Cybercriminelen produceren voortdurend nep-scanners
26-02-2009,16:29 door
Het lijkt wel of er een epidemie uitgebroken is van nep-scanners. Eerst worden internetgebruikers getrakteerd op VirusDoctor, dan weer MalwareDoctor en nu meldt [url=http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-022607-5140-99&tabid=2]Symantec[/url] een nieuwe Misleading AV-Application: ThreatNuker. En als dat niet genoeg is, [url=http://www.security.nl/artikel/27542/1/Reclamebanner_besmet_internetgebruikers_via_PDF-lek.html]meldt de Redactie van Security.nl[/url] vandaag (donderdag 26 februari) dat via kwaadaardige reclamebanners een lek in Adobe Reader wordt uitgebuit om een nep-scanner te installeren. In dit geval Anti-Virus-1. Tussen 2006 en 2009 werden over de 200 nepscanners op het internet gezet.
Als paddenstoelen lijken deze nep-scanners uit de grond te schieten. Zo is een kwaadaardige website met content van het net verdwenen, zo is er weer een nieuwe ontstaan. In de voortdurende strijd tegen malware waar ondergetekende zich mee bezighoudt, lijkt het wel of een Tsunami van malware-applicaties van nep-scanners de ronde doen. Zelfs Internet Provider XS4ALL (waar ik goede ervaringen mee heb) was niet in staat om ThreatNuker te detecteren tijdens het versturen van de besmette zip-bestand naar Kaspersky, en dat terwijl hun scanners elke nieuwe bedreiging van de afgelopen tijd netjes hadden gedetecteerd en geblokkeerd. Via [url=http://www.virustotal.com/nl/]VirusTotal[/url] bleek ook dat geen enkele virusscanner ThreatNuker kon detecteren.
Voorlopig heb ik F-Secure en Kaspersky gewaarschuwd voor dit bestand. Vandaag heb ik vrij direct van F-Secure (om 14:30 uur) vernomen dat het inderdaad een kwaadaardige applicatie betreft en dat er virusdefinities zullen worden geschreven. De site, waar deze nep-scanner wordt verspreid is al aangegeven bij Google en Microsoft. De kwaadaardige scanner wordt verspreid via de site: threatnuker(dot)com, alwaar je de scanner handmatig moet downloaden en installeren.(Ga dus deze site niet bezoeken a.u.b. dit omdat het nog niet bekend is welke bedreigingen nog meer via deze nep-applicatie wordt verspreid.)
Wie de CLSID-s van ThreatNuker wil blokkeren moet dat doen met de volgende controls:
(Bron: Symantec)
HKEY_CLASSES_ROOT\CLSID\{1334158E-0314-405F-84E2-504815415812}
HKEY_CLASSES_ROOT\CLSID\{9A1D3451-03D2-AADD-034E-35D42B5B1B27}
Wie [url=http://www.javacoolsoftware.com/spywareblaster.html]SpywareBlaster[/url] heeft kan deze CLSID-s blokkeren. Start daarvoor SpywareBlaster op, ga naar Tools, daarna naar Custom Blocking. Klik op Ad-item, voeg de naam van de malware en geef OK in. Daarna kopieren en plakken in het volgend pad (er staan al haken met nullen ertussen in het pad, die kun je weg halen):
{1334158E-0314-405F-84E2-504815415812}
{9A1D3451-03D2-AADD-034E-35D42B5B1B27}
Vink de betreffende nieuwe items aan, en klik daarna op de knop: Protect Against Checked Items. De rode kleur van de nieuwe ingevoerde items verandert in zwarte tekst. Nu weet je dat deze controls zijn uitgeschakeld waardoor ThreatNuker niet geinstalleerd kan worden. Voordat er nieuwe definities voor de virusscanners zijn uitgegeven is het blokkeren van deze CLSID-s voorlopig een goede optie.
Link: http://www.security.nl/artikel/27022/1/AV-bedrijven_reageren_langzaam_op_dreigingen.html
Als paddenstoelen lijken deze nep-scanners uit de grond te schieten. Zo is een kwaadaardige website met content van het net verdwenen, zo is er weer een nieuwe ontstaan. In de voortdurende strijd tegen malware waar ondergetekende zich mee bezighoudt, lijkt het wel of een Tsunami van malware-applicaties van nep-scanners de ronde doen. Zelfs Internet Provider XS4ALL (waar ik goede ervaringen mee heb) was niet in staat om ThreatNuker te detecteren tijdens het versturen van de besmette zip-bestand naar Kaspersky, en dat terwijl hun scanners elke nieuwe bedreiging van de afgelopen tijd netjes hadden gedetecteerd en geblokkeerd. Via [url=http://www.virustotal.com/nl/]VirusTotal[/url] bleek ook dat geen enkele virusscanner ThreatNuker kon detecteren.
Voorlopig heb ik F-Secure en Kaspersky gewaarschuwd voor dit bestand. Vandaag heb ik vrij direct van F-Secure (om 14:30 uur) vernomen dat het inderdaad een kwaadaardige applicatie betreft en dat er virusdefinities zullen worden geschreven. De site, waar deze nep-scanner wordt verspreid is al aangegeven bij Google en Microsoft. De kwaadaardige scanner wordt verspreid via de site: threatnuker(dot)com, alwaar je de scanner handmatig moet downloaden en installeren.(Ga dus deze site niet bezoeken a.u.b. dit omdat het nog niet bekend is welke bedreigingen nog meer via deze nep-applicatie wordt verspreid.)
Wie de CLSID-s van ThreatNuker wil blokkeren moet dat doen met de volgende controls:
(Bron: Symantec)
HKEY_CLASSES_ROOT\CLSID\{1334158E-0314-405F-84E2-504815415812}
HKEY_CLASSES_ROOT\CLSID\{9A1D3451-03D2-AADD-034E-35D42B5B1B27}
Wie [url=http://www.javacoolsoftware.com/spywareblaster.html]SpywareBlaster[/url] heeft kan deze CLSID-s blokkeren. Start daarvoor SpywareBlaster op, ga naar Tools, daarna naar Custom Blocking. Klik op Ad-item, voeg de naam van de malware en geef OK in. Daarna kopieren en plakken in het volgend pad (er staan al haken met nullen ertussen in het pad, die kun je weg halen):
{1334158E-0314-405F-84E2-504815415812}
{9A1D3451-03D2-AADD-034E-35D42B5B1B27}
Vink de betreffende nieuwe items aan, en klik daarna op de knop: Protect Against Checked Items. De rode kleur van de nieuwe ingevoerde items verandert in zwarte tekst. Nu weet je dat deze controls zijn uitgeschakeld waardoor ThreatNuker niet geinstalleerd kan worden. Voordat er nieuwe definities voor de virusscanners zijn uitgegeven is het blokkeren van deze CLSID-s voorlopig een goede optie.
Link: http://www.security.nl/artikel/27022/1/AV-bedrijven_reageren_langzaam_op_dreigingen.html
