image

200MB groot virus verrast onderzoekers

maandag 28 januari 2013, 15:06 door Redactie, 14 reacties

Werden er vorig jaar nog digitale bankrovers van slechts 20KB waargenomen, recentelijk zijn verschillende malware-exemplaren ontdekt die vele megabytes groot zijn. Door de grotere omvang zou het lastiger voor virusscanners zijn om de malware te detecteren. Op de Franse website Malekal.com werden twee Trojan Droppers onthuld, die tussen de 16MB en 200MB op besmette machines in beslag namen.

De malware van 16MB werd door een exploit-kit op een systeem geplaatst. Bij een ander incident werd een kwaadaardig uitvoerbaar bestand van 205MB aangetroffen. De malware zou ingepakt slechts 205KB groot zijn. Grotere uitvoerbare bestanden zouden de real-time detectie door virusscanners kunnen dwarsbomen.

Cloud
De meeste anti-virusprogramma's sturen verdachte bestanden naar de cloud, waarna er een nieuwe signature wordt gemaakt. Deze controles zijn gebaseerd op en gebouwd rondom uitvoerbare bestanden van beperkte omvang. Grote bestanden die in de tientallen of honderden megabytes lopen zouden cloudgebaseerde servers kunnen verstoppen, aldus de SecurityLedger.

Veel anti-virusbedrijven accepteren daarnaast bestanden die via e-mail worden verstuurd, wat met een bestand van 200MB wat lastig wordt, en uiteindelijk de detectie bemoeilijkt.

Het lijkt dat een groot bestand op een systeem eerder opvalt, maar het Flame-virus van 20MB groot wist jaren onopgemerkt op systemen aanwezig te zijn.

Reacties (14)
28-01-2013, 15:15 door [Account Verwijderd]
[Verwijderd]
28-01-2013, 15:19 door Mysterio
Het valt mij op dat een groot aantal av-producten standaard beperkingen instellen op de bestanden die gescand worden, zoals bijvoorbeeld een maximale grootte van gecomprimeerde bestanden (vaak 10 MB) of met een maximale scantijd per bestand van 10 seconden. Dit is vanuit het oogpunt van systeembelasting begrijpelijk, maar wanneer virusschrijvers hier hun bestanden op aanpassen is het weer niet zo handig.
28-01-2013, 15:21 door Anoniem
205KB met 200 MB aan null-bytes, zodat degende die 't 'spelletje' download ook echt denkt dat 'ie 'n spelletje gedownload heeft... Valt zo op als je download van de nieuwste game maar 200 KB is...
28-01-2013, 15:25 door Anoniem
200MB en gecomprimeerd was het 200kb? WOW wat voor compressie gebruikte ze erop?
28-01-2013, 15:28 door Anoniem
Door Anoniem: 205KB met 200 MB aan null-bytes, zodat degende die 't 'spelletje' download ook echt denkt dat 'ie 'n spelletje gedownload heeft... Valt zo op als je download van de nieuwste game maar 200 KB is...

200MB aan null-bytes is comprimeerd: een paar bytes.
28-01-2013, 15:50 door Anoniem
@15:15 even lezen waarom e.e.a. zo groot is. Niet aanslaan op iets wat half gelezen of begrepen is.
28-01-2013, 15:52 door Evert_S
En het kat-en-muis spelletje duurt verder.

Is natuurlijk wel héél goed gevonden door die malwareschrijvers. Padden van effectieve executable code met random rommel kan wel eens een heel vernuftig trucje blijken te zijn.

Ik denk dat Hugo hier dus ook een beetje de bal misslaat; ik vermoed dat die grootte heel bewust wordt nagestreeft, de effectieve payload zit vermoedelijk nog altijd even vernuftig in elkaar
28-01-2013, 15:55 door [Account Verwijderd]
[Verwijderd]
28-01-2013, 16:19 door johanw
Ze kunnen beter padden met random zooi dan met 0, dat zorgt ten eerste iedere keer voor een andere checksum en ten tweede valt het minder op (uitgepakte bestand met random bits is slecht comprimeerbaar, met 0 wordt het ingepakte bestand weer erg klein).
28-01-2013, 20:26 door hx0r3z
30 - 60 kb is normaal voor een stub.

Leuker zelfs Een virus van over de 100mb kun je niet uploaden naar virustotal of bijvoorbeeld een thread scanner online zoals anubis of threat expert en malwr aka cuckoo sandbox. Dit zou niet verbazingwekkend mogen zijn voor onderzoekers tenzij ze echt geen benul hebben van malware, of geen blackhat zijn of zijn geweest. En ja natuurlijk kan het ook een manier zijn geweest om de mensen die het gedownload hebben te foppen met de size van het content. Idd 200kb lijkt echt heel erg nep.
Gewoon een filepumper erover los laten en klaar is kees. Een null-byte file pumper is sowieso Fully undetected. Als je een bestand pumpt met onzin of random chars @ EOF tsja dan is het zeer waarschijnlijk detected als een virus.
29-01-2013, 09:34 door Mysterio
Door Anoniem: 205KB met 200 MB aan null-bytes, zodat degende die 't 'spelletje' download ook echt denkt dat 'ie 'n spelletje gedownload heeft... Valt zo op als je download van de nieuwste game maar 200 KB is...
Ik vond m'n internet opeens al zo snel! ;)
29-01-2013, 18:26 door spatieman
wow, 200MB, het lijkt wel windows software, mega groot, om de HD zo goed mogelijk te vullen.
30-01-2013, 08:13 door [Account Verwijderd]
[Verwijderd]
30-01-2013, 09:50 door Kisinaoe
Door Hugo:
Door Evert_S:
Ik denk dat Hugo hier dus ook een beetje de bal misslaat; ik vermoed dat die grootte heel bewust wordt nagestreeft, de effectieve payload zit vermoedelijk nog altijd even vernuftig in elkaar
Nee hoor. Misschien dat dit virus dan hoofdzakelijk null-bytes bevat, er zijn genoeg hedendaagse virussen die vele megabytes groot zijn omdat de auteur een prutser is en z'n virus gewoon in .NET schrijft.

Een vb.net project kan nooit 200mb zijn. Normaliter rond the 200kb - 5000kb.
Tenzij je hem vol perst met onzinnige dummy data zoals images en resources met dummy data. Maar dan nog haal je bijna nooit 200mb. Dat is bijna onmogenlijk als je een normaal project maakt. Als het een game is kan dat best. Maar games maak je niet in .NET maar in C++ met DirectX en OpenGL.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.