Nieuws
image

Digitale bankrover mijdt pc zonder smartcardlezer

woensdag 5 december 2012, 10:34 door Redactie, 10 reacties

Om te voorkomen dat anti-virusbedrijven malware kunnen vinden en analyseren, vermijden sommige malwaremakers computers zonder smartcardlezer. De meeste analyses van anti-virusbedrijven vinden in gevirtualiseerde omgevingen plaats. Deze virtual machines missen vaak onderdelen zoals een muis of smartcardlezer. Door naar deze zaken te kijken, kan de malware detecteren of het om een virtual machine gaat.

Is dit het geval, dan stopt de malware met werken. Het Finse F-Secure ontdekte een nieuwe variant van de Shylock banking Trojan. Deze malware is speciaal ontwikkeld om geld van online bankrekeningen te stelen.

Systeem
Naast de controle op de smartcardlezer kijkt Shylock ook naar het geheugen en de omvang van de harde schijf. Het systeem moet minimaal over 12GB ruimte en 256MB werkgeheugen beschikken, anders schakelt Shylock zichzelf uit. De virusbestrijder adviseert dan ook om de Smart Card service in Windows uit te schakelen. Dit zou niet alleen systeembronnen sparen, maar ook infecties door Shylock voorkomen.

Reacties (10)
05-12-2012, 10:59 door [Account Verwijderd]
[Verwijderd]
05-12-2012, 11:38 door SirDice
In hoeverre gaat dit ding uberhaubt werken in Nederland? Volgens mij gebruiken de meeste banken een losse reader en zit er dus ook geen smartcardlezer aan de computer.
05-12-2012, 11:42 door [Account Verwijderd]
[Verwijderd]
05-12-2012, 12:06 door AdVratPatat
Goede tip Peter, dit werkt exact hetzelfde voor alle andere Windows-versies overigens.

Er zijn nog veel meer services die de gemiddelde gebruiker absoluut niet nodig heeft en zelfs (bepaalde) veiligheidsrisico's (kunnen) vormen, zoals de DNS-client, Telnet, Remote Desktop, etc, voor mensen die het interessant vinden is dit een goed Engelstalig overzicht voor alle Windows versies: http://www.blackviper.com/windows-services/
05-12-2012, 12:08 door SirDice
Nu kun je de ABN Amro reader wel aan je PC koppelen. Maar ik vraag me af of dat dan als smartcardlezer wordt gezien. Ik heb 't nog nooit gedaan omdat 't java nodig heeft en ik sowieso niet gediend ben van dat "automatisch" invullen van de challenge/response.
05-12-2012, 12:32 door Anoniem
Door AdVratPatat: Goede tip Peter, dit werkt exact hetzelfde voor alle andere Windows-versies overigens.

Er zijn nog veel meer services die de gemiddelde gebruiker absoluut niet nodig heeft en zelfs (bepaalde) veiligheidsrisico's (kunnen) vormen, zoals de DNS-client, Telnet, Remote Desktop, etc, voor mensen die het interessant vinden is dit een goed Engelstalig overzicht voor alle Windows versies: http://www.blackviper.com/windows-services/
Telnet staat in Windows 7 standaard uit
05-12-2012, 12:34 door AdVratPatat
Door SirDice: In hoeverre gaat dit ding uberhaubt werken in Nederland? Volgens mij gebruiken de meeste banken een losse reader en zit er dus ook geen smartcardlezer aan de computer.
De Windows Smart Card service wordt enkel gedetecteerd om te "bepalen" of de malware in een virtuele omgeving draait of niet en heeft verder geen invloed op de payload. Dit is niet uniek, Shylock zelf heeft ook al eerder het nieuws gehaald door naar Remote Desktops te zoeken bijvoorbeeld. Dit is dus enkel een poging om onderzoekers van AV's en concurrenten te ontlopen.

Ook is Shylock al gebruikt om een live-chat venster met de geïnfecteerde gebruiker te openen om inlog-code's live te ontfutselen, wat ik erg verontrustend vind. http://www.trusteer.com/blog/speaking-devil-%E2%80%93-malware-adds-live-chat-commit-fraud

Overigens hebben alle Shylock varianten zowel rootkit als botnet-funtionaliteit, en is het platform al 2 jaar behoorlijk heftig in ontwikkeling.


Door SirDice: Nu kun je de ABN Amro reader wel aan je PC koppelen. Maar ik vraag me af of dat dan als smartcardlezer wordt gezien. Ik heb 't nog nooit gedaan omdat 't java nodig heeft en ik sowieso niet gediend ben van dat "automatisch" invullen van de challenge/response.
Dit wordt volgens mij nog steeds door Windows gezien en behandeld als een USB-device.


Door Anoniem: Telnet staat in Windows 7 standaard uit
Correct, in Vista en Win8 ook...
Vandaar ook de verwijzing voor de volledige lijst voor alle Windows versies, het is geen doen om daar hier aan te beginnen ;]

"Server" is er ook zo eentje voor de mensen die enkel één LAN-pc hebben staan thuis, voor alle Windows versies dan, bij twijfel is "Handmatig" altijd wel de beste.
05-12-2012, 16:35 door Anoniem
Hmmm. Deze wetenschap kan je natuurlijk ook vóór je laten werken, door bankzaken zelf in een virtuele machine te doen. Extra vangnetje tegen besmetting met bepaalde malware.
05-12-2012, 21:29 door Anoniem
Waarom staat dat smart card service ding eigenlijk aan? Wie heeft nou zoiets?

Bedankt voor de uitleg Peter V!


@AVP:
Bedankt voor de link, maar het zijn er zo veel! Zijn er nog meer van die services die wel aanstaan, maar niet nodig zijn?
Waarom? (En zeg nou niet 'zo is windows' aub)
06-12-2012, 13:20 door AdVratPatat
Door Anoniem: @AVP:
Bedankt voor de link, maar het zijn er zo veel! Zijn er nog meer van die services die wel aanstaan, maar niet nodig zijn?
Waarom? (En zeg nou niet 'zo is windows' aub)
Hangt af van je gebruikte hardware, OS, netwerk, software/ applicaties, etc, vandaar de link.

Een standaard Windows-installatie moet overal mee overweg kunnen (Plug and Play) maar daar zijn heel veel verschillende services voor nodig, dus die staan per definitie op "automatisch" of "handmatig".
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure