Lost in the Noise

Internet Explorer 8 biedt de beste bescherming tegen social engineering malware, terwijl andere browsers hopeloos falen. NSS Labs controleerde voor de derde keer hoe goed de vijf populairste browsers van het moment omgaan met kwaadaardige websites die malware aanbieden. Het gaat hier niet om drive-by download exploits, maar om screensavers, codecs en andere applicaties die veilig lijken, maar in werkelijkheid malware bevatten.

Firefox, Google Chrome, Safari, Internet Explorer en Opera beschikken allemaal over een filter om gebruikers tegen dit soort websites te beschermen. NSS Labs selecteerde 562 URLs en keek hoe snel de browsers de websites detecteerden. Daaruit blijkt dat Firefox 3.5 het snelst is met detecteren, maar Internet Explorer 8 veel meer sites herkent. Microsoft’s browser wist 85% van de kwaadaardige websites te herkennen, terwijl Safari 4 en Firefox 3.5 met 29% op een tweede plek eindigen. Google Chrome komt niet verder dan 17%, terwijl Opera onder de één procent blijft steken.

Met name het verschil tussen Safari, Firefox en Chrome is opmerkelijk, aangezien de drie browsers allemaal de Safe Browsing API van Google gebruiken, maar toch verschillend scoren. De leveranciers gaven geen verklaring, maar NSS Labs denkt dat dit komt door verschillende parameters, het anders beoordelen van te blokkeren websites en het moment dat de blacklist wordt opgevraagd.

SmartScreen
De onderzoekers zijn met name te spreken over het SmartScreen Filter in IE8. Microsoft’s browser haalde een unieke URL blocking score van 89% en een algehele bescherming van 85%. “Internet Explorer 8 is veruit de beste in het beschermen tegen social engineering malware.” De 30% toename van gedetecteerde kwaadaardige websites toont daarnaast een “superieur feedback mechanisme”. De overige vier browsers wisten na vijf dagen nauwelijks meer URLs te blokkeren.

Firefox en Safari zijn dan tweede met 29%, ze bieden 56% minder bescherming dan IE8. Google Chrome wist zich ten opzichte van de vorige test te verbeteren, toch ontbreekt er nog unieke URL bescherming binnen de eerste 24 uur, waardoor de uiteindelijk score lager uitvalt dan bij Firefox en Safari die ook de Safe Browsing API gebruiken. Opera faalde hopeloos en biedt volgens de onderzoekers helemaal geen bescherming tegen dit soort dreigingen.

Onafhankelijk
Bij Microsoft is men vanzelfsprekend blij met de resultaten. “Sinds we IE8 in maart 2009 lanceerden, heeft SmartScreen 560 miljoen pogingen om malware te downloaden geblokkeerd, wat neerkomt op 3 miljoen blocks per dag!”, zegt Eric Lawrence, Program Manager van Internet Explorer. Microsoft’s systemen en analisten evalueren elke dag 1 terabyte aan binaries om te bepalen of websites malware verspreiden.

Lawrence ziet SmartScreen als een reden om naar de browser over te stappen. “IE6 en 7 bieden geen bescherming tegen social engineering malware. Als je gezin en vrienden niet up-to-date zijn, adviseer ze dan om voor een veiligere internet ervaring naar IE8 over te stappen.” Het onderzoek van NSS Labs zou geheel onafhankelijk zijn, wat Microsoft’s Brandon LeBlanc benadrukt. “De onafhankelijk testresultaten tonen dat Internet Explorer 8 drie keer zoveel malware dreigingen dan Firefox 3 en tien keer zoveel malware dreigingen dan Google Chrome 2 blokkeert.”

(bron: security.nl)

Batterijfabrikant Energizer heeft klanten lange tijd USB-batterijlader software aangeboden met een Trojaans paard erin. De Energizer DUO is een USB-batterijlader, inclusief een Windows programma waarmee gebruikers het opladen van de batterij kunnen controleren. De software plaatst het bestand Arucer.dll in de system32 directory en zorgt ervoor dat Windows het bestand vervolgens automatisch laadt. Dit bestand is een backdoor waardoor aanvallers toegang tot het systeem kunnen krijgen, zo waarschuwt het Amerikaanse Computer Emergency Response Team (US-CERT). Het programma accepteert verbindingen op TCP-poort 7777 en geeft aanvallers de mogelijkheid tot het bekijken van directories, het versturen en ontvangen van bestanden en het uitvoeren van programma’s.

Functionaliteit
De software werd sinds 2007 aangeboden, wat ook uit de compilatiedatum blijkt. “Het is onmogelijk om met zekerheid te zeggen dat dit Trojaanse paard altijd al in de software aanwezig was, maar op het eerste gezicht lijkt het er wel op”, zegtLiam O Murchu’s van Symantec.

De virusbestrijder houdt er zelfs rekening mee dat de malware zonder dat de ontwikkelaar het wist is toegevoegd. “Of deze Trojan functionaliteit bedoeld was of niet is onduidelijk, maar als dit het bedoelde gedrag is, dan is het zeker zeer verdacht”, gaat O Murchu verder. “Ik zou zeker niet willen dat mijn USB-lader zonder dat ik het weet bestanden downloadt en uitvoert, of mijn bestanden naar een remote locatie stuurt.”

Beveiligingslek
Energizer laat middels een persbericht weten dat er een beveiligingslek in de Windows versie van de software zat. Het programma wordt inmiddels niet meer aangeboden. Gebruikers krijgen het advies om de software van de computer te verwijderen, aangezien dit ook het lek verwijdert. De grote vraag blijft hoe de backdoor in het programma is beland. Energizer blijft het antwoord schuldig, maar zegt dat het met US-CERT een onderzoek naar de oorzaak is gestart.

(bron: security.nl)

Er gaat weer een nieuwe ‘Facebook Phishing’ rond. Hieronder de inhoud en analyse van het bericht:

Dear user of facebook,

Because of the measures taken to provide safety to our clients, your password has been changed.

You can find your new password in attached document.

Thanks,

Your Facebook.

Analyse bijlage:

• http://www.threatexpert.com/report.aspx?md5=cd0ef868d892a1bf18a965adaeb1b7dc
• http://wepawet.cs.ucsb.edu/view.php?type=js&hash=251b879141a1e80994bd9595a0dbcf13&t=1267529511

Advertenties van bijna alle advertentienetwerken worden op dit moment bij een grootschalige aanval ingezet om internetgebruikers te infecteren. Naast het hacken van websites wordt het gebruik van kwaadaardige banners en reclame bij cybercriminelen steeds populairder. “We hebben nu met de grootste advertentie vergiftiging ooit te maken, alle belangrijke aanbieders zijn getroffen”, zegt Jiri Sejtko van het Tsjechische anti-virusbedrijf. Alleen het bezoeken van normale websites volstaat om besmet te raken. De Prontexi-aanval, zoals de virusbestrijder het noemt, gebruikt JavaScript code en verschillende beveiligingslekken om ongepatchte machines over te nemen.

Advertenties
Yieldmanager.com (Yahoo) en fimserve.com (FOX Audience Network) zijn het hardst getroffen en zijn goed voor meer dan de helft van alle kwaadaardige advertenties. Ook andere bekende namen zoals Doubleclick, xtendmedia.com, bannerimg.com en myspace.com worden als wapen ingezet. De gebruikte JavaScript is zo geobfusceerd dat het lastig voor anti-virusbedrijven is om te analyseren.

Een recente PDF-exploit lijkt de voornaamste manier te zijn om toegang tot systemen te krijgen. “Prontexi is niet alleen een waarschuwing voor anti-virusbedrijven. Ook advertentienetwerken en diensten moeten voorzichtiger zijn met de content die ze verspreiden. Veel mensen houden helemaal niet van advertenties en wat gebeurt er als advertenties de oorzaak van hun besmette computer worden?” besluit Sejtko.

(bron: security.nl)

Een nieuw botnet dat het beruchte Zeus botnet aanvalt, blijkt nauwelijks iets voor te stellen. Vorige week kwam anti-virusbedrijf Symantec met de aankondiging van de SpyEye Trojan, die onder andere de Zeus bot op besmette machines verwijderde. Volgens Symantec’s Peter Coogan zou dit tot een nieuwe botnet-oorlog kunnen leiden, zoals in het verleden met Beagle, Netsky en Mydoom gebeurde.

Inmiddels beweren ook andere anti-virusbedrijven dat een oorlog tussen cybercriminelen mogelijk is. “Sommige EyeBot eigenschappen doen ons geloven dat dit tot een nieuwe botnet-oorlog kan leiden, net als we een aantal jaren geleden met Netsky en Mydoom zagen”, zegt Roland Dela Paz van Trend Micro. Daarmee herhaalt ze bijna letterlijk wat Symantec een week eerder vertelde, maar die komt nu terug op een mogelijke oorlog.

Oorlog
De door de media aangewakkerde berichten zijn namelijk niet op de werkelijkheid gebaseerd. Zeus wordt gezien als de “koning van de botnets”, met name omdat het Trojaanse paard eenvoudig is te gebruiken, makkkelijk verkrijgbaar en zeer effectief is. Het was dan ook logisch dat er “copycats” zouden verschijnen die Zeus probeerden te imiteren. De “Kill Zeus” optie van SpyEye, of EyeBot zoals Trend Micro de malware noemt, laat beheerders Zeus-bots stelen. In potentie zou dat tot een botnet-oorlog kunnen leiden, maar in werkelijkheid is het nog lang niet zover.

Na twee maanden is het aantal SpyEye infecties nog altijd zeer laag. Symantec maakte een overzicht tussen de twee bots en moest daar een logaritmische schaal voor gebruiken, omdat SpyEye anders in het niets zou verdwijnen. “SpyEye heeft nog een lange weg te gaan voordat het zelfs kan hopen om Zeus als de koning van de bots omver te werpen”, aldus Hon Lau van Symantec.

(bron: security.nl)

Elke dag versturen spammers tweehonderd miljard spamberichten, voornamelijk via botnets. Uit cijfers van beveiligingsbedrijf M86 blijkt dat 78% van alle spamberichten van de top 5 botnets afkomstig is. Daarvan zijn het Rustock en Pushdo botnet bij elkaar goed voor 54%.

Het aantal kwaadaardige spamberichten, e-mails met een besmette bijlage of een link die naar een drive-by download website wijst, groeide naar drie miljard per dag. Een vervijfvoudiging ten opzichte van de 600 miljoen spamberichten die in de eerste helft van 2009 werden waargenomen. “Het is belangrijk om de grootste veroorzakers van spam te identificeren, zodat de industrie actie kan ondernemen”, zegt Technical Strategy vice president Bradley Anstis.

Zero-day
De beveiliger ontdekte verder in de tweede helft van vorig jaar dat 40% van de aanvallen via zero-day beveiligingslekken plaatsvond. “Eén van de grootste problemen met zero-day lekken is de tijd tussen de ontdekking van het lek, misbruik in het wild en het uitkomen van een patch door de leverancier.”

Dit “Window of Vulnerability” wordt steeds kleiner, maar zelfs als er een patch is verschenen, zijn gebruikers traag met het installeren ervan. Dit blijkt bijvoorbeeld met het MDAC-lek, dat in 2006 werd gepatcht, maar nog steeds zeer populair bij cybercriminelen is.

(bron:  security.nl)

Niet Conficker, maar Zeus en Koobface waren de grootste botnets van 2009, zo blijkt uit cijfers van beveiligingsbedrijf Damballa. De botnetjager zag vorig jaar duizenden verschillende botnets en identificeerde dagelijks miljoenen nieuwe besmette machines. Zeus was verantwoordelijk voor 19% van alle bots binnen bedrijfsnetwerken. In tegenstelling tot Conficker, zijn er talloze verschillende Zeus botnets, die elk een aparte beheerder hebben.

Koobface, voornamelijk actief op sociale netwerksites zoals Facebook, was goed voor 24% van alle infecties. De besmettingen waren wel over drie verschillende varianten verdeeld. Het “ClickFraudBotnet” is met een aandeel van 9% derde. De bende achter dit botnet gebruikt in tegenstelling tot andere botnets allerlei soorten malware, waarmee men “geavanceerde clickfraude aanvallen” plegen. Conficker is met een aandeel van 4% tiende in het overzicht van Damballa, dat alleen kijkt naar botnets binnen bedrijfsnetwerken.

(bron: security.nl)

Aanbieders van nep-virusscanners doen alles om internetgebruikers te misleiden, dat zelfs een live helpdesk niet wordt geschuwd. Onderzoekers van anti-virusbedrijf Symantec ontdekten een programma genaamd Live PC Care, dat zich via social engineering en exploits verspreidt. Eenmaal geïnstalleerd waarschuwt de nep-virusscanner dat het systeem besmet is.

Om gebruikers ervan te overtuigen dat het om een legitiem programma gaat, is de software voorzien van een online support knop. De knop start een live chatsessie met een bestaand persoon. “Na een aantal vragen konden we vaststellen dat het geen geautomatiseerd script, maar om een echt persoon ging”, zegt Peter Coogan. De voornaamste reden voor de chatfunctie is het wegnemen van wantrouwen en het aanmoedigen om de software te activeren. Bij het activeren moeten gebruikers namelijk betalen.

Helpdesk
Tussen juli 2008 en juni 2009 ontdekte Symantec 43 miljoen pogingen van meer dan 250 verschillende nep-virusscanners om systemen te infecteren. Gemiddeld kost de software zo’n 50 euro. “Nu makers van nep-virusscanners hun eigen helpdesk aanbieden, wordt duidelijk hoe groot deze bedrijfstak is en hoeveel het nep-virusscanner business model is gewijzigd sinds het een aantal jaar geleden voor het eerst verscheen”, aldus Coogan. Onlangs ontdekten onderzoekers ook de eerste Nederlandstalige nep-virusscanner.

(bron: security.nl)

Here is a little ‘sneak preview’ of what might already be installed on your infrastructure… Advertised features from SpyEye makers include:

•    Formgrabber (Keylogger)
•    Autofill credit card modules
•    Daily email backup
•    Encrypted config file
•    Ftp protocol grabber
•    Pop3 grabber
•    Http basic access authorization grabber
•    Zeus killer

Below you’ll find more (technical) details about the bot itself:

VirusTotal Results – [Result: 8/41 (19.51%)]
Anubis Report – [ DOWNLOAD ]

[#############################################################################]
                   MD5: 4674fd22d5ac1bcb9b2f4bca13decaea
[#############################################################################]

Summary:
    - Autostart capabilities:
        This executable registers processes to be executed at system start.
        This could result in unwanted actions to be performed automatically.

    - Changes security settings of Internet Explorer:
        This system alteration could seriously affect safety surfing the World
        Wide Web.

    - Creates files in the Windows system directory:
        Malware often keepscopies of itself in the Windows directory to stay
        undetected by users.

    - Performs File Modification and Destruction:
        The executable modifiesand destructs files which are not temporary.

    - Spawns Processes:
        The executable produces processes during the execution.

    - Performs Registry Activities:
        The executable reads and modifies registry values. It also creates and
        monitors registry keys.

[#############################################################################]

More info can be found here:

• http://www.van-manen.info/weblog/2010/02/spyeye-de-nieuwe-zeus-killer/
• http://www.symantec.com/connect/blogs/spyeye-bot-versus-zeus-bot

Waren nep-virusscanners voorheen altijd in het Engels, inmiddels is ook de eerste Nederlandstalige scareware opgedoken, maar de vertaling is belabberd. Begin januari verscheen al een versie van ‘SysDefenders’, die naast Engels ook Frans, Duits, Italiaans en Russisch ondersteunde. Nep-virusscanners laten gebruikers geloven dat hun systeem met malware besmet is en ze de aangeboden virusscanner moeten installeren en activeren, waar men voor moet betalen. Deze vorm van scareware kan zich via botnets, drive-by downloads en pop-ups verspreiden. In het laatste geval downloaden en installeren gebruikers zelf de nep-virusscanners.

Inmiddels is er een “product” op de markt voor Windows XP, Vista en Windows 7, dat onder verschillende namen zichzelf aanbiedt, zoals Antispyware 2010, Antivirus 2010 en Internet Security 2010. Het bijzondere aan deze scareware is de ondersteuning van 19 verschillende talen, waaronder Japans, Turks, Noors en Nederlands. Dat zou voor meer succes moeten zorgen, aldus anti-virusbedrijf CA.

Kwetsbare zonen
“Deze toegevoegde feature vergroot het aantal potentiële slachtoffers in landen waar de primaire taal geen Engels is. Zoals in de lijst te zien is, ondersteunt het verschillende Oost-Aziatische landen, zoals Korea, Indonesië, Japan, Maleisië en Thailand”, zegt onderzoeker Zarestel Ferrer. De vertaling lijkt via een geautomatiseerde online vertaaldienst te zijn gedaan, want de Nederlandse vertaling laat nogal wat te wensen over.

(bron: Security.nl)