Voor wie nog steeds zo dom is te geloven dat een virusscanner alles wtegenhoudt.

Started by Erik, December 3, 2011, 01:52:01

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

Erik

QuoteEr zijn inmiddels heuse 'webwinkels' voor cybercriminelen waar ze hun kwaadaardige software kunnen laten versleutelen en aanpassen zodat virusscanners de malware niet herkennen. Beveiligingsbedrijf Trusteer ontdekte naar eigen zeggen een nieuwe groep die cybercriminelen allerlei diensten aanbiedt. Het gaat naast het verzorgen van infecties, ook om polymorfische encryptie en de garantie om niet door virusscanners te worden gedetecteerd.

Voor de encryptie wordt een bedrag tussen de twintig en veertig euro gevraagd. Om detectie door anti-virus software te voorkomen moeten klanten vijftien euro voor één week betalen. Een zelfde bedrag wordt ook door een andere aanbieder gevraagd. Die rekent vijftien euro per bestand, maar geeft het geld terug als een virusscanner de malware toch detecteert.

"Sommige malware-diensten zoals het controleren door virusscanners worden gemeengoed, waardoor cybercriminelen hun diensten moeten consolideren en nieuwe diensten moeten aanbieden om competitief te blijven", zegt Amit Klein.
"You have enemies? Good. That means you've stood up for something, sometime in your life."
- Winston Churchill

squeek

Nice, tja, als je ziet hoe het gesteld is met de privacy van ons en onze digitale wereld dan verschiet je hier niet van. Big brother zeker?  :popcorn:
Onkyo TX-RZ50| Panasonic DP-UB424 | Epson tw9200 | Projecta | PS5 | Monitor audio Silver 7G 500 fronts, 100 surrounds,  AMS atmos | SVS pc13 Ultra |

Zymotic


Raphie

JBL PRX Power!

squeek

Onkyo TX-RZ50| Panasonic DP-UB424 | Epson tw9200 | Projecta | PS5 | Monitor audio Silver 7G 500 fronts, 100 surrounds,  AMS atmos | SVS pc13 Ultra |

VlisChris

Ministerie van Veiligheid en Justitie geeft het zelf ook aan.
"We kunnen niet voorkomen dat er ingebroken wordt, dus we moeten maar inzetten op monitoren zodat we weten wanneer er door wie ingebroken wordt" of iets in die strekking.
Was gister op het nieuws.
Arguing with a genius is difficult.
Arguing with an idiot is impossible.

EJ


dronebone

TS klopt

Ik heb ooit een anti-virus oplossing onder linux moeten uitrollen voor een overheidsinstantie en men had een betaalde kaspersky (die niet gemaakt was voor onze versie van redhat en alles met een factor 20 vertraagde) vs het gratis clamav.

We hebben dan een virus/malware sample van 500 binaries gedownload waarmee iets fout was en getest met beide, en het verschil in detectie was dag en nacht, met het voordeel voor clam. Maar geen van beide vond in alle 500 iets fout. Dan denk je toch eens na.

Sterker nog: recent op één van m'n pc's gebeurd: surf naar normaal uitziende site, en microsoft security essentials vindt een exploit die hij onmiddelijk verwijderd.
Ondertussen was de exploit al opgestart en begon doodleuk al mijn iconen te wissen, mijn achtergrond zwart te maken ...

Dus restore van backup en voortaan firefox + noscript.
Gelukkig staat mijn data niet lokaal op de laptop.
Golden ears: pitch test results tonedeaf test results

Lynxxx

Quote from: Erik on December  3, 2011, 01:52:01


Er is al een behoorlijke tijd een bloeiende handel in dit soort spul. Ben een tijdje geleden eens in het Blackshades (RAT) verhaal gedoken naar aanleiding van wat obscure wijzigingen op een PC van een klant. Ik struikelde toen binnen de kortste keren over tal van fora en websites waar zeer geavanceerde encryptie libraries te koop werden aangeboden alsmede diverse tips om detectie zo lang mogelijk te ontwijken. Er zijn tal van virussen etc die niet door de "grote" antivirus jongens worden herkend dus een ieder die erop vertrouwt dat ie met zijn scanner alle rotzooi buiten de deur kan houden vergist zich helaas.



Lynxxx' Barco Data 800 Website Voor al uw overige wazigheid Lynxxx.nl

Thunder

Dat een virusscanner alles tegenhoudt is inderdaad helaas een illusie. Ten eerste zijn virusscanner reactief, dat wil zeggen dat ze pas kunnen reageren als bekend is wat het virus is en hoe het verwijderd kan worden. Ten tweede is het haast onmogelijk om alles te kunnen scannen. Er is dan ook geen enkele virusscanner die in staat is 100% te ontdekken, laat staan te verwijderen.

Maar er zijn blijkbaar ook nog steeds mensen de denken dat ze zonder een scanner kunnen, vanwege bovenstaande redenen. Ok er zijn systemen die niet tot nauwelijks virussen kennen, maar onder Windows kan je niet anders. Mensen die Windows gebruiken zonder enige vorm van antivirus, zouden wat mij betreft van het internet verbannen mogen worden. Een gemiddelde Windows PC wordt zonder protectie binnen 25 minuten dat hij aan het net wordt gehangen geïnfecteerd.

Ik mag hopen dat dergelijke "webwinkels" worden opgespoord en de eigenaren flinke straffen krijgen. Dit heeft niets meer met een "geintje" te maken, voor zover je daar van kan spreken bij een virus, maar is pure cyberterrorisme!  :nopompom:
Sony 46W5500 - Onkyo TX-NR609 - Zelfbouw HTPC Win7x64-XMBC 8.5TB Schijfruimte - PS3 Slim 320GB - Apple iPad2 16GB 3G - 6x Boston Acoustics A25 - Boston Acoustics A225C Center - Soundstyle Z2 Stands Front - Apollo A2 20cm Stands Back - Epik Legend Subwoofer - Fisual Havana SW cable

dronebone

Quote from: Thunder on January 14, 2012, 07:35:04
Een gemiddelde Windows PC wordt zonder protectie binnen 25 minuten dat hij aan het net wordt gehangen geïnfecteerd.

Dat is nu een fabeltje, was uit de tijd dat windows nog een brakke of zelfs geen firewall had waarbij netbios open stond, en inderdaad unpatched waren ze zo snel binnen.
Ik spreek uit ervaring dat ik nog veel fun heb gehad met netbios exploits :)

Maar dat was meer dan 10 jaar geleden zo, hang nu maar eens een stock Windows 7 zonder updates idle aan internet, gaat weinig gebeuren.
Toen hebben we zelfs unpatched xp aan internet gehangen en laten infecteren, om te kijken of onze anti-malware producten konden opkuisen. Helaas was dat een illusie: de geinfecteerde pc bleef traag net om de reden die de TS aangaf: av producten vinden niet alles.

Ook al staat windows 7 remote gezien dicht, met een stock windows 7 naar een malware site surfen is dan weer onbetrouwbaar en riskant (zeker met een unpatched ie, flash, acrobat), maar dit is een totaal andere attack vector dan bovenstaande remote exploits waarbij er echt een poort op je pc moet openstaan die men van buitenuit kan uitbuiten.
Golden ears: pitch test results tonedeaf test results

BernHardN


Onkyo TX-NR818
Front: Vifa Sense
Sony Oled KD-65AG9

SVS Sub
Apple tv4K
Shanling MTW100

EJ

Debian! Of beter nog, OpenBSD!

Nooit gezeur met besmettingen. Hangen alletwee rechtstreeks aan Internet. Al meer dan 10 jaar.

@dronebone: hoe weet je zeker dat je windows machientjes niet besmet zijn? ....

marcelvandekamp

Quote from: EJ on January 14, 2012, 13:06:59
Debian! Of beter nog, OpenBSD!


Tja, leuk voor techneuten, helaas niet voor de gemiddelde computergebruiker. Ook Ubuntu niet!
met vriendelijke groet,

marcel

EJ

Quote from: marcelvandekamp on February 21, 2012, 22:38:11
Tja, leuk voor techneuten, helaas niet voor de gemiddelde computergebruiker. Ook Ubuntu niet!

Grappig dat wat kleine gemeentes en zo daar toch anders over denken.

MovieMax

Ik zag zoiets met hacks voor Battefield 2. De hacks die niet gedetecteerd door punkbuster waren te koop bij een of andere hackers club. Schijnbaar zijn er loosers genoeg die geld willen betalen voor hacks die niet worden gedetecteerd door punkbuster. Puur om hun stats op te waarderen. En waarom eigenlijk, de virtuele medailles kun je toch niet naar de bank brengen.

Inderdaad, als je eenmaal een virus hebt is er lastig van af te komen. Removal tools genoeg geprobeerd, maar vonden niets of konden het niet verwijderen. Meestal was een nieuwe OS installatie nodig.

De mensen met een Apple iMac schijnen nu ook de moeite te zijn als doelgroep voor virus schrijvers, puur omdat er meer erbij zijn gekomen. Ik heb nu ook een virus scanner op mijn Android telefoon.

KEF Reference 205 | KEF IQ2c | KEF Q55 | Velodyne DD-18 | Pass Labs X150.5 & X250.5 | JVC DLA-RS15 | Denon 3801 | LG 47LW570 | Viablue SC-4 silver & WBT | Oehlbach Blue Magic | Sommer 5.1 | Apogee Wyde Eye | Asus HDAV 1.3 deluxe | Harmony One | SQBox Touch | PS3 Slim | Ipad 2 | Airport Express | Auralex Gramma | Metrum Acoustics Octave DAC | Oehlbach NF 214 Master Set | AKG K 701

EJ

Volledig nieuwe installatie is de enige afdoende methode. Je weet namelijk nooit of je alles gevonden hebt, en of alles echt is verwijderd.

Forensische tip nummer 1.

Erik

Leuk virus op de mac gevonden.

QuoteEen geniepig virus dat Mac computers via een Java-lek besmet, heeft het op wachtwoorden van allerlei websites en applicaties voorzien. Het gaat om een nieuwe versie van de Flashback Trojan die onlangs werd ontdekt en nauwelijks enige interactie van de gebruiker vereist. De malware misbruikt namelijk twee beveiligingslekken in Java, waardoor het bezoeken van een kwaadaardige website met een ongepatcht systeem voldoende is.

Als de computer niet over Java beschikt of Java up-to-date is, wordt een andere methode geprobeerd. Dan verschijnt er een venster met een zelf-gesigneerd certificaat dat beweert door Apple te zijn uitgegeven. De Flashback Trojan vermijdt Mac computers met een virusscanner, vermoedelijk om detectie door anti-virusbedrijven te omzeilen.

Crashes
Is de Mac succesvol geïnfecteerd, dan worden geinstalleerde browsers en netwerkapplicaties 'gepatcht'. Dit zou de malware doen om opgeslagen wachtwoorden te stelen. Het gaat dan om inloggegevens van websites als Google, Yahoo!, CNN, banksites, PayPal en anderen.

Het aanpassen van applicaties zoals Safari en Skype, zorgt ervoor dat de programma's instabiel worden en crashen. Volgens anti-virusbedrijf Intego is dit dan ook een aanwijzing dat een Mac mogelijk geïnfecteerd is. Tevens is de Flashback Trojan ook van een automatische update methode voorzien die bij verschillende websites op nieuwe versies controleert.


extra info
http://blog.intego.com/flashback-mac-trojan-horse-infections-increasing-with-new-variant/
"You have enemies? Good. That means you've stood up for something, sometime in your life."
- Winston Churchill

WW

Heb hier al tijden een honeypot staan, komt inderdaad wel eens wat op :)