image

Nep-vpn besmet Windows 10-pc's met hardnekkige adware

maandag 18 juni 2018, 15:13 door Redactie, 9 reacties

Onderzoekers hebben een zogenaamde vpn-applicatie ontdekt die voornamelijk Windows 10-computers met hardnekkige adware infecteert. De adware, die over een rootkit-onderdeel beschikt, wordt Zacinlo genoemd (pdf). De infectie begint met de installatie van een vpn-applicatie genaamd S5Mark.

Het zogenaamde vpn-programma laat gebruikers geloven dat er een vpn-verbinding is opgezet, terwijl dat helemaal niet het geval is. In werkelijkheid gaat het om een programma dat de Zacinlo-adware en bijbehorende rootkit downloadt. De rootkit is digitaal gesigneerd en kan op de meeste Windows-systemen worden geïnstalleerd, waaronder Windows 10. Volgens onderzoekers van anti-virusbedrijf Bitdefender zijn rootkits verantwoordelijk voor minder dan één procent van alle malware, en besloten ze daarom verder onderzoek in te stellen.

Dat leidde tot de ontdekking van de Zacinlo-adware. Voor de installatie van de adware wordt de real-time monitoring van Windows Defender uitgeschakeld. Na de installatie van de adware wordt die weer ingeschakeld. Het rootkit-gedeelte van de adware kan processen stoppen die het als gevaarlijk voor de adware beschouwt. Ook zorgt het ervoor dat de adware niet kan worden gestopt of verwijderd.

Tevens wordt er een nieuwe certificaatautoriteit in de browser van de gebruiker geïnstalleerd en beschikt de adware over een "man-in-the-browser" functionaliteit waarmee ssl-verbindingen kunnen worden onderschept en ontsleuteld. Hierdoor kan de adware JavaScript in de websites injecteren die de gebruiker bezoekt. Daarnaast kan de adware bezoekers naar andere pagina's doorsturen. Het uiteindelijke doel van de adware is het vervangen van advertenties en plegen van advertentiefraude.

Besmette systemen lopen daarnaast risico om ook door andere malware te worden geïnfecteerd. De rootkit blokkeert namelijk ook de anti-malwaremodule van verschillende bekende virusscanners, waaronder die van Bitdefender, Malwarebytes, Symantec, Panda, HitmaPro, Avast, AVG, Microsoft en Kaspersky Lab. De meeste Zacinlo-infecties werden in de Verenigde Staten waargenomen, gevolgd door Brazilië, China, Duitsland en Frankrijk. Volgens Bitdefender gaat het voornamelijk om Windows 10-computers. Negentig procent van alle besmette systemen draait namelijk op deze Windows-versie.

Image

Reacties (9)
18-06-2018, 15:20 door Anoniem
Gezien Microsoft iedereen die update naar W10 op heeft gedrongen zal dat een grotere reden zijn dan dat de software enkel voor W10 bedoeld is denk ik
18-06-2018, 15:59 door Anoniem
Goh, dit programma vond ik zeker twee jaar geleden al gebundled met Outbrowse download managers. Hier nog een, identiek: VidSquare.
18-06-2018, 20:53 door Eric-Jan H te D
In de twee jaar dat dit stuk vreten al rond waart op internet niks anders schokkends gebeurd? Het gaat zeker de goede kant op.
19-06-2018, 06:57 door Anoniem
Of een VPN ook doet wat het zegt te doen kan je zelf gemakkelijk een aantal basic tests uitvoeren.

Browse met je VPN UIT naar b.v. https://www.dnsleaktest.com/
Browse met je VPN AAN naar b.v. https://www.dnsleaktest.com/ en kijk of je IP adres veranderd is t.o.v. de eerste keer.
Doe de DNS test en kijk of de DNS servers van je VPN aanbieder zijn.

Als je nog net iets handiger bent kan je met b.v. tracert (bestaat dat nog in W10?) kijken welke route er gevolgd wordt naar een site.
19-06-2018, 07:00 door Anoniem
Maar, maar, al die Windows gebruikers hebben toch virus- en malware scanners die up to date zijn, ook het OS wordt volledig automatisch geupdated. Hoe kan het dan dat malware welke al 2 jaar waargenomen wordt toch kans ziet om systemen te besmetten?
19-06-2018, 09:47 door Tha Cleaner
Door Anoniem: Gezien Microsoft iedereen die update naar W10 op heeft gedrongen zal dat een grotere reden zijn dan dat de software enkel voor W10 bedoeld is denk ik

Even een quote direct uit het artikel: Volgens Bitdefender gaat het voornamelijk om Windows 10-computers. Negentig procent van alle besmette systemen draait namelijk op deze Windows-versie.
19-06-2018, 11:35 door Anoniem
Prachtige whitepaper. Zeer interessante malware.
19-06-2018, 21:35 door Anoniem
ProtonVPN is een goede die is 3 landen gratis.
28-06-2018, 16:06 door Anoniem
Voor dit soort gevallen is vBoxxCloud echt een aanrader. Onlangs zelf ook malware aanval gehad doordat ik op een verkeerde link had geklikt, erg vervelend natuurlijk. Met hun snapshotfunctie was alles direct hersteld en hoefde ik niets te betalen. Meer informatie voor de nieuwsgierige: https://vboxxcloud.nl/bestanden-herstellen
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.