image

80% Carberp-slachtoffers gebruikte virusscanner

zaterdag 28 juli 2012, 15:40 door Redactie, 7 reacties

Ruim 80% van de slachtoffers van de Carberp Trojan gebruikten een virusscanner, maar die waren geen partij voor de malware. Dat blijkt uit een onderzoek van beveiligingsonderzoeker Jim McKenney. Carberp was speciaal ontwikkeld om geld van online bankrekeningen te stelen en was ook actief in Nederland. De malware verspreidde zich via drive-by downloads op websites en via e-mail bijlagen waarin een exploit zat verstopt.

Anti-virus
Eenmaal actief op een systeem schakelde Carberp bepaalde functies van de virusscanner uit, zoals actieve bescherming en updates, of verminkte de virusscanner, waardoor het leek alsof de scanner nog functioneerde terwijl dit in werkelijkheid niet zo was, of dat scanner met verminderde capaciteit functioneerde.

Van de 603 computers die McKenney onderzocht hadden er 499 (83%) een virusscanner. In alle gevallen werden de virusscanners door het Trojaanse paard verslagen. Op de meeste systemen draaide Symantec's Norton 360, gevolgd door AVG en Microsoft Security Essentials. De computers waren gemiddeld 243 dagen (8 maanden) geïnfecteerd voordat de infectie werd opgemerkt en verwijderd.

Identiteit
Het Carberp-botnet dat McKenney onderzocht bleek allerlei informatie over de slachtoffers op te slaan om zo een "identiteit" op te bouwen. Zo werd het gebruik van individuen en complete gezinnen bijgehouden, waaronder het soort gebruik van de computer. Aan de hand hiervan werd een bepaalde waarde aan de geïnfecteerde machine toegekend.

Volgens de onderzoeker was het de makers vooral te doen om een klein botnet te bouwen, maar langer op de besmette systemen actief te blijven.

Reacties (7)
28-07-2012, 17:16 door Anoniem
Maar wordt Carberp zo ondertussen al wel herkent?
28-07-2012, 17:24 door [Account Verwijderd]
[Verwijderd]
28-07-2012, 22:21 door Bitwiper
Interessant onderzoek van Jim McKenney!
Door Peter V: Dat virussen anti-virus aanvalt is toch niet nieuw? Daar was toch bescherming voor ingebouwd?

Of heeft het anti-virus consortium zitten slapen?
Ca. 350 computers draaiden nog XP SP2, je kunt er donder op zeggen dat die niet (volledig) geüpdate waren. Nog eens bijna 150 draaiden XP SP3. Gebruikelijk is dat XP gebruikers als lid van de groep Administrators inloggen (meestal zonder dat ze zich dat realiseren).

Administrators moeten nou eenmaal antivirus producten kunnen installeren en verwijderen. Malware die zij starten heeft natuurlijk dezelfde rechten. Geen wonder dat het de malware dan lukt om de geïnstalleerde antivirus software uit te schakelen of te corrumperen. Bovendien is de malware dan, zonder problemen, in staat een Ring 0 bootkit/rootkit te installeren, waarna de malware zich voor de meeste antivirusproducten (ook als die weer worden gerepareerd) verborgen kan blijven houden.

Besmetting vond, volgens Jim McKenney, vooral plaats via Java exploits (op gecompromitteerde websites) of gemanipuleerde PDF files (gespammed). Echter, hoe hij dat heeft bepaald weet ik niet, dit is in mijn ervaring vlak na compromittering vaak al lastig vast te stellen, laat staan na enkele maanden.

Maar als het correct is wat Jim schrijft, waren deze besmettingen eenvoudig te voorkomen geweest door:
- standaard niet als lid van de Administrators groep in te loggen, maar een ordinary user account te gebruiken, -en-
- alle gevoelige software op de PC (Windows +IE, ander webbrowsers dan IE, (MS) Office, Java, Adobe Reader en Flash, QuickTime, media players en alle webbrowser plugins) up-to-date te houden.

De beveiligingssoftware is dan een vangnet voor eventuele 0-day exploits en trojans (waarbij de gebuiker om de tuin geleid wordt). De kans is groot dat antivirus de malware niet meteen detecteert, maar vaak gebeurt dit wel binnen enkele dagen. Voorwaarde is dat de malware geen rootkit heeeft kunnen installeren en antivirus goed blijft werken (en zichzelf updaten).

Tip: als je antivirus (of internet security) product een wachtwoord ondersteunt voor het wijzigen van instellingen, gebruik dat dan; helaas bestaat er nogal wat beveiligingssoftware waarbij ook non-privileged gebruikers instellingen kunnen wijzigen (of soms zelfs de de beveiligingssoftware uitzetten). Dat wachtwoord hoeft niet mega ingewikkeld te zijn en je mag het best op een geeltje schrijven die je op je monitor plakt (tenzij je huisgenoten hebt die hun verantwoordelijkheid (nog) niet kunnen of willen nemen). Geef kinderen gewone user accounts (dus geen UAC) op de PC waarop je internetbankiert.
29-07-2012, 06:18 door Anoniem
Het is zeer verontrustend dat een als zo goed bekend staande en dure virusscanner als norton 360 zo makkelijk uit te schakelen is,dit zou niet mogen gebeuren.Norton heeft een ingebouwde beveilings tegen uitschakeling en manipulatie vd scanner (anti-temper protection) en ook zelfcontrole (autofix).Deze falen dan schijnbaar geweldig.Norton moet dit probleem nu meteen aanpakken.Opvalend is ook dat Kaspersky schijnbaar de minst kwetsbare virusscanner is,zelfs Bitdefender die bij virusscan-tests als 1e eindigde faalt hier,en ook andere bekende namen zoals AVG,McAfee,ESET,Microsoft Security Essentials falen hier in zowel malware herkenning &verwijdering als ook in zelfbescherming.Een zeer verontrustende ontwikkeling die weer eens aantoont dat het internet en de pc's steeds kwetsbaarder en onveiliger worden en vraagt om nieuwe rigoreuze herontwikkeling van zowel de computer als het gehele internet zelf.
30-07-2012, 11:28 door Mysterio
Door Bitwiper: Interessant onderzoek van Jim McKenney!
Door Peter V: Dat virussen anti-virus aanvalt is toch niet nieuw? Daar was toch bescherming voor ingebouwd?

Of heeft het anti-virus consortium zitten slapen?
Ca. 350 computers draaiden nog XP SP2, je kunt er donder op zeggen dat die niet (volledig) geüpdate waren. Nog eens bijna 150 draaiden XP SP3. Gebruikelijk is dat XP gebruikers als lid van de groep Administrators inloggen (meestal zonder dat ze zich dat realiseren).

Administrators moeten nou eenmaal antivirus producten kunnen installeren en verwijderen. Malware die zij starten heeft natuurlijk dezelfde rechten. Geen wonder dat het de malware dan lukt om de geïnstalleerde antivirus software uit te schakelen of te corrumperen. (..)
Ik vind dit toch interessant. Als ik namelijk als Admin een proces of service van de virusscanner probeer te 'killen' krijg ik mooi een foutmelding dat ik dat niet mag. Als ik de virusscanner wil de-installeren krijg ik eerst een 'Weet u het heel zeker' scherm. Zelfs als ik de virusscanner vanuit zijn menu uitschakel word ik overladen door waarschuwingen en na ongeveer een halfuur ploept hij vanzelf weer aan.

Blijkbaar heeft de gemiddelde anti-virus boer er rekening mee gehouden dat gebruikers -per ongeluk- processen en dat soort gedoe uitschakelen, maar is het onder water best te doen.

Daarnaast is voor veel anti-virus pakketten XP SP3 een minimale systeem eis. Al met al weer een dekke faal.
30-07-2012, 18:44 door Bitwiper
Door Mysterio: Ik vind dit toch interessant. Als ik namelijk als Admin een proces of service van de virusscanner probeer te 'killen' krijg ik mooi een foutmelding dat ik dat niet mag. Als ik de virusscanner wil de-installeren krijg ik eerst een 'Weet u het heel zeker' scherm. Zelfs als ik de virusscanner vanuit zijn menu uitschakel word ik overladen door waarschuwingen en na ongeveer een halfuur ploept hij vanzelf weer aan.

Blijkbaar heeft de gemiddelde anti-virus boer er rekening mee gehouden dat gebruikers -per ongeluk- processen en dat soort gedoe uitschakelen, maar is het onder water best te doen.
Natuurlijk heeft de betere virusscanner methodes (net als malware trouwens) die voorkomt dat ze al te makkelijk kan worden uitgeschakeld. Maar ik kan je verzekeren dat het niet erg moeilijk is om een scanner te corrumperen. Al was het maar omdat je als Admin bestanden bij de eerstvolgende reboot kunt laten verplaatsen (en dus verwijderen; op dat moment is AV nog niet actief en kan zichzelf dus niet verdedigen). Verwijderen van directories (en ze vervangen door bestanden die je kromme permissies geeft) onder All Users\AppData\<naam van security software provider> is over het algemeen ook desastreus voor het update proces. Het is onmogelijk om als AV boer op dit soort sabotageacties te anticiperen. Niet als admin surfen is hier echt de beste oplossing.
02-08-2012, 09:31 door Mysterio
Door Bitwiper:
Door Mysterio: Ik vind dit toch interessant. Als ik namelijk als Admin een proces of service van de virusscanner probeer te 'killen' krijg ik mooi een foutmelding dat ik dat niet mag. Als ik de virusscanner wil de-installeren krijg ik eerst een 'Weet u het heel zeker' scherm. Zelfs als ik de virusscanner vanuit zijn menu uitschakel word ik overladen door waarschuwingen en na ongeveer een halfuur ploept hij vanzelf weer aan.

Blijkbaar heeft de gemiddelde anti-virus boer er rekening mee gehouden dat gebruikers -per ongeluk- processen en dat soort gedoe uitschakelen, maar is het onder water best te doen.
Natuurlijk heeft de betere virusscanner methodes (net als malware trouwens) die voorkomt dat ze al te makkelijk kan worden uitgeschakeld. Maar ik kan je verzekeren dat het niet erg moeilijk is om een scanner te corrumperen. Al was het maar omdat je als Admin bestanden bij de eerstvolgende reboot kunt laten verplaatsen (en dus verwijderen; op dat moment is AV nog niet actief en kan zichzelf dus niet verdedigen). Verwijderen van directories (en ze vervangen door bestanden die je kromme permissies geeft) onder All Users\AppData\<naam van security software provider> is over het algemeen ook desastreus voor het update proces. Het is onmogelijk om als AV boer op dit soort sabotageacties te anticiperen. Niet als admin surfen is hier echt de beste oplossing.
Ik snap h'm. Thnx!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.