image

Microsoft verwijdert Tor van 2 miljoen eerder besmette pc's

vrijdag 10 januari 2014, 12:42 door Redactie, 4 reacties

Microsoft heeft van ruim 2 miljoen computers die met malware besmet zijn geweest de Tor-anonimiseringssoftware verwijderd die door de malware was achtergelaten. Tor is software waarmee internetgebruikers hun IP-adres kunnen verbergen en gecensureerde sites kunnen bezoeken.

Halverwege augustus vorig jaar kende het Tor-netwerk opeens een gigantische toename van het aantal gebruikers. In korte tijd steeg het aantal gebruikers van zo'n 800.000 naar meer dan 5,5 miljoen. Uiteindelijk bleek de Mevade-malware, ook bekend als Sefnit, verantwoordelijk te zijn. De botnetbeheerders hadden op besmette computers de Tor-software geïnstalleerd, om vervolgens via Tor met de geïnfecteerde computers te communiceren.

Sefnit laat besmette computers delven naar de digitale munt Bitcoin en gebruikt ze voor het plegen van clickfraude. Hierbij veroorzaakt de malware clicks op advertenties, waar de beheerders van het botnet uiteindelijk van profiteren.

Beveiligingsprobleem

Microsoft merkt op dat door de installatie van de Tor-software een beveiligingsprobleem is ontstaan. Zelfs als Sefnit van het systeem verwijderd wordt, blijft de Tor-software achter en maakt nog steeds verbinding met het Tor-netwerk. In het verleden zijn er daarnaast regelmatig ernstige lekken in Tor ontdekt, waardoor een aanvaller kwetsbare computers kon overnemen. In de Tor-versie die Sefnit installeerde zijn tot nu toe geen ernstige of kritieke kwetsbaarheden bekend, maar dat zou in de toekomst kunnen veranderen.

Daarom besloot Microsoft in overleg met het Tor Project, het team dat de Tor-software ontwikkelt, ook de achtergebleven Tor-installaties te verwijderen, door detectie ervan aan Security Essentials, Windows Defender op Windows 8, Windows Defender Online, Microsoft Safety Scanner, Microsoft System Center Endpoint Protection en de Malicious Software Removal Tool toe te voegen. Inmiddels zijn ruim twee miljoen computers helemaal opgeschoond.

Verwijderen

Op zo'n twee miljoen computers is de Tor-software nog steeds aanwezig, vermoedelijk omdat deze gebruikers geen Microsoft beveiligingssoftware gebruiken, zo laat de softwaregigant weten. Microsoft adviseert thuisgebruikers en systeembeheerders dan ook om de gratis Microsoft Safety Scanner te draaien, die eventueel achtergebleven Tor-installaties kan verwijderen. Inmiddels is de informatie over het potentiële Tor-probleem met andere beveiligingsbedrijven gedeeld, zodat die ook actie kunnen ondernemen.

Image

Reacties (4)
10-01-2014, 13:18 door Jvds1987 - Bijgewerkt: 10-01-2014, 13:19
Dus als ik dit artikel goed begrijp dan blijft Tor nadat de malware zelf is verwijderd achter en heeft microsoft (vreemd genoeg met medewerking van Tor zelf) besloten de software te verwijderen.

"Zelfs als Sefnit van het systeem verwijderd wordt, blijft de Tor-software achter en maakt nog steeds verbinding met het Tor-netwerk". --> Ik maak hier niet uit op dat dit een beveiligingsprobleem zou zijn of dat hierdoor de botnet beheerders alsnog toegang hebben, zeker niet gezien in de tekst het volgende staat

"In de Tor-versie die Sefnit installeerde zijn tot nu toe geen ernstige of kritieke kwetsbaarheden bekend, maar dat zou in de toekomst kunnen veranderen".

Kan microsoft dan niet meteen windows ook deinstalleren want wie weet zit daarin ook wel een lek ....

of begrijp ik dit artikel niet goed ?
10-01-2014, 13:29 door Anoniem
Door St0n3D: Dus als ik dit artikel goed begrijp dan blijft Tor nadat de malware zelf is verwijderd achter en heeft microsoft (vreemd genoeg met medewerking van Tor zelf) besloten de software te verwijderen.

"Zelfs als Sefnit van het systeem verwijderd wordt, blijft de Tor-software achter en maakt nog steeds verbinding met het Tor-netwerk". --> Ik maak hier niet uit op dat dit een beveiligingsprobleem zou zijn of dat hierdoor de botnet beheerders alsnog toegang hebben, zeker niet gezien in de tekst het volgende staat

"In de Tor-versie die Sefnit installeerde zijn tot nu toe geen ernstige of kritieke kwetsbaarheden bekend, maar dat zou in de toekomst kunnen veranderen".

Kan microsoft dan niet meteen windows ook deinstalleren want wie weet zit daarin ook wel een lek ....

of begrijp ik dit artikel niet goed ?

mijn eerste gedachte was dezelfde als die van jou :)
maar waarschijnlijk is het geen volledige TOR installatie maar een soort van plugin zonder browser.
10-01-2014, 14:00 door TorProject - Bijgewerkt: 10-01-2014, 14:01
Door St0n3D: Dus als ik dit artikel goed begrijp dan blijft Tor nadat de malware zelf is verwijderd achter
Ja. Microsoft wilde in verband met de false postives niet meteen de Tor installatie mee opschonen. Men was bang dat ook de niet malware-installaties misschien stuk zouden gaan.

Door St0n3D: "Zelfs als Sefnit van het systeem verwijderd wordt, blijft de Tor-software achter en maakt nog steeds verbinding met het Tor-netwerk". --> Ik maak hier niet uit op dat dit een beveiligingsprobleem zou zijn of dat hierdoor de botnet beheerders alsnog toegang hebben
De botnet-beheerders zullen geen toegang meer hebben tot het systeem, maar de los geïnstalleerde tor.exe draait nog wel.
Op zich is een verbinding maken met het Tor-netwerk niet schadelijk, maar het zal hier niets nuttigs doen. De eindgebruiker zal van dit Tor-proces last kunnen krijgen zoals extra netwerkverkeer, weer een extra onderdeel dat de computer trager maakt, en de gebruiker kan dit stukje code niet onderhouden.
Dat laatste is vooral gevaarlijk: stel men vind een fout/lek in het Tor-proces, kan men er niets aan doen. Men kan het niet uitschakelen of updaten.
Ook voegen deze gebruikers niets nuttigs aan het Tor-netwerk toe, het alleen maar extra vertragingen/belasting opleveren.
10-01-2014, 16:07 door Jvds1987
Door TorProject:
Door St0n3D: Dus als ik dit artikel goed begrijp dan blijft Tor nadat de malware zelf is verwijderd achter
Ja. Microsoft wilde in verband met de false postives niet meteen de Tor installatie mee opschonen. Men was bang dat ook de niet malware-installaties misschien stuk zouden gaan.

Door St0n3D: "Zelfs als Sefnit van het systeem verwijderd wordt, blijft de Tor-software achter en maakt nog steeds verbinding met het Tor-netwerk". --> Ik maak hier niet uit op dat dit een beveiligingsprobleem zou zijn of dat hierdoor de botnet beheerders alsnog toegang hebben
De botnet-beheerders zullen geen toegang meer hebben tot het systeem, maar de los geïnstalleerde tor.exe draait nog wel.
Op zich is een verbinding maken met het Tor-netwerk niet schadelijk, maar het zal hier niets nuttigs doen. De eindgebruiker zal van dit Tor-proces last kunnen krijgen zoals extra netwerkverkeer, weer een extra onderdeel dat de computer trager maakt, en de gebruiker kan dit stukje code niet onderhouden.
Dat laatste is vooral gevaarlijk: stel men vind een fout/lek in het Tor-proces, kan men er niets aan doen. Men kan het niet uitschakelen of updaten.
Ook voegen deze gebruikers niets nuttigs aan het Tor-netwerk toe, het alleen maar extra vertragingen/belasting opleveren.

Kijk dat is nog eens een verhelderende uitleg ! Kan me voorstellen dat vanwege de extra belasting/vertraging (en de ksoten die dit met zich meebrengt) Tor mee heeft meegeholpen aan deze actie. Als ik eerlijk ben vind ik het artikel dan niet echt handig verwoord, maar dat is mijn mening ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.