image

Windows-malware saboteert virusscanners

vrijdag 7 december 2012, 10:15 door Redactie, 6 reacties

In november heeft Microsoft om meer dan 83.000 computers een Trojaans paard aangetroffen dat geinstalleerde beveiligingssoftware saboteert. Het gaat om de Necurs Trojan, die zich via drive-by downloads verspreidt. Zodra gebruikers beveiligingsupdates niet installeren kunnen ze alleen door het bezoeken van gehackte of kwaadaardge websites door Necurs besmet raken.

Zodra de malware op de computer is schakelt die een groot aantal virusscanners en firewalls uit of zorgt ervoor dat deze niet meer volledig functioneren. Daarnaast probeert de malware zich op de computer te verbergen en wordt er aanvullende malware gedownload.

Deze aanvullende malware kan uit nep-virusscanners bestaan of spamsoftware, waardoor de computer wordt gebruikt voor het versturen van spam via Gmail.

Driver
Om zich te verbergen gebruikt Necurs een speciale driver die het mogelijk maakt om op 64-bit Windows-versie de PatchGuard kernelbescherming te omzeilen. Hierdoor kan de malware zich dieper op het systeem nestelen en is die lastiger te detecteren.

In het geval gebruikers Microsoft Security Essentials gebruiken, kan Necurs voor onverwachte problemen zorgen. "We hebben een aantal meldingen van gebruikers ontvangen dat ze problemen met de real-time bescherming van Microsoft Security Essentials hadden nadat hun computer opnieuw was gestart", zegt Tim Liu van het Microsoft Malware Protection Center.

Reacties (6)
07-12-2012, 10:26 door Above
Hoe kan dat nu? Ik lees net dat Windows Defender gebruikers redt. http://www.security.nl/artikel/44225/1/Microsoft%3A_Windows_Defender_redt_gebruikers.html

Als de realtime bescherming dus uitgeschakeld wordt hoe kun je dan als gebruiker gered worden heren van Microsoft?

Sarcasme mode off/
07-12-2012, 10:28 door [Account Verwijderd]
[Verwijderd]
07-12-2012, 12:56 door AdVratPatat
Door joey van hummel: Ik neem aan dat dit alleen werkt onder admin rechten? Of gebruikt het een exploit om ook onder restricted users te werken?
Vrijwel alle actieve rootkits (het zijn er te veel om op te noemen) zijn x64 en hebben GEEN administrator rechten meer nodig. Ook schakelen ze vrijwel allemaal de bekende AV toepassingen uit, of manipuleren het bestands-syteem (via boot.sys bijvoorbeeld) om een verschil te creëren tussen wat er op de schijf staat en wat de AV (Windows) daarvan kan zien. Dit is al sinds 2009, met de opkomst van TDL3, ZeroAccess, TDSS4 etc. Relevant artikel van 17 mei 2011 over deze zelfde rootkit Necurs:
http://www.kaspersky.com/news?id=207576337

Wat wel nieuw is, is dat deze rootkit nu (volgens MS dan, ik kan geen andere bronnen vinden zo snel) exploits misbruikt, tot nu toe was het namelijk een reguliere trojan (die je dus zelf moest installeren).


Door Redactie: ...
Beste Redactie, ik wil niet mieren*** maar,
1] MS heeft op meer dan...
2] ...kunnen ze alleen al door het bezoeken...
3] Zodra de malware op de computer op de computer geïnstalleerd is

En als aanvulling:
Om zich te verbergen gebruikt Necurs een speciale driver, de zogenaamde 'testing digital signature' die het mogelijk...
(Ik weet dat het vrijdag is, alvast een prettig en welverdiend weekend toegewenst!)

EDIT: typo's
07-12-2012, 18:41 door [Account Verwijderd]
[Verwijderd]
07-12-2012, 23:58 door Anoniem
Door joey van hummel: Ik snap dat het bepaalde dingen al als restricted user kan uitvoeren, maar zich nestelen in mijn systeem, door dus bijvoorbeeld systeembestanden aan te passen, dat lijkt me veel te ver gaan. Ik ben de laatste tijd niet meer zo bezig met security-nieuws lezen dus ij kan natuurlijk heel goed iets over een groots exploit gemist hebben.
Rootkit en exploit zijn 2 heel verschillende dingen, en ja dan heb je blijkbaar heel veel gemist, start anders hier:
http://www.adviceall.com/rootkit.php
Rootkits aka bootkits (gevolg=botnets) gaan allemaal via drivers en low-level API calls tegenwoordig, direct de kernel in dus, anders is het ook geen rootkit, die heb root-rechten.
boot.sys wordt bij ZA gebruikt om een hidden en encrypted volume aan te maken in de %sysdrive%, erg sneaky allemaal. Maar bovenstaande reactie is veel duidelijker, alleen niet technisch (express denk ik)

De exploit wordt gebruikt om de code (payload=de rootkit) op het doel-systeem uit te kunnen voeren, toegang verkrijgen dus. Exploit is de sleutel, lading is malware.
08-12-2012, 11:54 door AdVratPatat
Door joey van hummel: Ik snap dat het bepaalde dingen al als restricted user kan uitvoeren, maar zich nestelen in mijn systeem, door dus bijvoorbeeld systeembestanden aan te passen, dat lijkt me veel te ver gaan. Ik ben de laatste tijd niet meer zo bezig met security-nieuws lezen dus ij kan natuurlijk heel goed iets over een groots exploit gemist hebben.
Helaas zijn gebruik van user-rights geen effectieve bescherming tegen rootkits (en Exploit Kits) meer.
Necurs uit het artikel hierboven gebruikt onder andere een digitaal certificaat dat normaal wordt gebruikt door programmeurs om software te a & bèta-testen, daarom vermeldde ik het ook als aanvulling in mijn eerste reactie. Het gaat dus om meerdere kleine "exploits."

Als je daadwerkelijk technische analyses wil lezen kun je beter zelf even zoeken, dit forum heeft namelijk een enorme diversiteit aan gebruikers dus lang niet alles is voor iedereen direct te begrijpen. Ik probeer mijn reacties begrijpelijk te houden voor iedereen, maar een naar mijn mening goed uitgewerkt voorbeeld van return-oriented programming (low level API hooks e.d.) in een rootkit kun je hier vinden:http://static.usenix.org/event/sec09/tech/full_papers/hund.pdf
Je moet dan wel over iets meer kennis beschikken dan een reguliere eindgebruiker.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.