Posted by admin | Posted in NewsFeed | Posted on 28-07-2010
0
Niet Zeus, maar Butterfly is de meest voorkomende malware ter wereld, zo blijkt uit cijfers van beveiligingsbedrijf FireEye. Was Zeus voorheen nog de nummer één onder cybercriminelen, inmiddels is het naar de derde plek afgezakt en goed voor 3,62% van alle infecties. Op de tweede plaats staat met 4,7% het relatief onbekende Trojaanse paard ‘Hiloti’. De absolute nummer één is Butterfly, ook bekend als Mariposa en Palevo. Deze malware werd op 7,5% van alle besmette machines aangetroffen. Ook de anderhalf jaar oude Conficker worm komt in het overzicht terug. Met een aandeel van 2,5% staat het op de elfde plaats.
FireEye erkent dat het lastig is om kloppende cijfers te geven. “Het bepalen van de volume van een bepaalde malware-familie is een lastige taak. Veel anti-virusbedrijven hebben dit in het verleden geprobeerd. Het probleem is dat veel van deze schattingen alleen op de eigen interne gegevens zijn gebaseerd. Aan de hand van een ‘wat wij het meeste detecteren’ techniek, die soms de eigen tekortkomingen over het hoofd ziet”, zegt Atif Mushtaq van FireEye. Het bedrijf baseerde zich daarom op de cijfers van het ‘MAX Cloud Intelligence network’ en vergeleek dat met de cijfers van andere anti-virusbedrijven.
Opvallen
Naast het aantal besmette machines, werd ook naar het aantal malware exemplaren gekeken. Dan blijkt dat het Virut-virus het meest voorkomt. “Het grote aantal unieke malware exemplaren is logisch. Virut is een file infecter die zichzelf in elk uitvoerbaar bestand op besmette computers injecteert”, aldus Mushtaq. Daardoor kan één besmette machine duizenden kopieën van de malware bevatten.
Butterfly staat pas op de negende plek als het gaat om het aantal exemplaren. “Dit is bewijs dat de cybercriminelen die erachter zitten zeer succesvol zijn in het niet opvallen.” De Butterfly-toolkit laat cybercriminelen eenvoudig een eigen botnet maken. Net als met de Zeus Trojan zijn er daardoor meerdere botnets met deze malware, maar worden die allemaal door andere criminelen beheerd. Begin maart werd één van deze Mariposa-botnets, bestaande uit 13 miljoen computers, door de autoriteiten ontmanteld.
(bron: security.nl)
Posted by admin | Posted in NewsFeed | Posted on 23-04-2010
0
Anti-virusbedrijven zijn verdeeld over het gevaar van ‘Zeus-killer’ SpyEye, toch kan de malware gegevens stelen van gebruikers die met verminderde rechten inloggen. In februari berichtte Symantec over een nieuw Trojaans paard dat de mogelijkheid heeft om de Zeus Trojan te verwijderen. Zeus is de populairste Trojan van dit moment en wordt op grote schaal ingezet voor het plunderen van bankrekeningen. Volgens sommige experts komt SpyEye niet eens in de buurt van Zeus en is er helemaal geen sprake van een oorlog tussen virusschrijvers.
Beveiligingsbedrijf PrevX zegt dat het een toename van SpyEye infecties ziet. Hoewel het geen complexe malware is, omschrijft Marco Giuliani het als het perfecte stereotype van huidige malware infecties. “Ontworpen om met eenvoudige infectie technieken gevoelige gegevens te stelen. De code is eenvoudig, maar op hetzelfde moment effectief.” Volgens Giuliani laat SpyEye het gat tussen malware ontwikkelaars en het klassieke antwoord van virusscanners zien.
Versleuteld
Volgens PrevX heeft SpyEye de potentie om de volgende Zeus Trojan te worden. Het is goedkoper dan Zeus, de code is effectief en de toolkit laat gebruikers binnen minuten hun botnet Command & Control server en Trojaanse paard opzetten. Eenmaal actief op een systeem injecteert SpyEye code in alle processen waar het toegang toe krijgt. Vervolgens kaapt het verschillende Windows en browser API’s waarbij het ook user mode rootkit technieken gebruikt.
Door de browser processen te kapen, kan het gevoelige informatie stelen, zelfs van met SSL-versleutelde websites. “Door deze techniek is het zelfs in staat om klassieke anti-keyloggers te omzeilen die toetsaanslagen versleutelen.” De gestolen informatie wordt vervolgens via HTTP naar de C&C server gestuurd.
Mythe
SpyEye maakt ook een einde aan de mythe dat gebruikers met verminderde rechten geen risico op malware lopen. “Dat is niet zo”, zegt Giuliani. Het Trojaanse paard kan zich probleemloos op een beperkt account installeren en gegevens stelen. “Ik hoor veel mensen zeggen dat ze geen virusscanner nodig hebben omdat ze Windows met een beperkt account gebruiken: het kan zijn dat ze al met SpyEye besmet zijn.”
(bron: security.nl)
Posted by admin | Posted in NewsFeed | Posted on 16-04-2010
0
Eén van de gevaarlijkste Trojaanse paarden van het moment gebruikt de Launch actie in PDF-bestanden om systemen te infecteren. Zowel M86 als Websense waarschuwen voor een spamcampagne die een PDF-bestand genaamd ‘Royal Mail Delivery Invoice’ verspreidt. In het bestand zit de Zeus Trojan ingebed, die automatisch bij het openen van de PDF wordt geïnstalleerd. Gebruikers van Adobe Reader en Foxit Reader krijgen wel een waarschuwing, maar hebben toch de mogelijkheid het bestand te openen.
“De gebruiker denkt ten onrechte dat het gewoon een PDF bestand is, en daarom veilig om op te slaan. Het bestand is in werkelijkheid een uitvoerbaar Windows bestand die de computer overneemt”, aldus Websense. De e-mail in kwestie beweert dat er een pakketje niet kon worden afgeleverd en men voor vragen de meegestuurde rekening moet bekijken. Zeus is met name populair omdat het gegevens voor internetbankieren en andere vertrouwelijke informatie kan stelen.
(bron: security.nl)
Posted by Godert Jan van Manen | Posted in Nieuwsberichten | Posted on 12-03-2010
0
Het aantal infecties door de Zeus-bot is de afgelopen drie maanden explosief gestegen, zo blijkt uit cijfers van Microsoft. Het succes van de malware wordt verklaard doordat die continu wordt bijgewerkt. Verschillende distributeurs beheren en verspreiden de Zeus malware, ook bekend als Zbot en WSNPoem. De eerste varianten verschenen eind 2006 en na ruim drie jaar is Zeus nog steeds zeer actief. “Als je door deze malware bent geïnfecteerd, volstaat het om te zeggen dat je niet alleen bent”, zegt Jireh Sanico van het Microsoft Malware Protection Center.
Bijna 75% van de infecties bevinden zich in de Verenigde Staten en Groot-Brittannië. Zeus steelt inloggegevens voor internetbankieren en veel banken in deze twee landen gebruiken alleen een gebruikersnaam en wachtwoord. Voor gebruikers die willen controleren of ze met Zeus besmet zijn of vermoeden dat er een nieuwe variant op het systeem staat die virusscanners niet herkennen, heeft Sanico een uitgebreide uitleg online gezet. Via wat “command line kungfu” is het niet alleen mogelijk om de malware te vinden, maar ook om die uit te schakelen.
Slachtoffers
Ondertussen blijft het aantal Amerikaanse bedrijven dat slachtoffer wordt groeien. Recentelijk zag een garagebedrijf hoe cybercriminelen 150.000 euro van de rekening haalden. De bank wist een deel van de transacties te stoppen en vergoedde de rest. Het bedrijf kreeg te horen dat op dezelfde dag vier a vijf andere klanten van de bank ook waren gehackt.
(bron: security.nl)
Posted by Godert Jan van Manen | Posted in Nieuwsberichten | Posted on 18-02-2010
1
Een nieuw botnet dat het beruchte Zeus botnet aanvalt, blijkt nauwelijks iets voor te stellen. Vorige week kwam anti-virusbedrijf Symantec met de aankondiging van de SpyEye Trojan, die onder andere de Zeus bot op besmette machines verwijderde. Volgens Symantec’s Peter Coogan zou dit tot een nieuwe botnet-oorlog kunnen leiden, zoals in het verleden met Beagle, Netsky en Mydoom gebeurde.
Inmiddels beweren ook andere anti-virusbedrijven dat een oorlog tussen cybercriminelen mogelijk is. “Sommige EyeBot eigenschappen doen ons geloven dat dit tot een nieuwe botnet-oorlog kan leiden, net als we een aantal jaren geleden met Netsky en Mydoom zagen”, zegt Roland Dela Paz van Trend Micro. Daarmee herhaalt ze bijna letterlijk wat Symantec een week eerder vertelde, maar die komt nu terug op een mogelijke oorlog.
Oorlog
De door de media aangewakkerde berichten zijn namelijk niet op de werkelijkheid gebaseerd. Zeus wordt gezien als de “koning van de botnets”, met name omdat het Trojaanse paard eenvoudig is te gebruiken, makkkelijk verkrijgbaar en zeer effectief is. Het was dan ook logisch dat er “copycats” zouden verschijnen die Zeus probeerden te imiteren. De “Kill Zeus” optie van SpyEye, of EyeBot zoals Trend Micro de malware noemt, laat beheerders Zeus-bots stelen. In potentie zou dat tot een botnet-oorlog kunnen leiden, maar in werkelijkheid is het nog lang niet zover.
Na twee maanden is het aantal SpyEye infecties nog altijd zeer laag. Symantec maakte een overzicht tussen de twee bots en moest daar een logaritmische schaal voor gebruiken, omdat SpyEye anders in het niets zou verdwijnen. “SpyEye heeft nog een lange weg te gaan voordat het zelfs kan hopen om Zeus als de koning van de bots omver te werpen”, aldus Hon Lau van Symantec.
(bron: security.nl)
Posted by Godert Jan van Manen | Posted in Nieuwsberichten | Posted on 16-02-2010
3
Niet Conficker, maar Zeus en Koobface waren de grootste botnets van 2009, zo blijkt uit cijfers van beveiligingsbedrijf Damballa. De botnetjager zag vorig jaar duizenden verschillende botnets en identificeerde dagelijks miljoenen nieuwe besmette machines. Zeus was verantwoordelijk voor 19% van alle bots binnen bedrijfsnetwerken. In tegenstelling tot Conficker, zijn er talloze verschillende Zeus botnets, die elk een aparte beheerder hebben.
Koobface, voornamelijk actief op sociale netwerksites zoals Facebook, was goed voor 24% van alle infecties. De besmettingen waren wel over drie verschillende varianten verdeeld. Het “ClickFraudBotnet” is met een aandeel van 9% derde. De bende achter dit botnet gebruikt in tegenstelling tot andere botnets allerlei soorten malware, waarmee men “geavanceerde clickfraude aanvallen” plegen. Conficker is met een aandeel van 4% tiende in het overzicht van Damballa, dat alleen kijkt naar botnets binnen bedrijfsnetwerken.
(bron: security.nl)
Posted by Godert Jan van Manen | Posted in Nieuwsberichten | Posted on 10-02-2010
1
Een nieuwe oorlog tussen virusschrijvers lijkt aanstaande, aangezien onderzoekers een Trojaans paard hebben ontdekt dat de beruchte Zeus bot uitschakelt. De Zeus crimeware toolkit is één van de populairste toolkits van dit moment en geeft aanvallers de mogelijkheid om online bankrekeningen te plunderen. Eind december verscheen er een nieuwe toolkit uit Rusland, genaamd SpyEye. Het programma wordt op “ondergrondse fora” voor zo’n 350 euro aangeboden. “Aangezien het nog relatief nieuwe is, zien we nog niet zoveel SpyEye activiteit”, zegt Symantec’s Peter Coogan. Gezien de ontwikkeling van nieuwe features zou dit weleens de toekomstige koning van crimeware toolkits kunnen worden, zo merkt hij op.
SpyEye lijkt zelfs iets op Zeus. Zo bevat het een module voor het maken van Trojan bot executables met een configuratiebestand en een webpaneel voor beheer van het C&C botnet. Naast het stelen van creditcardgegevens, FTP en POP wachtwoorden, slaat het ook toetsaanslagen op. De nieuwste versies zijn van een “Kill Zeus” optie voorzien. Als een systeem voor de SpyEye infectie al met een Zeus bot besmet is, kan SpyEye de informatie naar de Zeus C&C server kapen. Het is zelfs mogelijk om Zeus van het systeem te verwijderen. “Als het gebruik van SpyEye toeneemt, kan het een invloed op de Zeus botnets hebben en tot vergelding van de makers van de Zeus crimeware toolkit leiden. Dit kan op zijn beurt weer tot een nieuwe bot-oorlog leiden, zoals we in het verleden met Beagle, Netsky en Mydoom hebben gezien”, aldus Coogan.
(Bron: Security.nl)
