SP3. Gebruikelijk is dat XP gebruikers als lid van de groep Administrators inloggen (meestal zonder dat ze zich dat realiseren).

Administrators moeten nou eenmaal antivirus producten kunnen installeren en verwijderen. Malware die zij starten heeft natuurlijk dezelfde rechten. Geen wonder dat het de malware dan lukt om de geïnstalleerde antivirus software uit te schakelen of te corrumperen. Bovendien is de malware dan, zonder problemen, in staat een Ring 0 bootkit/rootkit te installeren, waarna de malware zich voor de meeste antivirusproducten (ook als die weer worden gerepareerd) verborgen kan blijven houden.

Besmetting vond, volgens Jim McKenney, vooral plaats via Java exploits (op gecompromitteerde websites) of gemanipuleerde PDF files (gespammed). Echter, hoe hij dat heeft bepaald weet ik niet, dit is in mijn ervaring vlak na compromittering vaak al lastig vast te stellen, laat staan na enkele maanden.

Maar als het correct is wat Jim schrijft, waren deze besmettingen eenvoudig te voorkomen geweest door:
- standaard niet als lid van de Administrators groep in te loggen, maar een ordinary user account te gebruiken, -en-
- alle gevoelige software op de PC (Windows +IE, ander webbrowsers dan IE, (MS) Office, Java, Adobe Reader en Flash, QuickTime, media players en alle webbrowser plugins) up-to-date te houden.

De beveiligingssoftware is dan een vangnet voor eventuele 0-day exploits en trojans (waarbij de gebuiker om de tuin geleid wordt). De kans is groot dat antivirus de malware niet meteen detecteert, maar vaak gebeurt dit wel binnen enkele dagen. Voorwaarde is dat de malware geen rootkit heeeft kunnen installeren en antivirus goed blijft werken (en zichzelf updaten).

Tip: als je antivirus (of internet security) product een wachtwoord ondersteunt voor het wijzigen van instellingen, gebruik dat dan; helaas bestaat er nogal wat beveiligingssoftware waarbij ook non-privileged gebruikers instellingen kunnen wijzigen (of soms zelfs de de beveiligingssoftware uitzetten). Dat wachtwoord hoeft niet mega ingewikkeld te zijn en je mag het best op een geeltje schrijven die je op je monitor plakt (tenzij je huisgenoten hebt die hun verantwoordelijkheid (nog) niet kunnen of willen nemen). Geef kinderen gewone user accounts (dus geen UAC) op de PC waarop je internetbankiert.

Het is zeer verontrustend dat een als zo goed bekend staande en dure virusscanner als norton 360 zo makkelijk uit te schakelen is,dit zou niet mogen gebeuren.Norton heeft een ingebouwde beveilings tegen uitschakeling en manipulatie vd scanner (anti-temper protection) en ook zelfcontrole (autofix).Deze falen dan schijnbaar geweldig.Norton moet dit probleem nu meteen aanpakken.Opvalend is ook dat Kaspersky schijnbaar de minst kwetsbare virusscanner is,zelfs Bitdefender die bij virusscan-tests als 1e eindigde faalt hier,en ook andere bekende namen zoals AVG,McAfee,ESET,Microsoft Security Essentials falen hier in zowel malware herkenning &verwijdering als ook in zelfbescherming.Een zeer verontrustende ontwikkeling die weer eens aantoont dat het internet en de pc's steeds kwetsbaarder en onveiliger worden en vraagt om nieuwe rigoreuze herontwikkeling van zowel de computer als het gehele internet zelf.

Ik vind dit toch interessant. Als ik namelijk als Admin een proces of service van de virusscanner probeer te 'killen' krijg ik mooi een foutmelding dat ik dat niet mag. Als ik de virusscanner wil de-installeren krijg ik eerst een 'Weet u het heel zeker' scherm. Zelfs als ik de virusscanner vanuit zijn menu uitschakel word ik overladen door waarschuwingen en na ongeveer een halfuur ploept hij vanzelf weer aan.

Blijkbaar heeft de gemiddelde anti-virus boer er rekening mee gehouden dat gebruikers -per ongeluk- processen en dat soort gedoe uitschakelen, maar is het onder water best te doen.

Daarnaast is voor veel anti-virus pakketten XP SP3 een minimale systeem eis. Al met al weer een dekke faal.

Natuurlijk heeft de betere virusscanner methodes (net als malware trouwens) die voorkomt dat ze al te makkelijk kan worden uitgeschakeld. Maar ik kan je verzekeren dat het niet erg moeilijk is om een scanner te corrumperen. Al was het maar omdat je als Admin bestanden bij de eerstvolgende reboot kunt laten verplaatsen (en dus verwijderen; op dat moment is AV nog niet actief en kan zichzelf dus niet verdedigen). Verwijderen van directories (en ze vervangen door bestanden die je kromme permissies geeft) onder All Users\AppData\<naam van security software provider> is over het algemeen ook desastreus voor het update proces. Het is onmogelijk om als AV boer op dit soort sabotageacties te anticiperen. Niet als admin surfen is hier echt de beste oplossing.

Ik snap h'm. Thnx!