image

Windows-backdoor vermomt verkeer als MSN Messenger

vrijdag 18 januari 2013, 13:04 door Redactie, 4 reacties

Onderzoekers hebben verschillende Windows-backdoors ontdekt die om detectie te voorkomen hun netwerkverkeer als dat van Windows Messenger (ook bekend als MSN Messenger) en Yahoo Messenger vermommen. Veel remote access Trojans (RATs) produceren netwerkverkeer dat inmiddels eenvoudig te herkennen is. De makers van de 'Fakem' RATs besloten daarvoor een oplossing te zoeken.

Het antwoord zou liggen in het netwerkverkeer op verschillende andere protocollen te laten lijken. Sommige varianten van de Fakem RAT lijken op Windows Messenger en Yahoo Messenger, terwijl anderen zich als normaal webverkeer voordoen. De Fakem RATs zouden al sinds september 2009 bij aanvallen zijn ingezet.

Verkeer
Echt veel moeite om het verkeer te vermommen doen de backdoors niet. In de meeste gevallen wordt alleen de header aangepast en is het verkeer van de echte Messenger programma's en dat afkomstig van de backdoor eenvoudig te herkennen.

Daarnaast gebruiken de aanvallers verschillende domeinen die op legitieme domeinen lijken, maar uiteindelijk ook duidelijk te herkennen zijn. Het gaat dan om yourturbe.org, googmail.com, avira.suroot.com en freeavg.sytes.net.

"Kennis van aanvalstools, technieken en infrastructuur van tegenstanders is essentieel voor het ontwikkelen van verdedigingsstrategieën", zegt onderzoeker Nart Villeneuve van Trend Micro. Hij stelt dat het verkeer van de Fakem RATs is te herkennen, maar dat dit in het geval van grote netwerken niet zo eenvoudig is, waardoor de aanvallers langer onopgemerkt blijven.

Reacties (4)
18-01-2013, 18:48 door Anoniem
eerdaags hebben we toch Skype messenger toch allemaal.Is niet meer afteluisteren toch ?
18-01-2013, 20:58 door Anoniem
Nou geluk bij een ongeluk dat Windows Live Messenger binnenkort wordt opgeheven,dus daar kunnen de cybercriminals en hun malware zich dan niet langer verstoppen.Als u na 15 Maart nog iets van WLM op uw pc vindt weet u dat het zo goed als zeker deze malware betreft.
22-01-2013, 19:20 door spatieman
alsof voor skype geen trojan shit bestaan, skype is vaak genoeg een aanvals factor geweest.
23-01-2013, 10:07 door Anoniem
Wordt MSN messenger uberhaupt nog gebruikt ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.