De conclusie van het onderzoeksrapport is vernietigend. AVG Internet Security wist als enige de aanval niet te detecteren, twee weken nadat die bekend was gemaakt. Verder faalde 85% van de virusscanners in het detecteren van varianten. “Het is zorgwekkend dat zulke slechte detectie wordt geboden”, aldus Vikram Phatak van NSS Labs. Naast AVG werden ook de security suites van ESET, Kaspersky, McAfee, Norton, Sophos en Trend Micro op de pijnbank gelegd. Alleen McAfee wist de variant van de exploit te detecteren.

Vertrouwen
Volgens NSS Labs moeten virusscanners en security suites zich meer op het detecteren van beveiligingslekken richten, in plaats van alleen individuele aanvallen te blokkeren. Verder moeten beveiligingsprogramma’s af van een aanpak waarbij men alleen specifieke exploits blokkeert, omdat deze aanpak altijd achter de feiten aanloopt. “Het komt erop neer dat als een beveiligingsprogramma voorkomt dat het lek wordt misbruikt, de malware niet wordt geïnstalleerd.” Aangezien de geteste programma’s zo slecht presteren, krijgen systeembeheerders het advies om niet op hun “endpoint-oplossing” niet te vertrouwen, maar de Microsoft update voor het Internet Explorer-lek zo snel als mogelijk te installeren.

Twijfelachtig
Bij AVG is men vanzelfsprekend niet over het onderzoek te spreken. De Tsjechische virusbestrijder spreekt zelfs van een twijfelachtig rapport. Naar eigen zeggen zou AVG de exploit wel detecteren. “Dit zijn serieuze beschuldigingen, zeker aangezien onze tests laten zien dat AVG software de Aurora aanvallen wel stopt.” Het anti-virusbedrijf nam contact op met NSS Labs om te vragen hoe er was getest, maar dat wilde het onderzoeksbureau niet vertellen, tenzij er betaald werd. “Daarom trekken we hun onderzoeksrapport in twijfel”, aldus AVG.

De virusbestrijder besloot de test met de originele exploit nogmaals uit te voeren, maar de security suite herkende die gewoon. Een ander hekel punt is dat NSS Labs niet bekendmaakt hoe het heeft getest en welke varianten het gebruikte. Ook het vragen om geld voor het publiceren van de testmethode zit AVG niet lekker. “Het lijkt erop dat NSS AVG gijzelt en losgeld wil, omdat we de geldigheid van hun beweringen in twijfel trekken”, zo laat het anti-virusbedrijf weten.

Bewijs
Na verder telefonisch contact zou zijn gezegd dat AVG de originele exploit wel stopte, maar dat is niet wat er in het rapport staat. Verder zou NSS Labs met een oude versie van AVG Internet Security hebben getest. “Als iemand de pers vertelt dat onze producten niet werken, terwijl wij keihard bewijs hebben dat dit niet zo is, nemen we deze beschuldigingen serieus en verwachten we dat ze bewijs geven om hun bevindingen te staven.”

(bron: security.nl)

Het scherm in kwestie downloadt een DLL-bestand dat allerlei waarschuwingen toont en gebruikers aanmoedigt tot het activeren van de software. Deze activatie, waarvoor slachtoffers 40 of 60 euro voor betalen, lijkt erg veel op het activeren van Windows. In het geval van de gebruikersovereenkomst verwijst de nep-virusscanner zelfs naar de website van Microsoft.

33 in 1
De softwaregigant ontdekte zelf laatst 33 nep-virusscanners in één programma. ‘FakeRean’ gebruikt verschillende namen en vormgeving voor Windows XP, Vista en Windows 7. In totaal heeft de scareware voor elk besturingssysteem elf verschillende namen en toont het een nepversie van het Windows XP Security Center en Windows 7 Action Center. Daarin worden gebruikers aangemoedigd om de nep-virusscanner in te schakelen, waar het slachtoffer voor moet betalen.

(bron: security.nl)

Bijna 75% van de infecties bevinden zich in de Verenigde Staten en Groot-Brittannië. Zeus steelt inloggegevens voor internetbankieren en veel banken in deze twee landen gebruiken alleen een gebruikersnaam en wachtwoord. Voor gebruikers die willen controleren of ze met Zeus besmet zijn of vermoeden dat er een nieuwe variant op het systeem staat die virusscanners niet herkennen, heeft Sanico een uitgebreide uitleg online gezet. Via wat “command line kungfu” is het niet alleen mogelijk om de malware te vinden, maar ook om die uit te schakelen.

Slachtoffers
Ondertussen blijft het aantal Amerikaanse bedrijven dat slachtoffer wordt groeien. Recentelijk zag een garagebedrijf hoe cybercriminelen 150.000 euro van de rekening haalden. De bank wist een deel van de transacties te stoppen en vergoedde de rest. Het bedrijf kreeg te horen dat op dezelfde dag vier a vijf andere klanten van de bank ook waren gehackt.

(bron: security.nl)

In de blogposting zegt McAfee dat de aanval via het domein topix21century.com plaatsvindt. Genoeg informatie voor Moshe Ben Abu om de exploit op te halen, te deobfusceren en vervolgens te zien waar het lek in Microsoft’s browser aanwezig is. “Het kostte slechts een paar minuten om de exploit in die host te vinden”, aldus Ben Abu. Uiteindelijk had hij voor het reverse engineeren en vinden van de kwetsbaarheid zo’n tien minuten nodig. De kwetsbare code is aanwezig in het bestand iepeers.dll.

Exploit
Volgens H.D. Moore, de ontwikkelaar van hackertool Metasploit, werkt de code niet feilloos. “Het is ongeveer 50% betrouwbaar op Windows XP SP2/SP3 met IE7, zonder DEP. Met IE6 is het iets beter.” Microsoft en GOVCERT adviseren gebruikers van IE6 en 7 om naar Internet Explorer 8 te upgraden, aangezien deze versie niet kwetsbaar is.

Al voor de publicatie van de exploit waren anti-virusbedrijven bang voor misbruik op grote schaal. “Exploitcodes worden steeds vaker door cybercriminelen aangepast en gebruikt. Wij verwachten dat ook dit nieuwe lek binnenkort massaal zal worden misbruikt. Wat de situatie nog gevaarlijker maakt, is dat het hiervoor vatbare Internet Explorer 7 nog erg veel gebruikt wordt. We gaan dan ook uit van een groot aantal potentiële infecties”, zegt Ralf Benzmüller van G Data.

Update:
Symantec heeft een analyse van de exploit online gezet, terwijl het Spaanse anti-virusbedrijf Panda Security de volgende video ervan maakte:

Internet Explorer 0-day Attack from Panda Security on Vimeo.

(bron: security.nl)

Microsoft zag de bot voor het eerst in november 2008 verschijnen, maar het aantal infecties nam vanaf augustus sterk toe. De softwaregigant besloot daarom de malware aan de Malicious Software Removal Tool (MSRT) toe te voegen. Tussen januari en februari van dit jaar verwijderde de gratis tool de malware van meer dan 1 miljoen machines. In Nederland ging het om ruim 25.000 computers.

De meeste geïnfecteerde PC’s stonden in de Verenigde Staten, Zuid-Korea, Frankrijk en Mexico. Rimecud, zoals Microsoft de malware noemt, was in 190 landen actief. Onderzoekers vonden de persoonlijke gegevens van 800.000 gebruikers, zoals inloggegevens voor e-mailwachtwoorden, internetbankieren en bedrijfsnetwerken.

Schade
Het onderzoek is nog in volle gang, maar volgens Panda Security schat dat de schade door de fraude, financiële diefstal, dataverlies en schoonmaken in de miljoenen euro’s loopt.

Vrijuit
Het is goed mogelijk dat de drie aangehouden verdachten nooit de binnenkant van de gevangenis zullen zien. Spanje beschikt namelijk niet over de vereiste wetgeving. “Het is bijna onmogelijk om in Spanje voor dit soort misdrijven de gevangenis in te gaan, waar gevangenisstraf alleen voor ernstige misdrijven is”, zegt kapitein Cesar Lorenzana van de Guardia Civil. “In Spanje is het geen misdrijf om een botnet te hebben, te beheren of malware te verspreiden. Zelfs als we kunnen bewijzen dat ze een botnet gebruikten, moeten we ook bewijzen dat ze identiteiten en andere zaken stalen, en dat is waar we ons nu op richten.”

Ook Juan Santana, CEO van Panda Security, denkt niet dat het trio een celstraf zal krijgen, maar hoopt dat beleidsmakers nu strengere straffen voor computercriminaliteit zullen invoeren. “Ik denk niet dat deze gasten naar de gevangenis zullen gaan, zeker omdat het de eerst keer is dat ze een misdrijf begaan”, aldus Santana. Volgens de beveiliger zijn hackers in veel landen niet bang om te worden gepakt, aangezien ze toch geen celstraf krijgen. “De voordelen wegen nu zwaarder dan de risico’s.”

(bron: security.nl)

Firefox, Google Chrome, Safari, Internet Explorer en Opera beschikken allemaal over een filter om gebruikers tegen dit soort websites te beschermen. NSS Labs selecteerde 562 URLs en keek hoe snel de browsers de websites detecteerden. Daaruit blijkt dat Firefox 3.5 het snelst is met detecteren, maar Internet Explorer 8 veel meer sites herkent. Microsoft’s browser wist 85% van de kwaadaardige websites te herkennen, terwijl Safari 4 en Firefox 3.5 met 29% op een tweede plek eindigen. Google Chrome komt niet verder dan 17%, terwijl Opera onder de één procent blijft steken.

Met name het verschil tussen Safari, Firefox en Chrome is opmerkelijk, aangezien de drie browsers allemaal de Safe Browsing API van Google gebruiken, maar toch verschillend scoren. De leveranciers gaven geen verklaring, maar NSS Labs denkt dat dit komt door verschillende parameters, het anders beoordelen van te blokkeren websites en het moment dat de blacklist wordt opgevraagd.

SmartScreen
De onderzoekers zijn met name te spreken over het SmartScreen Filter in IE8. Microsoft’s browser haalde een unieke URL blocking score van 89% en een algehele bescherming van 85%. “Internet Explorer 8 is veruit de beste in het beschermen tegen social engineering malware.” De 30% toename van gedetecteerde kwaadaardige websites toont daarnaast een “superieur feedback mechanisme”. De overige vier browsers wisten na vijf dagen nauwelijks meer URLs te blokkeren.

Firefox en Safari zijn dan tweede met 29%, ze bieden 56% minder bescherming dan IE8. Google Chrome wist zich ten opzichte van de vorige test te verbeteren, toch ontbreekt er nog unieke URL bescherming binnen de eerste 24 uur, waardoor de uiteindelijk score lager uitvalt dan bij Firefox en Safari die ook de Safe Browsing API gebruiken. Opera faalde hopeloos en biedt volgens de onderzoekers helemaal geen bescherming tegen dit soort dreigingen.

Onafhankelijk
Bij Microsoft is men vanzelfsprekend blij met de resultaten. “Sinds we IE8 in maart 2009 lanceerden, heeft SmartScreen 560 miljoen pogingen om malware te downloaden geblokkeerd, wat neerkomt op 3 miljoen blocks per dag!”, zegt Eric Lawrence, Program Manager van Internet Explorer. Microsoft’s systemen en analisten evalueren elke dag 1 terabyte aan binaries om te bepalen of websites malware verspreiden.

Lawrence ziet SmartScreen als een reden om naar de browser over te stappen. “IE6 en 7 bieden geen bescherming tegen social engineering malware. Als je gezin en vrienden niet up-to-date zijn, adviseer ze dan om voor een veiligere internet ervaring naar IE8 over te stappen.” Het onderzoek van NSS Labs zou geheel onafhankelijk zijn, wat Microsoft’s Brandon LeBlanc benadrukt. “De onafhankelijk testresultaten tonen dat Internet Explorer 8 drie keer zoveel malware dreigingen dan Firefox 3 en tien keer zoveel malware dreigingen dan Google Chrome 2 blokkeert.”

(bron: security.nl)

Functionaliteit
De software werd sinds 2007 aangeboden, wat ook uit de compilatiedatum blijkt. “Het is onmogelijk om met zekerheid te zeggen dat dit Trojaanse paard altijd al in de software aanwezig was, maar op het eerste gezicht lijkt het er wel op”, zegtLiam O Murchu’s van Symantec.

De virusbestrijder houdt er zelfs rekening mee dat de malware zonder dat de ontwikkelaar het wist is toegevoegd. “Of deze Trojan functionaliteit bedoeld was of niet is onduidelijk, maar als dit het bedoelde gedrag is, dan is het zeker zeer verdacht”, gaat O Murchu verder. “Ik zou zeker niet willen dat mijn USB-lader zonder dat ik het weet bestanden downloadt en uitvoert, of mijn bestanden naar een remote locatie stuurt.”

Beveiligingslek
Energizer laat middels een persbericht weten dat er een beveiligingslek in de Windows versie van de software zat. Het programma wordt inmiddels niet meer aangeboden. Gebruikers krijgen het advies om de software van de computer te verwijderen, aangezien dit ook het lek verwijdert. De grote vraag blijft hoe de backdoor in het programma is beland. Energizer blijft het antwoord schuldig, maar zegt dat het met US-CERT een onderzoek naar de oorzaak is gestart.

(bron: security.nl)

“We beseffen dat veel gebruikers vragen over de privacy in hun browser hebben, dus hebben we een kleine video gemaakt om gebruikers dit uit te leggen”, zegtWieland Holfelder, engineering directeur van Google. Naast de privacyinstellingen, kan de browser nu ook automatisch websites vertalen. Beide functies zouden ergens in de komende weken voor de stabiele versie van Chrome moeten verschijnen.

(bron: security.nl)

Analyse links:

• http://www.threatexpert.com/report.aspx?md5=cd0ef868d892a1bf18a965adaeb1b7dc
• http://wepawet.cs.ucsb.edu/view.php?type=js&hash=251b879141a1e80994bd9595a0dbcf13&t=1267529511

De kleine zevenduizend Amerikanen die aan het onderzoek meededen werden gevraagd welk merk ze het meest vertrouwen. IBM staat op de tweede plaats voor Johnson en Johnson. Naast IBM staan ook IT-giganten Apple, Dell, Yahoo en Google in top 20, maar ontbreekt Microsoft in het overzicht. Van de bedrijven die vorig jaar in de top 20 stonden, wisten naast Facebook ook AOL en eLoan dit keer niet voldoende stemmen voor zich te winnen. Hieronder het volledige overzicht: