Nieuws
image

Virusschrijvers kiezen voor Kaspersky anti-virus

vrijdag 20 oktober 2006, 11:37 door Redactie, 9 reacties

Een beveiligingsonderzoeker heeft een Trojaans paard ontdekt dat een virusscanner installeert om andere malware op het overgenomen systeem te verwijderen of verdere infecties te voorkomen. De "SpamThru trojan" gebruikt de Kaspersky anti-virus engine om gekaapte systemen veilig te stellen.

In het verleden is het vaker voorgekomen dat malware andere malware probeert te verwijderen, maar het is volgens de onderzoeker de eerste keer dat dit op deze manier gebeurt. "Natuurlijk weten virusbestrijders welke anti-virus de beste detectie heeft, wat vast de reden is dat ze Kaspersky hebben gekozen" zegt Joe Stewart.

Tijdens het starten van het systeem laadt SpamThru een DLL van de controle server. Deze DLL downloadt een illegale versie van Kaspersky AntiVirus en plaatst die in een verborgen map. Daarna wordt de licentie signature in de Kaspersky DLL gepatcht, zodat er toch nieuwe signatures gedownload kunnen worden. Tien minuten na het downloaden en installeren wordt het hele systeem gescand, waarna gevonden malware tijdens de volgende herstart verwijderd wordt. De volledige analyse van dit Trojaanse paard is op deze pagina te vinden.

Reacties (9)
20-10-2006, 12:58 door Anoniem
"Mijnheer, u heeft een illegale versie van Kaspersky op uw systeem staan!
U krijgt u een boete"

"Oh, echt waar? Kaspersky is zonder mijn medeweten door SpamThru
geinstalleerd."
20-10-2006, 13:16 door Anoniem
Er van uitgaand dat de .dll engine van kasperky niet aan te passen is, is er
dan niet het gevaar dat de spamthru trojan ok wordt verwijderd?
Zou ironisch zijn.
20-10-2006, 13:38 door Anoniem
Virusschrijvers en -verzamelaars gebruiken van oudsher Kaspersky, want
die detecteert de meeste rommel in virusverzamelingen. Dat betekent
zeker niet dat Kaspersky de beste is. Virusschrijvers weten niet welke de
beste is want daar hebben ze geen verstand van.

De uitslag van een competente antivirus producttest kun je hier vinden:
http://www.security.nl/article/14535/1/32_virusscanners_getest%3B_WebWasher_nummer_%E9%E9n.html
20-10-2006, 14:25 door [Account Verwijderd]
[Verwijderd]
20-10-2006, 14:26 door [Account Verwijderd]
[Verwijderd]
20-10-2006, 17:06 door Anoniem
Door rookie
Virusschrijvers weten wel wat het beste is natuurlijk, die
hebben een testomgeving waar je u tegen zegt ;)

Ze staan erom bekend niets te testen. Dat het ondanks alle ontwerpfouten,
bugs en crashes soms hier en daar toch nog werkt mag een wonder
heten.

Het heeft me altijd verbaasd dat er geen intelligente
trojanmakers/verspreiders zijn die het anti-virus bedrijven werkelijk lastig
maken. Wat ze nu produceren is simpel te detecteren. Er zijn nog
zoveel "attack vectors" die in de praktijk nog nooit gebruikt zijn.
20-10-2006, 18:41 door Anoniem
quote:
------------------------------------------------------------------------------------------------------
Virusschrijvers en -verzamelaars gebruiken van oudsher
Kaspersky, want
die detecteert de meeste rommel in virusverzamelingen. Dat
betekent
zeker niet dat Kaspersky de beste is.
------------------------------------------------------------------------------------------------------
Het doel van een antivirus scanner is het detecteren van
virussen.
Een virusmaker wil natuurlijk dat zijn virus snel verspreid
en nauwelijks wordt opgemerkt zodat het een systeem kan
besmetten.
Dus de beste? Ja, zeker niet de slechtste!!

------------------------------------------------------------------------------------------------------
Virusschrijvers weten niet welke de
beste is want daar hebben ze geen verstand van.
------------------------------------------------------------------------------------------------------
Dat kun je niet weten, tenzij je ze allemaal kent!?

------------------------------------------------------------------------------------------------------
De uitslag van een competente antivirus producttest kun je
hier vinden:
http://www.security.nl/article/1453...er_%E9%E9n.html
------------------------------------------------------------------------------------------------------
In hoevere is hier een commercieel belang?
21-10-2006, 10:53 door [Account Verwijderd]
[Verwijderd]
21-10-2006, 12:34 door Anoniem
Door Anoniem
Het doel van een antivirus scanner is het detecteren van
virussen.
Een virusmaker wil natuurlijk dat zijn virus snel verspreid
en nauwelijks wordt opgemerkt zodat het een systeem kan
besmetten.
Dus de beste? Ja, zeker niet de slechtste!!

Wat probeer je hier nu te zeggen?

Door Anoniem
Virusschrijvers weten niet welke de
beste is want daar hebben ze geen verstand van.
------------------------------------------------------------------------------------------------------
Dat kun je niet weten, tenzij je ze allemaal kent!?
Ik ken alle competente anti-virus testinstituten, dat is een beperkte groep
die dat professioneel doet. Van de incompetente anti-virus testers die ik
ken is een groot deel virusverzamelaar of virusschrijver. Er zijn ook
journalisten die hun mogelijkheden overschatten. Malware testen is een
vak apart. Je hebt er een onafhankelijke, gecontroleerde verzameling
malware en goed test protocol voor nodig. Virusschrijvers en -
verzamelaars beschikken niet over de middelen noch de kennis om een
verantwoorde test uit te voeren.

Door Anoniem
De uitslag van een competente antivirus producttest kun je
hier vinden:
http://www.security.nl/article/1453...er_één.html
------------------------------------------------------------------------------------------------------
In hoevere is hier een commercieel belang?

Ik heb geen commercieel belang bij security.nl, eWeek, av-test.org of de
producenten van de geteste producten.

av-test.org is een commercieel bedrijf en het heeft een commercieel
belang bij het verkopen van testresultaten aan IT vakmedia en
consumentenbelangenorganisaties. av-test.org heeft geen belang in de
producenten van deelnemende anti-virus producten. Ze zijn dus
onafhankelijk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search