Het domein bank-auth.org word gebruikt om windows gebruikers te infecteren met exploits.

Peter V, even een reactie op je laatste punt.

Dit is altijd zo, iedere AV company heeft zijn eigen signatures. En niet iedereen detecteert malware op hetzelfde tijdstip..

Kaspersky was gewoon op het juiste tijdstip, op de juiste plek. En deed mee me individuele onderzoeken wat betreft dit virus.

Zulke lui moet je in de gaten houden zulke onderzoekers,want dat zijn de grootse hacktuig

Peter V

Het is niet alleen Kaspersky die alle op de server gevonden malware detecteert in de gegeven VT resultaten.

Maar je moet ook niet al teveel op VirusTotal resultaten vertrouwen. Wanneer daar iets niet wordt gedetecteerd door product X wil dat nog niet direct zeggen dat 't op je eigen systeem ook niet wordt gedetecteerd door product X.
Ik heb al zo vaak gezien dat malware samples hier op mijn eigen systeem gewoon werden gedetecteerd d.m.v. definities en op VT werd het niet gedetecteerd op dat moment. Pas uren later had dezelfde scanner op VT de definities om die malware te detecteren.

Je kunt VT eigenlijk niet gebruiken om AV's te vergelijken, zeker niet wat betreft detectie van nieuwe malware door de verschillende AV's. Het is wel een hele handige service om verdachte bestanden te controleren.

Hallo,

Het vervelende is echter, dat tot op heden de Hermes Trojan nog niet door bijna alle bekende antivirus software wordt herkend:
Volgens de virustestsite VirusTotal is geen van de veertig antivirusprogramma's die het meest gebruikt worden nog in staat de Hermes-trojan te ontdekken. :
https://www.virustotal.com/file/5bfcce4e5c674592942c10be6654eeda3d38ee727275934275ebfc400e50f93e/analysis/1344527199/

Hier moet snel wat gebeuren....
Cheers, JanW.

VT heeft wel de juiste hash codes:

SHA256: 4db33e065a74ca240850f451f73b14cf52e72ba487f7f367f29889b0a6ecb32b
SHA1: 572d18b380eb975fddd5da5754ff28a77e70d048
MD5: 493887a87cd95b004f9ffbbaaecd1ac6
File size: 151552 bytes
File name: a.ex

https://www.virustotal.com/file/4db33e065a74ca240850f451f73b14cf52e72ba487f7f367f29889b0a6ecb32b/analysis/

Dat is ook mijn ervaring, namelijk dat de definities op Virustotal af en toe achterlopen op wat je thuis op je desktop hebt, met name bij de AV boeren die meerdere keren per dag updates aanbieden. Immers VT toont tegenwoordig slechts een datum van laatste update (terwijl ze vroeger de laatste update per product exact specificeerde).
Klopt. Maar niet om wat https://www.virustotal.com/faq/ en https://www.virustotal.com/about/ als disclaimers vermelden, maar omdat antivirus tegenwoordig prima vergelijkbaar is met Russisch Roulette. Dorifel heeft dat nog eens fijntjes aangetoond.

Feit is dat malwaremakers hun malware net zo lang manipuleren totdat deze door geen enkele (of hooguit door de minder gebruikte scanners in een bepaald continent) wordt herkend. Daarna is het een gokspel hoe lang het duurt totdat jouw virusscanner dat specifieke malware-exemplaar herkent. Belangrijk: het onderstaande zijn veelal vermoedens, ik heb er geen bewijzen voor, maar wel aanwijzingen:

- Om te beginnen moet iemand of iets vaststellen dat het om malware gaat. Dat zoiets niet vanzelf gaat blijkt uit Stuxnet en opvolgers, die jaren actief kunnen zijn voordat iemand vaststelt dat het om malware gaat.

- AV boeren krijgen veel meer malware te aangeboden dan ze kunnen analyseren. Binnengekomen malware zal, net als een buslading patiënten bij een EHBO post, een bepaalde prioriteit krijgen, bijv. op basis van het aantal meldingen en de reputatie van de melder (zie bijv. http://forums.malwarebytes.org/index.php?showforum=51). Voor Dorifel kwamen er alleen meldingen uit Nederland. Zoiets krijgt dan niet meteen prioriteit, zeker niet als er op dat moment iets anders is dat de aandacht afleidt en/of het vakantietijd is waardoor er minder personeel voorhanden is.

- Er verschijnt zoveel malware dat het onmogelijk is dat alle virusscanners alle ooit verspreide malware detecteren. Voor malware die niet wijd verspreid lijkt te zijn, vooral als deze ogenschijnlijk niet veel kwaad kan, zullen veel AV boeren helemaal geen definitie toevoegen. Zeker als de malware ondertussen alweer vervangen is door een actueler exemplaar.

- Gebruikers willen niet alleen detectie, maar een totaaloplossing. Als er bestanden hersteld moeten worden dan ben je daar als ontwikkelteam wel even mee zoet. Dat kost geld. Er wordt ongetwijfeld een afweging gemaakt wat de prioriteit is om aan een bepaalde "uitbraak" te werken en het economisch verlies als je niets doet. Daarbij worden concullega's goed in de gaten gehouden: als niemand rent hoef jij ook niet.

- Een aantal AV boeren heeft slechte ervaringen met het te snel uitbrengen van definities, omdat die ook false positives (o.a. op systeembestanden) kunnen veroorzaken. Nadat de definities zijn gemaakt, volgt er een testproces (of niet, maar dan komt het risico wel bij de eindgebruiker te liggen).

- Pas daarna worden de definities verspreid, en ergens daarna ontvangen en installeren jij en Virustotal ze, waarbij dat bij VT vaak langer duurt (nb ik ken organisaties die de uitrol van AV definities bewust vertragen met 1 a 2 dagen na eerdere slechte ervaringen met niet meer bootende systemen).

Terug naar VT: in haar eerder genoemde FAQ en About pagina's wijst VT erop dat VT geen gebruik maakt commandline scanners die geen (m.i. zwaar overschatte) behavioral detection mogelijkheden hebben.

Er zijn twee scenario's voor behavioral detection op je PC:
(1) in een sandbox, maar dat vreet tijd en dat hebben gebruikers er niet voor over, en veel malware is in staat sandboxes te detecteren;
(2) live op je systeem: dit is de praktijk.

In het tweede geval draait de malware al en kan al allerlei schade hebben aangericht voordat deze wordt gedetecteerd (bijv. doordat deze zichzelf aanmeldt in één van de vele "autorun" mogelijkheden). Fijn dat AV me vertelt dat ik ben beschoten, geraakt en nu zoveel bloed verlies dat ik naar het ziekenhuis moet. Dit is beter dan niks maar niet wat ik me bij "anti-virus" voorstel ("post-virus" software is hier een betere naam voor).

Conclusie: inderdaad kun je door enkele malware-exemplaren naar VT te uploaden niet zeggen dat virusscanner A beter is dan B - omdat A hem wel detecteert en B (nog) niet. Echter, als je regelmatig verse malware naar VT oploadt tekent zich wel een patroon af: verse malware wordt door bijna geen enkele virusscanner gedetecteerd. Als je de dagen daarna dezelfde malware uploadt, kun je wel iets zeggen over de snelheid van AV-boeren, en of het überhaupt tot detectie komt. Maar je zult erg veel moeten testen, want ook doorgaans snelle AV-boeren zitten er wel eens naast.

Om die reden is detectiesnelheid slechts één van de criteria (en m.i. niet de belangrijkste) om een voor jouw situatie redelijk zinvolle antivirusoplossing te kiezen. Maar reken je niet rijk (met geen enkele oplossing): alleen AV en een firewall gaan jouw PC (of die van je werknemers) niet veilig houden.

Absoluut!

Ben ik nu de enige die het niet bepaald van een hoog niveau vind dat meneer Gevers zoveel details over die server in het publieke domein gooit?! Hij weet volgens zijn eigen zeggen donders goed de weg naar de juiste partijen te vinden om de informatie mee te delen, hou het daar dan ook bij! Deel het alleen met betrouwbare partijen en hou verder richting het internetpubliek uit veiligheid je mond over details tot het wel kan! Ik noem het aandachtsgeilheid van Gevers. Niks mis met zijn bevindingen, maar het is heeeel dom hoe en wanneer hij de details in het publiek gooit.

Goed verhaal van meneer Gevers. Het ip-adres lijkt weer veranderd of ik heb een andere DNS-server. Bij mij wijst bank-auth.org naar 141.8.224.161 (Zwitserland).

Heb je zijn blog gelezen? Hij meldt gewoon dat hij al is veroordeeld hiervoor en dat hij er van geleerd heeft.

Peter

Ja ben ik met je eens...

Bevindingen niet slecht, maar het gooit roet in het eten van een eventueel strafrechtelijk onderzoek.

Het onderzoek is juist nav de blogpost gestart... Anders had er 0,0 gebeurt, zoals dat gebruikelijk is bij banken, die doen namelijk zelden tot nooit aangifte.