Bericht zelfmoordpoging Michael Jackson is Trojaans paard
De rechtszaak tegen popster Michael Jackson weet niet alleen op aandacht van de media te rekenen. Ook virusschrijvers proberen er gebruik van te maken, zo blijkt uit een nieuwe spamrun die door anti-virusonderzoekers ontdekt is. Het bericht in kwestie maakt melding van een zelfmoordpoging door Michael Jackson, die tevens een aantal van zijn zonden zou opbiechten. Voor de rest van het verhaal moeten gebruikers op een link met de tekst "read more" klikken. Wordt de link geopend, dan gaat men naar een website die het Trojaanse paard Troj/Borobt-Gen op de machine installeert.
"De zieke geesten verantwoordelijk voor virussen en andere malware maken vaak misbruik van bekendheden en nieuwsberichten, om op die manier zoveel mogelijk mensen te infecteren. Alle computergebruikers moeten zeer voorzichtig zijn met het openen van links en bijlages in ongevraagdes e-mails" waarschuwt anti-virusaanbieder Sophos.
http://isc.sans.org/diary.php?date=2005-06-10
meer details hierover te lezen. De gebruikte Firefox exploit
is overigens deze:
http://www.frsirt.com/exploits/20050416.MFSA200537.php
(gefixed sinds Firefox 1.03).
Voor degenen die nog de illusie hebben dat hun virusscanner
ze wel zal redden bij verse malware: ik heb even de
rplay93.exe opgehaald vanaf de op Sans aangegeven locatie,
en door http://www.virustotal.com/ gehaald. Ik
heb i.v.m. de leesbaarheid de volgorde van de kolommen
aangepast (ik kan er hier helaas geen tabel maken):
06/10/2005 at 22:38:00 (CET) after scanning the file
"Rplay93.exe" file.
Allen "No virus found" (datum update, product, versie):
06.10.2005 AntiVir 6.31.0.5
06.10.2005 AVG 718
06.10.2005 Avira 6.31.0.5
06.10.2005 BitDefender 7.0
06.10.2005 ClamAV devel-20050501
06.10.2005 DrWeb 4.32b
06.09.2005 eTrust-Iris 7.1.194.0
06.10.2005 eTrust-Vet 11.9.1.0
06.10.2005 Fortinet 2.27.0.0
06.10.2005 Ikarus 2.32
06.10.2005 Kaspersky 4.0.2.24
06.10.2005 McAfee 4511
06.09.2005 NOD32v2 1.1135
06.09.2005 Norman 5.70.10
06.10.2005 Panda 8.02.00
06.10.2005 Sybari 7.5.1314
06.10.2005 TheHacker 5.8-3.0
06.10.2005 VBA32 3.10.3
1 uitzondering, "Trojan.Dropper" werd gevonden:
06.10.2005 Symantec 8.0
detectie. Maar ik heb Symantec zelf vaak genoeg malware zien
missen die bijv. McAfee wel als kwaadaardig herkende, dus
dit zegt niet zo heel veel.
Wellicht doordat steeds meer ISP's email scannen is nu de
trend ingezet om malware via een andere route gestart te
krijgen. Naast browser exploits verwacht ik ook meer social
engineering tricks, zoals de recente MyTob al liet zien.
Erik van Straten
detectie van een virus "tot op zekere hoogte" mogelijk is. Een virusscanner
is daarom altijd aan te bevelen, maar men moet er geen wonderen van
verwachten.
flauwekul reclame als "100% detecie van in-the-wild malware"
geloven. Ik heb de test zojuist nog even herhaald:
06/13/2005 at 01:55:31 (CET) after scanning the file
"Rplay93.exe" file.
Scanners die volgens virustotal "no virus found" melden:
06.12.2005 AntiVir 6.31.0.5
06.11.2005 AVG 718
06.12.2005 Avira 6.31.0.5
06.13.2005 BitDefender 7.0
06.13.2005 ClamAV devel-20050501
06.11.2005 eTrust-Iris 7.1.194.0
06.10.2005 eTrust-Vet 11.9.1.0
06.10.2005 Fortinet 2.27.0.0
06.11.2005 Ikarus 2.32
06.10.2005 McAfee 4511
06.11.2005 NOD32v2 1.1136
06.12.2005 Norman 5.70.10
06.12.2005 Panda 8.02.00
06.13.2005 TheHacker 5.8-3.0
BackDoor.Afcore.2827 gevonden door:
06.12.2005 DrWeb 4.32b
Backdoor.Win32.Afcore.ch gevonden door:
06.13.2005 Kaspersky 4.0.2.24
06.13.2005 Sybari 7.5.1314
06.12.2005 VBA32 3.10.3
Trojan.Dropper gevonden door:
06.12.2005 Symantec 8.0
P.S. bovenstaande datums zijn in US format, maand.dag.jaar.
Erik van Straten
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.