De meeste ondervraagden kozen echter voor de optie dat als het om veiligheid gaat, alle websites even gevaarlijk zijn. “Aan de ene kant is het bemoedigend om te zien dat ruim 33% van onze gebruikers geleerd heeft dat beveiligingsdreigingen vanaf elke website kunnen komen, maar het is ook een kwestie voor onze maatschappij als één op de drie mensen niet de websites kunnen vertrouwen die ze bezoeken”, zegt Sorin Mustaca.

(bron: security.nl)

Chinees
Volgens beveiligingsbedrijf Armorize dat de hack ontdekte, hebben hackers de widget aangepast nadat ze de website waarop die werd aangeboden hadden gehackt. Inmiddels is de kwaadaardige widget door Network Solutions uitgeschakeld en de pagina uit de lucht gehaald.

De in de widget verstopte malware had het voornamelijk op gebruikers van het Chinese QQ Instant Messaging programma voorzien, aangezien er een pop-up met een waarschuwing verscheen die van QQ afkomstig lee. Daarnaast werd er ook nog een JavaScript exploit gebruikt voor het aanmaken van een directory op de computer.

(bron: security.nl)

FireEye erkent dat het lastig is om kloppende cijfers te geven. “Het bepalen van de volume van een bepaalde malware-familie is een lastige taak. Veel anti-virusbedrijven hebben dit in het verleden geprobeerd. Het probleem is dat veel van deze schattingen alleen op de eigen interne gegevens zijn gebaseerd. Aan de hand van een ‘wat wij het meeste detecteren’ techniek, die soms de eigen tekortkomingen over het hoofd ziet”, zegt Atif Mushtaq van FireEye. Het bedrijf baseerde zich daarom op de cijfers van het ‘MAX Cloud Intelligence network’ en vergeleek dat met de cijfers van andere anti-virusbedrijven.

Opvallen
Naast het aantal besmette machines, werd ook naar het aantal malware exemplaren gekeken. Dan blijkt dat het Virut-virus het meest voorkomt. “Het grote aantal unieke malware exemplaren is logisch. Virut is een file infecter die zichzelf in elk uitvoerbaar bestand op besmette computers injecteert”, aldus Mushtaq. Daardoor kan één besmette machine duizenden kopieën van de malware bevatten.

Butterfly staat pas op de negende plek als het gaat om het aantal exemplaren. “Dit is bewijs dat de cybercriminelen die erachter zitten zeer succesvol zijn in het niet opvallen.” De Butterfly-toolkit laat cybercriminelen eenvoudig een eigen botnet maken. Net als met de Zeus Trojan zijn er daardoor meerdere botnets met deze malware, maar worden die allemaal door andere criminelen beheerd. Begin maart werd één van deze Mariposa-botnets, bestaande uit 13 miljoen computers, door de autoriteiten ontmanteld.

(bron: security.nl)

Adminrechten
Met name Windows XP SP3 systemen blijken in vergelijking met andere systemen veel geïnfecteerd te zijn. 55% van alle Alureon infecties werd op deze Windows versie aangetroffen, gevolgd door SP2 met 13%. Een reden hiervoor is dat veel van deze gebruikers standaard adminrechten hebben, iets wat de malware vereist om te werken.

Sinds april herkent de Malicious Software Removal Tool de aanwezigheid van de rootkit en is in staat die te verwijderen, wat 262.969 keer gebeurde. In totaal verwijderde Microsoft in april malware van ruim drie miljoen machines.

(bron: security.nl)

Beveiligingsbedrijf PrevX zegt dat het een toename van SpyEye infecties ziet. Hoewel het geen complexe malware is, omschrijft Marco Giuliani het als het perfecte stereotype van huidige malware infecties. “Ontworpen om met eenvoudige infectie technieken gevoelige gegevens te stelen. De code is eenvoudig, maar op hetzelfde moment effectief.” Volgens Giuliani laat SpyEye het gat tussen malware ontwikkelaars en het klassieke antwoord van virusscanners zien.

Versleuteld
Volgens PrevX heeft SpyEye de potentie om de volgende Zeus Trojan te worden. Het is goedkoper dan Zeus, de code is effectief en de toolkit laat gebruikers binnen minuten hun botnet Command & Control server en Trojaanse paard opzetten. Eenmaal actief op een systeem injecteert SpyEye code in alle processen waar het toegang toe krijgt. Vervolgens kaapt het verschillende Windows en browser API’s waarbij het ook user mode rootkit technieken gebruikt.

Door de browser processen te kapen, kan het gevoelige informatie stelen, zelfs van met SSL-versleutelde websites. “Door deze techniek is het zelfs in staat om klassieke anti-keyloggers te omzeilen die toetsaanslagen versleutelen.” De gestolen informatie wordt vervolgens via HTTP naar de C&C server gestuurd.

Mythe
SpyEye maakt ook een einde aan de mythe dat gebruikers met verminderde rechten geen risico op malware lopen. “Dat is niet zo”, zegt Giuliani. Het Trojaanse paard kan zich probleemloos op een beperkt account installeren en gegevens stelen. “Ik hoor veel mensen zeggen dat ze geen virusscanner nodig hebben omdat ze Windows met een beperkt account gebruiken: het kan zijn dat ze al met SpyEye besmet zijn.”

(bron: security.nl)

Het gaat dan om voornamelijk de A en B varianten van de worm. De C-variant, die een P2P-methode gebruikt om zich te verspreiden, is het afgelopen jaar langzaam uitgestorven. Op het hoogtepunt waren er nog zo’n 1,5 miljoen infecties, maar inmiddels is het aantal onder de 220.000 gekomen. Dat duidt er volgens virusbestrijder Symantec op dat sommige gebruikers wel actie ondernemen om de C-variant te verwijderen. Het botnet werd uiteindelijk kort gebruikt voor het verspreiden van nep-virusscanners en spam, maar daar bleef het bij.

Waakzaam
Orla Cox, security operations manager, merkt op dat de besmette machines nauwlettend door opsporingsdiensten in de gaten worden gehouden. Teveel aandacht kan ervoor zorgen dat de criminelen achter Conficker de stekker eruit trekken. “De industrie en opsporingsdiensten zijn waakzaam, maar de 6,5 miljoen geïnfecteerde PC’s zijn net als een geladen pistool, dat wacht om af te gaan.” De beveiliger maakte onderstaande video die de ontwikkeling van Conficker samenvat.

(Bron: security.nl)

Bij het aanpakken van Waledac hanteerde Microsoft een meerlaagse aanpak, gericht tegen het verstoren van de P2P-communicatie tussen de bots en het uit de lucht halen van domeinnamen en Command en Control servers. De actie is nog altijd een succes, zo blijk uit cijfers van verschillende onderzoekers. Zo’n 70.000 tot 90.000 computers zijn geen onderdeel meer van het botnet. Daarnaast is Waledac niet meer in staat om andere computers te infecteren, aangezien er sinds de actie door Microsoft geen nieuwe infecties zijn bijgekomen.

De hoeveelheid spam daalde niet door het verdwijnen van Waledac, maar daar was het Microsoft ook niet om te doen. “Het doel was het ontregelen van de bot en daar voor toekomstige acties van te leren.”

Infecties
Eén van de dingen die Microsoft leerde was dat de machines met de Waledac bot met andere malware besmet waren. Daardoor worden de computers nog steeds gebruikt voor het versturen van spam. Ongeveer de helft van alle computers die onder controle van Waledac stonden, worden nog steeds door spammers ingezet. Ook de juridische actie voor het uit de lucht halen van de domeinnamen was een groot succes, merkt Williams op. De hele operatie fungeerde voor Microsoft als een “proof of concept”, in een gebied waar het nog niet veel ervaring heeft.

Het uit de lucht halen van het Mariposa botnet door de Spaanse autoriteiten toontvolgens Williams aan dat samenwerking tussen verschillende partijen van essentieel belang is. “Verwacht daarom meer van dit soort acties, als we samenwerken tegen botnets en het internet voor iedereen veiliger maken.”

(bron: security.nl)

De schade door malware die bankrekeningen plundert loopt in de tientallen miljoenen. De Amerikaanse Federal Deposit Insurance Corporation becijferde onlangs dat Amerikaanse bedrijven in het derde kwartaal van vorig jaar, 18 miljoen euro door malware verloren. In Groot-Brittannië bedroeg de schade in de eerste helft van 2009 43 miljoen euro.

Onderzoek
“Om de bankrekeningen van klanten te beschermen, hebben banken de enorme taak om malware varianten te identificeren en analyseren en de uitkomsten te gebruiken om toekomstige verliezen te beperken”, zegt Trusteer. Het verzamelen van dit soort malware op de computer van de klant is lastig en arbeidsintensief. De zaklamp oplossing van het bedrijf zou dit een stuk eenvoudiger maken. Zo kan de tool meteen een “remote onderzoek” naar een aanval starten.

De geïnfecteerde klant hoeft alleen de Trusteer Rapport software te installeren, die de malware zou herkennen en in het geval van een onbekende variant, die doorstuurt naar Trusteer. Het bedrijf analyseert vervolgens de werking van de malware. De bank ontvangt dan een rapport met bevindingen, de broncode en aanbevelingen om toekomstige aanvallen te blokkeren.

(bron: security.nl)

Bijna 75% van de infecties bevinden zich in de Verenigde Staten en Groot-Brittannië. Zeus steelt inloggegevens voor internetbankieren en veel banken in deze twee landen gebruiken alleen een gebruikersnaam en wachtwoord. Voor gebruikers die willen controleren of ze met Zeus besmet zijn of vermoeden dat er een nieuwe variant op het systeem staat die virusscanners niet herkennen, heeft Sanico een uitgebreide uitleg online gezet. Via wat “command line kungfu” is het niet alleen mogelijk om de malware te vinden, maar ook om die uit te schakelen.

Slachtoffers
Ondertussen blijft het aantal Amerikaanse bedrijven dat slachtoffer wordt groeien. Recentelijk zag een garagebedrijf hoe cybercriminelen 150.000 euro van de rekening haalden. De bank wist een deel van de transacties te stoppen en vergoedde de rest. Het bedrijf kreeg te horen dat op dezelfde dag vier a vijf andere klanten van de bank ook waren gehackt.

(bron: security.nl)

Microsoft zag de bot voor het eerst in november 2008 verschijnen, maar het aantal infecties nam vanaf augustus sterk toe. De softwaregigant besloot daarom de malware aan de Malicious Software Removal Tool (MSRT) toe te voegen. Tussen januari en februari van dit jaar verwijderde de gratis tool de malware van meer dan 1 miljoen machines. In Nederland ging het om ruim 25.000 computers.

De meeste geïnfecteerde PC’s stonden in de Verenigde Staten, Zuid-Korea, Frankrijk en Mexico. Rimecud, zoals Microsoft de malware noemt, was in 190 landen actief. Onderzoekers vonden de persoonlijke gegevens van 800.000 gebruikers, zoals inloggegevens voor e-mailwachtwoorden, internetbankieren en bedrijfsnetwerken.

Schade
Het onderzoek is nog in volle gang, maar volgens Panda Security schat dat de schade door de fraude, financiële diefstal, dataverlies en schoonmaken in de miljoenen euro’s loopt.

Vrijuit
Het is goed mogelijk dat de drie aangehouden verdachten nooit de binnenkant van de gevangenis zullen zien. Spanje beschikt namelijk niet over de vereiste wetgeving. “Het is bijna onmogelijk om in Spanje voor dit soort misdrijven de gevangenis in te gaan, waar gevangenisstraf alleen voor ernstige misdrijven is”, zegt kapitein Cesar Lorenzana van de Guardia Civil. “In Spanje is het geen misdrijf om een botnet te hebben, te beheren of malware te verspreiden. Zelfs als we kunnen bewijzen dat ze een botnet gebruikten, moeten we ook bewijzen dat ze identiteiten en andere zaken stalen, en dat is waar we ons nu op richten.”

Ook Juan Santana, CEO van Panda Security, denkt niet dat het trio een celstraf zal krijgen, maar hoopt dat beleidsmakers nu strengere straffen voor computercriminaliteit zullen invoeren. “Ik denk niet dat deze gasten naar de gevangenis zullen gaan, zeker omdat het de eerst keer is dat ze een misdrijf begaan”, aldus Santana. Volgens de beveiliger zijn hackers in veel landen niet bang om te worden gepakt, aangezien ze toch geen celstraf krijgen. “De voordelen wegen nu zwaarder dan de risico’s.”

(bron: security.nl)