Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Nu toch een zip bestand geopend

21-11-2014, 12:35 door Anoniem1665, 31 reacties
Laatst bijgewerkt: 21-11-2014, 21:28
Ik lees al tijden met plezier artikelen op Security.nl en het forum. Daardoor weet ik dat ik geen zip-bestanden van onbekende afzenders moet openen in de email. Maar dat heb ik nu per ongeluk tóch gedaan. Ik ontving vanmorgen een mail op mijn Android-smartphone, zogenaamd van Bol.com, met bijgevoegd een orderbevestiging.zip. En aangezien wij inderdaad onlangs iets besteld hebben bij Bol.com, opende ik zonder twijfelen het bestand. Maar er gebeurde niets. Toen realiseerde ik me dat ik erin getuind ben. Ik neem aan dat ik nu een virus of malware op mijn smartphone heb staan. Ik heb gelijk de dataverbindingen van het toestel uitgeschakeld.

Kan iemand me uitleggen hoe ik dit probleem nu concreet moet oplossen? Als ik een tool moet downloaden en installeren zal ik eerst de dataverbinding op mijn smartphone weer moeten inschakelen. Maar dat wil ik liever niet doen.

Een betere optie is misschien om de smartphone aan mijn computer (Mac) te hangen en vanaf daar de smartphone te scannen. Maar bestaan dat soort scanners wel?

Wel is mijn telefoon wachtwoord-beveiligd (d.w.z. een wachtwoord op de simkaart én een wachtwoord op Android), maakt dat de kans op schade/misbruik door het virus/malware kleiner?

/Update:
https://www.virustotal.com/nl/file/08ea78b6be97f0b918ec1b0017bf1fa238fe64af06506afc3803d4e78d09ac29/analysis/
Reacties (31)
21-11-2014, 12:49 door Anoniem
Er bestaat natuurlijk een grote kans dat bij aanwezigheid van een virus/malware, deze gericht is op Windows. Aangezien de telefoon Android heeft en je computer een Mac is, is de kans op besmetting relatief kleiner dan wanneer je Windows hebt. Toch is het wel slim dat je de dataverbinding hebt uitgezet.

Nu nog een virusscanner downloaden voor op de telefoon kan misschien al te laat zijn, als het inderdaad malware betreft dat op Android draait kan het zijn dat hij niet toestaat dat er een virusscanner wordt geinstalleerd, of de malware draagt de virusscanner op om de malware als 'veilig' te zien.

Zelf zou ik een kale laptop pakken met een goede virusscanner, de laptop loskoppelen van internet/netwerk/bluetooth en whatnot, en daar dan de telefoon op aansluiten.
21-11-2014, 13:11 door Erik van Straten
Door Dommerik: Ik lees al tijden met plezier artikelen op Security.nl en het forum. Daardoor weet ik dat ik geen zip-bestanden van onbekende afzenders moet openen in de email. Maar dat heb ik nu per ongeluk tóch gedaan. Ik ontving vanmorgen een mail op mijn Android-smartphone, zogenaamd van Bol.com, met bijgevoegd een orderbevestiging.zip. En aangezien wij inderdaad onlangs iets besteld hebben bij Bol.com, opende ik zonder twijfelen het bestand. Maar er gebeurde niets. Toen realiseerde ik me dat ik erin getuind ben. Ik neem aan dat ik nu een virus of malware op mijn smartphone heb staan. Ik heb gelijk de dataverbindingen van het toestel uitgeschakeld.

Kan iemand me uitleggen hoe ik dit probleem nu concreet moet oplossen? Als ik een tool moet downloaden en installeren zal ik eerst de dataverbinding op mijn smartphone weer moeten inschakelen. Maar dat wil ik liever niet doen.

Een betere optie is misschien om de smartphone aan mijn computer (Mac) te hangen en vanaf daar de smartphone te scannen. Maar bestaan dat soort scanners wel?

Wel is mijn telefoon wachtwoord-beveiligd (d.w.z. een wachtwoord op de simkaart én een wachtwoord op Android), maakt dat de kans op schade/misbruik door het virus/malware kleiner?

De kans dat jouw smartphone besmet raakt door malware in een zip-bestand acht ik minimaal. Als je de mail bijv. vanaf je Mac nog kunt openen, sla dan het zip-bestand op je schijf op (open het niet). Heb je de mail al gewist, sluit dan de smartphone op je Mac aan en kopieer het zip-bestand van smartphone naar Mac.

Vervolgens open je https://www.virustotal.com/ en uploadt het zip bestand naar die site. Die site gebruikt ruim 40 verschillende virusscanners om het bestand te scannen. Als onderdeel daarvan wordt in elk geval gerapporteerd om wat voor type bestand het gaat, en voor welk programma/besturingssysteem het is geschreven.

De kans is zeer groot dat het om Windows malware gaat. In principe zou die malware in Java geschreven kunnen zijn; Android apps worden ook in Java geschreven. Maar zels als het om Java malware gaat is de kans dat deze zowel Windows systemen als Android smartphones/tablets kan infecteren, minimaal.

Laat je ons svp weten wat je bevindingen zijn? Ik stel het op prijs als je een link post naar de analyse van VirusTotal.
21-11-2014, 13:12 door Anoniem
De mail en de zip op een System met AV scannen, ook naar virustotal.com
Dan weetje waar je mee te maken heb.

Grote kans dat de software (het virus) niet eens draait op phones.
21-11-2014, 13:13 door Anoniem
Het is niet zeker dat het al fout gegaan is want de kans is het grootste dat de trojan gericht is op Windows PC's.
In de .zip file zit dan bijvoorbeeld een bestand orderbevestiging.pdf.exe of orderbevestiging.pdf.scr en dat wordt door
Windows dan getoond als orderbevestiging.pdf
Als de gebruiker dat aanklikt dan start hij de trojan op ipv een pdf te openen.

Op een Android telefoon werkt dat echter niet.
21-11-2014, 13:15 door Anoniem
Zoiezo je sim-kaart uit het toestel halen, op een computer een APK voor een antivirus downloaden, AVG bijvoorbeeld.

Dan internet op je computer uitschakelen en de telefoon via USB aansluiten, dan de APK naar de telefoon verplaatsen, kabeltje loshalen.

Anti-virus instellen op telefoon, scannetje doen, en done.

Uiteraard bestaat er een kans dat het virus gemaakt was voor een windows machine en niet voor een android toestel.

Je zou voor de zekerheid de .zip kunnen scannen vanaf een windows machine.
21-11-2014, 13:29 door Anoniem1665
Bedankt voor het uitgebreide antwoord. Het .zip bestand staat ook op de Mac (ongeopend gelukkig). Ik heb deze nu laten scannen door de site die je noemde. En hij wordt inderdaad herkend!

Eens kijken of ik het linkje clickable kan krijgen:
https://www.virustotal.com/nl/file/08ea78b6be97f0b918ec1b0017bf1fa238fe64af06506afc3803d4e78d09ac29/analysis/

Het ziet er nogal angstaanjagend uit. Hoe moet ik dit nu verder aanpakken?
21-11-2014, 13:47 door Anoniem
http://www.virusradar.com/en/MSIL_Injector.G/description

Windows virus, dus op zowel Mac and Android vrij onschuldig
21-11-2014, 13:59 door Erik van Straten
Door Dommerik: Bedankt voor het uitgebreide antwoord. Het .zip bestand staat ook op de Mac (ongeopend gelukkig). Ik heb deze nu laten scannen door de site die je noemde. En hij wordt inderdaad herkend!

Eens kijken of ik het linkje clickable kan krijgen:
https://www.virustotal.com/nl/file/08ea78b6be97f0b918ec1b0017bf1fa238fe64af06506afc3803d4e78d09ac29/analysis/

Het ziet er nogal angstaanjagend uit. Hoe moet ik dit nu verder aanpakken?

Gelukkig gaat het om Windows malware, in het tabblad "Additional Information" zie je dat de bestandsnaam luidt: "Orderbevestiging 145243522760.exe". Noch jouw Mac, noch jouw Android telefoon lopen enig gevaar. je kunt de bestanden gewoon wissen. Succes!

Interessant voor anderen is wel weer dat nog maar weer eens wordt aangetoond dat verse malware door maar zeer weinig virusscanners wordt gedecteerd, momenteel slechts 4/53:
Antivirus ... Result .......................... Update
Avast ....... MSIL:GenMalicious-BBG [Trj] ..... 20141121
Avira ....... TR/Dropper.Gen .................. 20141121
ESET-NOD32 .. a variant of MSIL/Injector.GBU .. 20141121
Ikarus ...... Trojan.MSIL.Injector ............ 20141121
21-11-2014, 14:08 door Anoniem
De kans is zeer groot dat het om Windows malware gaat. In principe zou die malware in Java geschreven kunnen zijn; Android apps worden ook in Java geschreven. Maar zels als het om Java malware gaat is de kans dat deze zowel Windows systemen als Android smartphones/tablets kan infecteren, minimaal.

Het is een variatie op een windows trojan / keylogger

http://www.virusradar.com/en/MSIL_Injector.G/description

Grappig dat een Windows Man er zo klakkeloos vanuit gaat dat een Mac niet vatbaar had kunnen zijn.
Niet aannemelijk inderdaad en alweer een kleinere kans.
Echter, als er malware voor de Mac geschreven wordt leert de ervaring dat men dat graag schrijft in Java-aaaargh!

Java staat tegenwoordig gelukkig niet standaard (werkend) meer op Mac's wat niet betekent dat niet iedereen zonder zit.
Een mobiele dongel aanbieder kan je al overhalen voor een lullig appje even Java te installeren.
Het grootste ongeluk zit in een klein hoekje; voor Mac's is dat het Java hoekje.

Beter Java deactiveren (of verwijderen) in zijn algemeen en in het bijzonder voordat je besmette apparaten aansluit (al dan niet op advies van Windows Mannen ;)
21-11-2014, 14:09 door Anoniem1665
Gelukkig dat het meevalt. Ik ga het bestand wissen en dan gooi ik mijn smartphone weer in de verbindingen.
Bedankt voor je hulp!

Vriendelijke groet
21-11-2014, 14:49 door Erik van Straten - Bijgewerkt: 21-11-2014, 14:51
2014-11-21 14:08 door Anoniem: Grappig dat een Windows Man er zo klakkeloos vanuit gaat dat een Mac niet vatbaar had kunnen zijn.
Ik ben, toegegeven, geen Mac-man (maar heb wel een lange achtergrond met SunOS, Solaris en Linux, en die wijken, voor zover ik weet, nou ook weer niet zo heel veel af van OS X). Kun jij mij vertellen, of bestanden in een zipfile, op de een of andere manier "auto-executable" worden als je de zipfile opent op een Mac?

2014-11-21 14:08 door Anoniem: Echter, als er malware voor de Mac geschreven wordt leert de ervaring dat men dat graag schrijft in Java-aaaargh!
Dat is een onzinargument.

Als je een uitvoerbaar bestand start vanuit een "shell" (GUI of command shell) maakt het, op de meeste standaard besturingssystemen, nauwelijks tot niets meer uit in welke programmeertaal dat "programma" of script geschreven is. In de meest gebruikte besturingsystemen krijgt dat programma gewoon dezelfde rechten die jij als gebruiker hebt.

Dus, als jij kunt mailen, kan die software spam verzenden. Als jij kunt internetbankieren, kan die software dat ook - namens jou. Als jij het privilege bezit om op besturingssysteemniveau toetsaanslagen te monitoren, kan die software dat ook (dat kan positief zijn, bijv. een tool die op basis van bepaalde toetsencombinaties specifieke programma's start of vreemde tekens invoert die niet op je toetsenbord staan afgebeeld, maar het kan ook om een verborgen keylogger gaan die stilletjes al jouw toetsaanslagen naar een aanvaller stuurt).

Kortom, daarbij maakt het, nauwelijks tot niets uit of dat programma/script in assembler, objective C, Python, Bash script of Java is geschreven (uiteindelijk kun je alles in assembler schrijven, als je maar genoeg tijd hebt).

Java is wel een uitzondering als deze, als plugin, in je webbrowser uitvoerbare code vanaf Internet accepteert. Dat is de reden voor de slechte naam van Java. Om te voorkomen dat die code zomaar alles op jouw systeem kan wat jij kan, gebruikt de Java plugin een "sandbox". Omdat oorspronkelijk de focus van de ontwikkelaars van deze Java plugin op functionaliteit lag, en, in veel mindere mate op beveiliging, was die sandbox aanvankelijk zo lek als een vergiet. In de loop van de jaren heeft Sun en later Oracle geprobeerd om die gaatjes, een voor een, te dichten, om toch zoveel mogelijk functionaliteit te behouden (en bestaande applets niet onbruikbaar te maken). Dit traject was van begin af aan (net als Microsoft's ActiveX Java-alternatief trouwens), gedoemd te mislukken.

Reden: willekeurige code vanaf Internet vertrouwen is fundamenteel fout. Een digitale handtekening eronder helpt ook nauwelijks: die zegt niets over de betrouwbaarheid van de software. Bovendien laten malwaremakers zich niet afschrikken door de kosten van een code signing certificaat, als ze al niet gewoon ergens een private key stelen en de code in naam van een ander digitaal signeren.

Tot zover de "Windows Man".
21-11-2014, 15:28 door Briolet
Door Erik van Straten: [ Kun jij mij vertellen, of bestanden in een zipfile, op de een of andere manier "auto-executable" worden als je de zipfile opent op een Mac?.

In principe zijn ze niet eens met de hand te openen zonder een speciale toestemming te geven. De mac weet of ze als eens gerund zijn op de mac. Is dat nog nooit gebeurd, krijg je altijd een waarschuwing.

Als je in de terminal "mdls " intypt en dan de file naar het terminalwindow sleept, laat hij alle metadata van de file zien. Een aantal entries missen in een net geïnstalleerd bestand, ook als ze uit een diskimmage of zip bestand komen. o.a. mist deze entry:
kMDItemLastUsedDate = 2014-11-21 14:12:15 +0000
Zonder die data moet je minimaal een okay button clicken, maar volgens mij ook een wachtwoord by de huidige os versies. En onder een user account moet je in elk geval altijd de naam van iemand met admin rechten en zijn wachtwoord intikken.

Of zijn er toch trucjes waarmee software dit kan omzeilen?
21-11-2014, 15:45 door Whimpysinger
Door Anoniem: Het is niet zeker dat het al fout gegaan is want de kans is het grootste dat de trojan gericht is op Windows PC's.
In de .zip file zit dan bijvoorbeeld een bestand orderbevestiging.pdf.exe of orderbevestiging.pdf.scr en dat wordt door
Windows dan getoond als orderbevestiging.pdf
Als de gebruiker dat aanklikt dan start hij de trojan op ipv een pdf te openen.

Op een Android telefoon werkt dat echter niet.

Misschien is het in dit verband zinvol om nog maar eens te wijzen op de ellendige gewoonte van Microsoft om in Windows de optie "Extensies van bekende bestandstypen verbergen" standaard in te schakelen. Ik zou niet graag alle onervaren Windows-gebruikers de kost geven die, als gevolg daarvan, dachten een onschuldig prentje of zoiets te openen en rotzooi binnenkregen.

De optie kan afgevinkt worden onder "Mapopties" (Engels: "Folder options"; staat in W7 in het Configuratiescherm, voor andere windows-versies weet ik de precieze lokatie zo gauw niet uit m'n kop).
21-11-2014, 15:53 door [Account Verwijderd]
[Verwijderd]
21-11-2014, 16:59 door Anoniem
@ Vandaag, 14:49

Beter Java deactiveren (of verwijderen) in zijn algemeen en in het bijzonder voordat je besmette apparaten aansluit (al dan niet op advies van Windows Mannen ;-)
Dàt is wat er opgemerkt werd.

Nog eens in delen :

a) "Beter Java deactiveren (of verwijderen) in zijn algemeen en in het bijzonder voordat je besmette apparaten aansluit"

Ondertiteling : risico verminderen bij het aansluiten van besmette apparaten.
Beter is het geen besmette apparaten op je systeem aan te sluiten maar soms kan je niet anders (?).
Daarnaast zijn er meer maatregelen die je kunt nemen als ook een virusscanner op die mac te draaien, op zijn minst toch deze actie uitvoeren onder een standaard account, beter nog onder een apart aangemaakt account .. .etc, etc... ga hier verder niet de hele lijst af.

b) "al dan niet op advies van Windows Mannen ;-) "

Ondertiteling : van wie het advies ook komt met een knipoog erbij.
Knipoog 'betekent' relativering, hint naar een grapje, ... .
Dat dat niet zo opgevat wordt is een 'helaasje speculaasje'.

Ga er verder geen halszaak van maken en gelukkig zit een gelijkwaardige inhoudelijke discussie er niet in door ervaring en kennis op geheel andere vlakken die weinig overlap lijken te hebben.


Toch een poging op delen:

Een groot deel van je antwoord kan ik qua relevantie voor de inhoud eigenlijk niet plaatsen, waar ik het wel begrijp of relevant vind krijg je met (vriendelijk bedoelde) scherpte een antwoord.

- Wanneer het zipje (of wat het dan ook echt is) al is aangeklikt en 'uitgepakt'/geactiveerd weet je niet wat er allemaal actief is op die telefoon en wat het kan doen.
Algemene opmerking, los van kansberekening, waarschijnlijk,.. dit en dat.

Dat is een onzinargument.
Nee het is een feit!
In ieder geval bekend bij heel veel Mac gebruikers.

- Java is een heel praktische (geen virtuele) dreiging gebleken voor de Mac en wat voor één ( Flashback / Flashfake 6 tot 7 honderdduizend besmette Mac's).
Dat kan jij dus wel een onzin argument vinden, met het niet accepteren van de realiteit hou je helaas geen virussen tegen.
'De zelf-knipoog naar Mac-gebruikers': met je ogen sluiten voor dreigingen hou je geen dreigingen tegen.
Dat is wat 'ons' Mac gebruikers altijd verweten wordt en wat een '.. Man' vandaag nu net (per ongeluk in suggestie) tegensprak. Terwijl we net begonnen te accepteren dat we ook een beetje kwetsbaar zijn, 'vette knipoog heen en weer wink wink notch notch, kan er een lachje vanaf vandaag?'(maar goed als ironie met een grap er niet in wil ..)

Serieuze 'linkjes' dan
(kan jij als technisch zwaargewicht meer dan makkelijk aan, ik begreep het een beetje, gewoon interessant om te lezen en voor de Mac dreiging best available 'bijspijkerkennis')

https://securelist.com/analysis/publications/36423/the-anatomy-of-flashfake-part-1/
https://securelist.com/analysis/publications/36565/the-anatomy-of-flashfake-part-2/


- Wat werkelijke onzin is, is de dreiging van Java decimeren tot slechts de Java plugin.
Maar goed je verkeert in ruim gezelschap en dit keer ben ik (al voor langere tijd overigens) degene die de roepende in de woestijn is.
Vooraf dreigingen aankaarten is een moeilijk iets, want niets aan de hand want het gaat goed,.. ik loop er keer op keer op keer tegenaan (buitengewoon energie vretend, anyway..).

Java executables kunnen met social engineering zelfstandig uitgevoerd worden, dat wil zeggen zonder tussen komst van de browser die vraagt om installatie van een applet.
Welke soorten mogelijke executables Java allemaal kent mag je met je kennis zelf invullen.

Java gebaseerde Rat's zijn er al, dat de tactiek van verpakte Java executables met wat social engineering nog niet wordt toegepast verbaast me nog een beetje maar dat is geen bewijs dat het niet kan (goh déjà vu gevoel, discussie eerder gevoerd).
Wederom de ogen sluiten voor reële dreigingen die er deels al zijn en die er kunnen komen..


- Rechten, mooi verhaal, ik ken het / weet het
(op zijn minst meer dan een beetje maar vast niet zoveel als jij die dat vast gestudeerd heeft en meer dan uitgebreid etaleert.
Konden we de kennis maar constructief bundelen ;-) )

De praktijk is dat de meeste gebruikers werken onder het admin account, dat is wat ik om me heen zie en dat zal ook weinig tot niets verschillen van andere Os gebruikers.
In geval van het aansluiten van een besmet device, de 'zip' (misschien was het wel niet een echte zip en vergiste de poster zich wel, weet jij veel) was immers al aangeklikt en had dus wel al code op de telefoon kunnen uitvoeren en daarna wellicht bij het aansluiten op die computer nog eens kunnen overdoen, met de rechten van het account (!), de Admin (!) rechten dus (gokken doen we niet maar alsdan is het admin account 'the winning one').


- Opgepast, nu ga ik je een beetje met je eigen security opstelling 'plagen' ;-)

Wat voor alle systemen in ieder geval geldt is dat het wellicht niet zo'n goed idee is (understatement) om iemand 'maar even' te adviseren een mogelijk of besmet apparaat aan een systeem te hangen (zeker als je dat systeem helemaal niet kent) en daarbij vergeten te vragen wat iemand aan mogelijke preventie-maatregelen op dat systeem heeft genomen of voldoende aandacht vooraf besteed aan wat iemand vooraf aan maatregelen zou moeten / kunnen nemen.
(verschil tussen admin en standaard account ken je en had je kunnen adviseren, virusscanner aanwezig, apart account (?).. gesneden koek toch?).


Afsluitend, de knipoog was niet bedoeld om een dergelijke discussie uit te lokken, wel om het bewustzijn op lichte wijze aan te kaarten dat Macs' niet onkwetsbaar zijn.
Dat 'Cros-Os' malware er nog niet zoveel is betekent niet dat het vandaag zover had kunnen zijn.
Oppassen dus, ook met je Mac (en met grappen maken, tja; 'ik zal het nooit meer doen' (?), nou misschien dan ;-)

Tot zover 'de' Mac * man

die wel geen programmeur ict netwerk etc etc etc kennis heeft maar don-ders-goed weet welke dreigingen Mac's kennen en nou juist het accepteren van het bewustzijn rondom het ook mogelijk kwetsbaar zijn draagvlak probeert te vergroten

Als we kennis bundelen is het gezamenlijk resultaat vast 1+1=3, keertje proberen?
Wie weet.

:-) (-:


* (die overigens ook Windows (in de kast) heeft staan en af en toe nog eens omkijkt naar Linux distrooitjes)
21-11-2014, 17:11 door Anoniem
Door Briolet:

In principe zijn ze niet eens met de hand te openen zonder een speciale toestemming te geven. De mac weet of ze als eens gerund zijn op de mac. Is dat nog nooit gebeurd, krijg je altijd een waarschuwing.

Voor welke OS X versies geldt deze opmerking precies (zeker weten)?
21-11-2014, 17:53 door Anoniem
"Het zou gaan om onbekende ransomware: software die data van iemand heimelijk versleutelt en pas ontsleutelt na het betalen van 'losgeld'."

https://tweakers.net/nieuws/99831/bol-punt-com-waarschuwt-klanten-voor-mailtje-met-vermoedelijk-ransomware.html

De via virustotal gescande (die hierboven staat) is toch geen ransomware?

Verschillende virussen naar verschillende ontvangers?
21-11-2014, 21:27 door Anoniem1665
Als ik de output van virustotal van dat andere virus bekijk (zie linkje in de eerste comment onder https://www.security.nl/posting/409422/Valse+e-mail+Bol_com+verspreidt+ransomware), dan zie ik dat er op tabblad 'Relaties' verwezen wordt naar mijn virus. Het lijken dus wel degelijk dezelfde virussen. De naam van de executable is echter anders.

Update:
Ondanks dat mijn Android telefoon niet geïnfecteerd lijkt te zijn, functioneert mijn mobiele data sinds vanavond niet meer. Via wifi werkt alles gewoon. Zou mijn provider me afgesloten hebben doordat ik de beruchte mail van Bol.com ontving?
21-11-2014, 22:16 door Erik van Straten - Bijgewerkt: 21-11-2014, 22:30
2014-11-21 21:27 door Dommerik: Als ik de output van virustotal van dat andere virus bekijk (zie linkje in de eerste comment onder https://www.security.nl/posting/409422/Valse+e-mail+Bol_com+verspreidt+ransomware), dan zie ik dat er op tabblad 'Relaties' verwezen wordt naar mijn virus. Het lijken dus wel degelijk dezelfde virussen. De naam van de executable is echter anders.
Malwaremakers doen er alles aan om zo lang mogelijk "onder de radar" van antivirus producten te blijven. Een belangrijk wapen daarbij is variatie: alles wat constant is grijpen de antivirusboeren namelijk aan om malware te detecteren. Om die reden verspreiden cybercriminelen veel variaties van hun malware, zowel qua bestandsnaam als qua inhoud. Op die manier maken ze zoveel mogelijk slachtoffers.

2014-11-21 21:27 door Dommerik: Update:
Ondanks dat mijn Android telefoon niet geïnfecteerd lijkt te zijn, functioneert mijn mobiele data sinds vanavond niet meer. Via wifi werkt alles gewoon. Zou mijn provider me afgesloten hebben doordat ik de beruchte mail van Bol.com ontving?
In theorie zou dat kunnen, namelijk als je jouw mail bij jouw provider zelf ontvangt (bijv. gebruiker@Ziggo waarbij Ziggo ook jouw mobiele provider is). Als je echter een gmail of hotmail/live.com mail account hebt, ziet jouw mobiele provider niet welke mails jij ontvangt, want dat gaat via een versleutelde verbinding tussen jouw smartphone en gmail, hotmnail etc. Maar zelfs in het eerste geval verwacht ik niet dat providers zo "slim" bezig zijn dat ze, op basis van mails die jij ontvangt, jouw mobiele data gaan uitzetten. Sowieso is het een ernstige inbreuk op jouw privacy als ze jouw mails blijken mee te lezen.

Puur theorie: wat wel kan is dat er toch iets is gebeurd (wat weet ik niet) met jouw smartphone wat veroorzaakt dat deze, mobiel (G2/GPRS, G3/UMTS of mogelijk G4) grote hoeveelheden en/of "verdachte" data is gaan verzenden en/of ontvangen (dat "ziet" je mobiele provider natuurlijk wel voorbijkomen). Dit lijkt me echter erg onwaarschijnlijk. Aanvulling 22:30: en dat jouw provider op basis van verdacht gedrag (uitgewisselde data en/of contact zoeken met botnetservers), jouw dataverbinding heeft verbroken. Maar nogmaals, die kans acht ik niet zo groot (maar ik kan het ook niet uitsluiten).

Weet je zeker dat je niet zelf -per ongeluk- mobiele data hebt uitgezet op je smartphone? Ik weet niet bij welke provider je zit, maar er zou ook gewoon een storing kunnen zijn op het datanetwerk van je provider.
21-11-2014, 22:26 door Erik van Straten - Bijgewerkt: 23-11-2014, 20:15
Door Picasa3:
Door Anoniem: Zoiezo je sim-kaart uit het toestel halen, op een computer een APK voor een antivirus downloaden, AVG bijvoorbeeld.
Alleen AVG herkent deze malware vandaag helemaal niet en zou gezegd hebben "niets aan de hand!"
https://www.virustotal.com/nl/file/08ea78b6be97f0b918ec1b0017bf1fa238fe64af06506afc3803d4e78d09ac29/analysis/
Hmm, Nederlands kun je vaak op heel verschillende manieren lezen... Ik las dit als "uitsluitend AVG" herkent deze malware niet (en de rest wel). Je bedoelt echter: "Alleen is het zo dat AVG deze malware vandaag helemaal niet herkent..." maar ook dat klopt niet meer ;)

Analysis date: 2014-11-21 17:51:32 UTC (18:51:32 NL wintertijd): 15/54

Antivirus ............. Result .............................. Update
----------------------------------------------------------------------
AVG ................... MSIL5.BRDK .......................... 20141121
Avast ................. MSIL:GenMalicious-BBG [Trj] ......... 20141121
Avira ................. TR/Dropper.Gen ...................... 20141121
Baidu-International ... Trojan.MSIL.Injector.bGBU ........... 20141121
DrWeb ................. Trojan.Inject1.46088 ................ 20141121
ESET-NOD32 ............ a variant of MSIL/Injector.GBU ...... 20141121
Fortinet .............. MSIL/GBU!tr ......................... 20141121
Ikarus ................ Trojan.MSIL.Injector ................ 20141121
Kaspersky ............. Trojan-Dropper.Win32.Injector.kwxd .. 20141121
McAfee ................ Artemis!BE6285461849 ................ 20141121
MicroWorld-eScan ...... Trojan.Zbot.INE ..................... 20141121
Qihoo-360 ............. HEUR/QVM03.0.Malware.Gen ............ 20141121
Sophos ................ Mal/Generic-S ....................... 20141121
Symantec .............. Trojan.Cryptolocker.E ............... 20141121
TrendMicro-HouseCall .. Suspicious_GEN.F47V1121 ............. 20141121

Update 2014-11-21 23:03:

SHA256: 08ea78b6be97f0b918ec1b0017bf1fa238fe64af06506afc3803d4e78d09ac29

2014-11-21 21:19:52 UTC 18/54

Antivirus ............. Result .............................. Update
----------------------------------------------------------------------
AVG ................... MSIL5.BRDK .......................... 20141121
Ad-Aware .............. Trojan.Zbot.INE ..................... 20141121
Avast ................. MSIL:GenMalicious-BBG [Trj] ......... 20141121
Avira ................. TR/Dropper.Gen ...................... 20141121
Baidu-International ... Trojan.MSIL.Injector.bGBU ........... 20141121
BitDefender ........... Trojan.GenericKD.1987004 ............ 20141121
DrWeb ................. Trojan.Inject1.46088 ................ 20141121
Emsisoft .............. Trojan.GenericKD.1987004 (B) ........ 20141121
Fortinet .............. MSIL/GBU!tr ......................... 20141121
GData ................. Trojan.GenericKD.1987004 ............ 20141121
Ikarus ................ Trojan.MSIL.Injector ................ 20141121
Kaspersky ............. Trojan-Dropper.Win32.Injector.kwxd .. 20141121
McAfee ................ Artemis!BE6285461849 ................ 20141121
MicroWorld-eScan ...... Trojan.GenericKD.1987004 ............ 20141121
Qihoo-360 ............. HEUR/QVM03.0.Malware.Gen ............ 20141121
Sophos ................ Mal/Generic-S ....................... 20141121
Symantec .............. Trojan.Cryptolocker.E ............... 20141121
TrendMicro-HouseCall .. Suspicious_GEN.F47V1121 ............. 20141121

Update 2014-11-22 12:48:

Analysis date: 2014-11-22 10:51:49 UTC ( 44 minutes ago ) 21 / 55

Antivirus ............. Result .............................. Update
----------------------------------------------------------------------
AVG ................... MSIL5.BRDK .......................... 20141122
Ad-Aware .............. Trojan.GenericKD.1987004 ............ 20141122
Avast ................. MSIL:GenMalicious-BBG [Trj] ......... 20141122
Avira ................. TR/Dropper.Gen ...................... 20141122
Baidu-International ... Trojan.MSIL.Injector.BGBU ........... 20141122
BitDefender ........... Trojan.GenericKD.1987004 ............ 20141122
ClamAV ................ Win.Trojan.Agent-818067 ............. 20141122
DrWeb ................. Trojan.Inject1.46088 ................ 20141122
ESET-NOD32 ............ a variant of MSIL/Injector.GBU ...... 20141122
Emsisoft .............. Trojan.GenericKD.1987004 (B) ........ 20141122
F-Secure .............. Trojan.GenericKD.1987004 ............ 20141122
Fortinet .............. MSIL/GBU!tr ......................... 20141122
GData ................. Trojan.GenericKD.1987004 ............ 20141122
Ikarus ................ Trojan.MSIL.Injector ................ 20141122
Kaspersky ............. Trojan-Dropper.Win32.Injector.kwxd .. 20141122
McAfee ................ Artemis!BE6285461849 ................ 20141122
Qihoo-360 ............. HEUR/QVM03.0.Malware.Gen ............ 20141122
Sophos ................ Troj/MSIL-AYN ....................... 20141122
Symantec .............. Trojan.Cryptolocker.E ............... 20141122
TrendMicro-HouseCall .. Suspicious_GEN.F47V1121 ............. 20141122
VIPRE ................. Trojan.Win32.Generic.pak!cobra ...... 20141122

Als je een van bovenstaande scanners gebruikt, ben je redelijk veilig als je minstens 24 uur wacht voordat je, na ontvangst, mails opent!

Maar het kan nog slechter. Door de mand vallen wat mij betreft (na 24 uur nog steeds geen detectie), ik noem de wat meer bekende scanners: Microsoft, Panda, Norman, Comodo, Malwarebytes, F-Prot, TrendMicro (die laatste biedt wel detectie middels "cloud"/"housecall") en McAfee-GW-Edition (biedt wel desktop detectie).
Succes ermee!

Update 2014-11-23 05:16:
Op 2014-11-22 17:00:16 UTC was de stand 22 / 55: MicroWorld-eScan is erbij gekomen.

Update 2014-11-23 20:15:
Volledige lijst van alle geteste virusscanners op het volgende specifieke moment:

Analysis date: 2014-11-23 15:42:02 UTC: 24/52

Antivirus ............. Result .............................. Update
----------------------------------------------------------------------
AVG ................... MSIL5.BRDK .......................... 20141123
Ad-Aware .............. Trojan.GenericKD.1987004 ............ 20141123
Avast ................. MSIL:GenMalicious-BBG [Trj] ......... 20141123
Avira ................. TR/Dropper.Gen ...................... 20141123
Baidu-International ... Trojan.MSIL.Injector.BGBU ........... 20141123
BitDefender ........... Trojan.GenericKD.1987004 ............ 20141123
ClamAV ................ Win.Trojan.Agent-818067 ............. 20141123
Comodo ................ UnclassifiedMalware ................. 20141123
Cyren ................. W32/Trojan.XAWF-4317 ................ 20141123
DrWeb ................. Trojan.Inject1.46088 ................ 20141123
ESET-NOD32 ............ a variant of MSIL/Injector.GBU ...... 20141123
Emsisoft .............. Trojan.GenericKD.1987004 (B) ........ 20141123
F-Secure .............. Trojan.GenericKD.1987004 ............ 20141123
Fortinet .............. MSIL/GBU!tr ......................... 20141123
GData ................. Trojan.GenericKD.1987004 ............ 20141123
Ikarus ................ Trojan.MSIL.Injector ................ 20141123
Kaspersky ............. Trojan-Dropper.Win32.Injector.kwxd .. 20141123
Malwarebytes .......... Trojan.FileLock ..................... 20141123
McAfee ................ Artemis!BE6285461849 ................ 20141123
NANO-Antivirus ........ Trojan.Win32.Inject1.djeqei ......... 20141123
Qihoo-360 ............. HEUR/QVM03.0.Malware.Gen ............ 20141123
Sophos ................ Troj/MSIL-AYN ....................... 20141123
Symantec .............. Trojan.Cryptolocker.E ............... 20141123
TrendMicro-HouseCall .. Suspicious_GEN.F47V1121 ............. 20141123
AVware ................ (niets gevonden) .................... 20141121
AegisLab .............. (niets gevonden) .................... 20141123
Agnitum ............... (niets gevonden) .................... 20141122
AhnLab-V3 ............. (niets gevonden) .................... 20141123
Antiy-AVL ............. (niets gevonden) .................... 20141123
Bkav .................. (niets gevonden) .................... 20141120
ByteHero .............. (niets gevonden) .................... 20141123
CAT-QuickHeal ......... (niets gevonden) .................... 20141122
F-Prot ................ (niets gevonden) .................... 20141123
Jiangmin .............. (niets gevonden) .................... 20141122
K7AntiVirus ........... (niets gevonden) .................... 20141121
K7GW .................. (niets gevonden) .................... 20141121
Kingsoft .............. (niets gevonden) .................... 20141123
McAfee-GW-Edition ..... (niets gevonden) .................... 20141122
MicroWorld-eScan ...... (niets gevonden) .................... 20141123
Microsoft ............. (niets gevonden) .................... 20141123
Norman ................ (niets gevonden) .................... 20141123
Panda ................. (niets gevonden) .................... 20141123
Rising ................ (niets gevonden) .................... 20141122
SUPERAntiSpyware ...... (niets gevonden) .................... 20141123
Tencent ............... (niets gevonden) .................... 20141123
TheHacker ............. (niets gevonden) .................... 20141121
TrendMicro ............ (niets gevonden) .................... 20141123
VBA32 ................. (niets gevonden) .................... 20141121
ViRobot ............... (niets gevonden) .................... 20141123
Zillya ................ (niets gevonden) .................... 20141122
Zoner ................. (niets gevonden) .................... 20141120
nProtect .............. (niets gevonden) .................... 20141121

Zie ook mijn bijdrage in https://www.security.nl/posting/409422/Valse+e-mail+Bol_com+verspreidt+ransomware#posting409582 wat je hebt aan bovenstaande info.
21-11-2014, 23:45 door Anoniem1665
Door Erik van Straten: Weet je zeker dat je niet zelf -per ongeluk- mobiele data hebt uitgezet op je smartphone? Ik weet niet bij welke provider je zit, maar er zou ook gewoon een storing kunnen zijn op het datanetwerk van je provider.

Probleem heeft zich opgelost.
Mobiele data paar keer uit- en weer ingeschakeld, telefoon geherstart. Zonder resultaat. Opnieuw internetinstellingen van de provider (Simyo) gedownload en ineens werkte het weer. Beetje vaag verhaal, maar goed.
Ondertussen heb ik voor de zekerheid gratis Avast voor Android gedownload, geïnstalleerd en een scan gedraaid. En kreeg alleen maar groen en vinkjes te zien. Wel jammer dat ik het .zip bestand al weggegooid heb, want dan had ik de werking van Avast mooi kunnen testen.

Wederom dank voor de hulp!
21-11-2014, 23:48 door W. Spu
Vond deze analyse: https://malwr.com/analysis/MDg4NTY1MzNhYmNiNDFlNWE5YjljMzAxMGVhYWUyZTg/
22-11-2014, 12:53 door Erik van Straten
Door W. Spu: Vond deze analyse: https://malwr.com/analysis/MDg4NTY1MzNhYmNiNDFlNWE5YjljMzAxMGVhYWUyZTg/
Mooie en zeer gedetailleerde analyse inderdaad. Kost wel veel tijd om die traces allemaal te lezen, ik ben dan ook halverwege gestopt (ik zie wel dat aan het begin poniters naar cryptografische routines worden gezet, vermoedelijk maakt de ransomware gebruik van de Mcirosoft Crypto API).

Door Dommerik: Probleem heeft zich opgelost.
Wederom dank voor de hulp!
Graag gedaan!

Andere lezers: in https://www.security.nl/posting/409347/Nu+toch+een+zip+bestand+geopend#posting409446 toon ik enkele snapshots van antivirusproducten die, langzaamaan, deze specifieke en zeer kwaadaardige malware detecteren.
22-11-2014, 13:16 door Anoniem
Door Erik van Straten:

deze specifieke en zeer kwaadaardige malware

Jep, das dan weer mooi afgelopen met die Mac ;)

(Terzijde : Kasperksy heeft overigens al randsomeware voor de Mac ontdekt die overigens te gebrekkig was om te werken. Over de code helaas geen woord.
"Trojan-Ransom.OSX.FileCoder– the first file encryptor for OS X. Only just working – a buggy prototype."
http://securelist.com/blog/research/66760/unfinished-ransomware-for-macos-x/
http://eugene.kaspersky.com/2014/09/29/the-evolution-of-os-x-malware/ )
22-11-2014, 22:42 door Anoniem
Als je het bestand niet gedownload hebt (op je telefoon) maar wel op de link voor track en trace van postnl geklikt hebt, geldt dat hetzelfde dat mijn iphone niet in gevaar is? De mail dus wel geopend maar het bestand niet. .
23-11-2014, 05:13 door Erik van Straten
2014-11-22 22:42 door Anoniem: Als je het bestand niet gedownload hebt (op je telefoon) maar wel op de link voor track en trace van postnl geklikt hebt, geldt dat hetzelfde dat mijn iphone niet in gevaar is? De mail dus wel geopend maar het bestand niet. .
Heb je die mail nog? Gooi hem dan nog even niet weg! Graag zouden we daar een specieke "header" regel van willen zien, zie https://www.security.nl/posting/409422/Valse+e-mail+Bol_com+verspreidt+ransomware#posting409534 waarom. En als je ons de link naar de "postnl" webserver geeft, kunnen we kijken of die site nog in de lucht is en welke rommel daar op staat. Als je de mail nog hebt, en bereid bent die info met ons te delen, laat dan even weten waar je e-mail ontvangt (gmail, live.com etc. => post niet jouw volledige e-mail adres! Dat hebben we niet nodig, en als je dat post ontvang je alleen maar meer spam), en, als je geen webmail gebruikt, welk mailprogramma je gebruikt (zoals Thunderbird, Outlook etc). Dan kunnen we jou instructies geven hoe je header regels zichtbaar maakt.

Ik was me niet bewust van een link in de "bol.com" nepmail (naast de bijlage met Windows malware). Die link leidt ongetwijfeld niet naar een echte postnl.nl website, maar naar een gehackte webserver. Het is goed mogelijk dat deze webserver malware serveerde. Meestal gaat het dan om exploits voor plugins in webbrowsers, waaronder Java, PDF reader, Adobe Flash, Microsoft Silverlight, Apple iTunes etc. maar het kan ook gaan om exploits voor lekken in webbrowsers zelf. Het komt zelden voor dat je op gehackte websites exploits vindt voor ongepatchte kwetsbaarheden (0-days). Als je Mac/PC qua software up-to-date is, heb je nauwelijks iets te vrezen.

Van in elk geval Windows PC's kun je testen of deze qua gebruikte webbrowser en geïnstalleerde plugins up-to-date is op https://browsercheck.qualys.com/ (je kunt scannen zonder de plugin te installeren door op de link onder de groene knop te klikken, of meteeen naar https://browsercheck.qualys.com/?scan_type=js te gaan). Ik vermoed dat dit oook werkt voor Mac's, maar ik heb geen Mac dus dat kan ik niet testen.
23-11-2014, 17:33 door [Account Verwijderd] - Bijgewerkt: 23-11-2014, 17:36
[Verwijderd]
23-11-2014, 18:47 door Erik van Straten - Bijgewerkt: 23-11-2014, 20:17
2014-11-23 17:33 door Krakatau:
2014-11-21 13:11 door Erik van Straten: De kans is zeer groot dat het om Windows malware gaat. In principe zou die malware in Java geschreven kunnen zijn; Android apps worden ook in Java geschreven. Maar zels als het om Java malware gaat is de kans dat deze zowel Windows systemen als Android smartphones/tablets kan infecteren, minimaal.

De kwetsbaarheden die in het verleden werden gebruikt waren die van de Java browser-plugin en hebben geen enkele relatie met Java op je Android smartphone.
Ik ben de laatste om dat tegen te spreken! Waarschijnlijk tl;dr (Too Long; Didn't Read) maar in https://www.security.nl/posting/409347/Nu+toch+een+zip+bestand+geopend#posting409377 laat ik daar, volgens mij, dan ook geen misverstand over bestaan ;)

Overigens, op 2014-11-22 22:42 meldde Anoniem dat er in de email (met de gezipte malwarebijlage) ook sprake was van een link naar en (hoogstwaarschijnlijk fake) PostNL track&trace pagina. Ik sluit niet bij voorbaat uit dat die webpagina eventuele Android gebruikers detecteerde en de een of andere "handige" app voorschreef. Heb jij die mail nog?

Aanvulling 2014-11-23 20:17: ik heb bijdrage https://www.security.nl/posting/409347/Nu+toch+een+zip+bestand+geopend#posting409446 onderaan bijgewerkt met rececnte info van VirusTotal.
23-11-2014, 20:19 door [Account Verwijderd] - Bijgewerkt: 23-11-2014, 20:20
[Verwijderd]
23-11-2014, 21:53 door W. Spu
Door Erik van Straten:Heb je die mail nog? Gooi hem dan nog even niet weg! Graag zouden we daar een specieke "header" regel van willen zien, zie https://www.security.nl/posting/409422/Valse+e-mail+Bol_com+verspreidt+ransomware#posting409534 waarom. En als je ons de link naar de "postnl" webserver geeft, kunnen we kijken of die site nog in de lucht is en welke rommel daar op staat.

Zie https://www.security.nl/posting/409422#posting409587
24-11-2014, 00:53 door Erik van Straten
2014-11-23 21:53 door W. Spu:
Door Erik van Straten:Heb je die mail nog?
Zie https://www.security.nl/posting/409422#posting409587
Dank! Zie mijn analyse daaronder (https://www.security.nl/posting/409422/#posting409599).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure