Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Onzichtbare Trojan steelt data van SSL streams

dinsdag 22 mei 2007, 12:21 door Redactie, 19 reacties

Er is een nieuwe versie van de Russische Gozi Trojan ontdekt, die in staat is om gegevens tijdens secure socket layer (SSL) transacties te stelen. Gozi behoort tot een van de meest complexe Trojaanse paarden bekend, en bevat allerlei features om zich onzichtbaar te maken. Als het een SSL transactie detecteert, wordt de geïnfecteerde computer volledig gemonitord. Door continu de eigen code aan te passen, onder andere via een eigen compressie programma, probeert de malware virusscanners te misleiden.

"Het is al erg genoeg dat deze nieuwe versie van Gozi de eigen code kan versleutelen en roteren, waardoor het conventionele op signature gebaseerde detectie omzeilt. Het feit dat het de keylogging functie aan en uit kan zetten als er een banksite wordt geopend, maakt het bijna niet te detecteren door normale beveiligingssoftware," zegt Geoff Sweeney. Gozi verspreidt zich via beveiligingslekken in Internet Explorer.

Volgens onderzoeker Don Jackson, die de nieuwe Gozi versie ontdekte, zouden al meer dan 10.000 rekeninggegevens en de informatie van 5200 thuisgebruikers gecompromitteerd zijn. "De informatie bevatte alles van de bank, winkel en betaaldiensten, alsmede SoFi-nummers en andere persoonlijke gegevens. Wat betreft de rekeningnummers gaat het om wachtwoorden van alle grote instellingen en online retailers," zo laat Jackson weten.

De gestolen informatie bevatte ook de logins en wachtwoorden van ambtenaren en verschillende politiediensten, en werd op een Russische server voor 2 miljoen dollar aangeboden.

"Meeste virussen afkomstig van bekenden"
MySpace overhandigt toch gegevens zedendelinquenten
Reacties (19)
22-05-2007, 12:47 door Anoniem
Toen echte mannen nog virussen schreven in Assembly, kwam
zelf morphing code regelmatig voor en kon deze wel gevonden
worden, maar die kennis is bij de heren antivirusschrijvers
kennelijk verloren gegaan.

Windows generatie.......
22-05-2007, 12:51 door [Account Verwijderd]
[Verwijderd]
22-05-2007, 12:55 door SirDice
Door Iceyoung
Door het faken van een SSL connectie met een banksite moet deze trojan zich toch blood geven.
Bloot? En waar staat dat'ie een SSL connectie hijacked?

According to Jackson, the keystroke logger appears to be activated when the user of an infected computer visits a banking Web site or initiates an SSL session.
22-05-2007, 13:37 door Anoniem
Je vraagt je nog steeds af waarom MSIE bijvoorbeeld rechten moet hebben
waarbij het deze zaken kan uitvoeren.
22-05-2007, 14:17 door Anoniem
sterk staaltjs programming.... selfmorphing, back to basics
22-05-2007, 14:29 door Anoniem
Door SirDice
Door Iceyoung
Door het faken van een SSL connectie met een banksite moet
deze trojan zich toch blood geven.
Bloot? En waar staat dat'ie een SSL connectie hijacked?

According to Jackson, the keystroke logger
appears to be activated when the user of an infected
computer visits a banking Web site or initiates an SSL
session.


Als het een SSL transactie detecteert, wordt de
geïnfecteerde computer volledig gemonitord

Volledig houd imo in dat er op dat moment niet alleen een
keylogger draait. Er wordt bovendien aangegeven dat het een
behoorlijk geavanceerde trojan is, het lijkt me dan niet erg
waarschijnlijk dat het ding alleen maar om keylogger speelt.

-Jeroen
22-05-2007, 15:12 door G-Force
Onzichtbare Trojan

Logica?

Gozi verspreidt zich via beveiligingslekken in Internet Explorer.

Eigen schuld....Er wordt al jaren van de kansel geroepen deze browser niet te gebruiken!
22-05-2007, 15:19 door [Account Verwijderd]
[Verwijderd]
22-05-2007, 15:29 door [Account Verwijderd]
[Verwijderd]
22-05-2007, 16:19 door Grudge
Door rookie
Je zou maar als onderzoeker zo'n complexe worm ontdekken (of
als computercrimineel zo'n complexe worm maken), dan zit je
er echt ongekend diep in.
Ik heb hier maar 1 woord voor: respect.

Tot dat jij het slachtoffer word van dat soort eikels...

dan heb je er geen 'respect' meer voor waarschijnlijk...

Er zijn voldoende Firefox en Opera exploits geweest waarvan
deze Trojan misbruik had kunnen maken.... (en dat zal zeker
ook nog gaan gebeuren..!)

De Trojan doet zijn best om niet gedetecteerd te worden, dit
betekend dus dat detectie niet onmogelijk is...... (dit
verhaal is op een gedecteerde Trojan gebaseerd..)

When scanned by 30 leading anti-virus products, none of them detected malware specifically; however, several of them using heuristics detected it as a "suspicious" file or "generic" threat based on the fact that it was compressed by a common malware packer, a compression utility commonly used shrink and hide malicious code in executable (EXE) files.

http://www.secureworks.com/research/threats/gozi/
22-05-2007, 23:57 door d3m0nic
Alhoewel ik zwaar tegen zulke troep ben, schuilt er toch een
bepaalde schoonheid in. De whitehats en de blackhats... de
jedi en de sith. Er is maar één remedie en dat is
internationaal keihard optreden tegen deze boeven. Zulk tuig
stop je niet met enkel 5 jaar... beter is voor elke
incident, 5 jaar te geven, zoals dat bij een overval of
beroving gaat. Dus bij 5000 besmette pc's... 25.000 jaar de
kerker in.
23-05-2007, 02:17 door G-Force
Door Iceyoung
Wat ik bedoel is dat als hij aktief wordt hij uit stealth
mode moet komen
(zich bloot stellen om de ssl connectie te detecteren en te
volgen -
activated ) op dat ogenblik is ie te traceren .

Nou, dit is echt niets nieuws hoor. In 2000 was er ook zo'n
computervirus dat voortdurend in stealth mode was,
maar soms uit zijn schuilplaats moest komen. Niets nieuws
onder de zon zou ik zeggen...
23-05-2007, 02:20 door G-Force
...Door Anoniem op dinsdag 22 mei 2007 12:47
Toen echte mannen nog virussen schreven in Assembly, ..

Jij moet beslist eens een cursus logica gaan volgen vriend!
23-05-2007, 02:24 door G-Force
Door d3m0nic
Er is maar één remedie en dat is
internationaal keihard optreden tegen deze boeven. Zulk tuig
stop je niet met enkel 5 jaar... beter is voor elke
incident, 5 jaar te geven, zoals dat bij een overval of
beroving gaat. Dus bij 5000 besmette pc's... 25.000 jaar de
kerker in.

Zou jij ook jezelf zo hard beoordelen? (denk het niet) wees
ook eens wat barmhartig voor een ander!
23-05-2007, 07:24 door Anoniem
Door Anoniem
Toen echte mannen nog virussen schreven in Assembly, kwam
zelf morphing code regelmatig voor en kon deze wel gevonden
worden, ...

"Echte mannen" hoeven hun geld niet te verdienen door middel
van diefstal...
23-05-2007, 09:47 door Anoniem
Als men slim is heeft men al weer een nieuwe versie klaar na dit bericht,
zijn de afnemers ook weer gerust gesteld.

Voor online banking ben ik niet zo bang voor een keylogger, Rabobank lijkt
mij wat dat betreft wel vrij veilig aangezien je altijd weer nieuwe codes
moet generen. Heeft men dit in het buitenland eigenlijk ook of is het daar
nog gewoner om met alleen een ww in te loggen?

Het wordt lastiger als men on the fly dingen zou weten aan te passen op
de achtergrond. Dat ipv 100 euro naar ome Belastingdienst er ineens 100
richting Rusland verdwijnt.
23-05-2007, 17:53 door G-Force
FF nog op het internet gezocht, maar als mijn conclusie
juist is (verbetering is welkom) dan is deze Trojan al
maanden eerder gesignaleerd (maart 2007)

Artikel van het ISC:
http://isc.sans.org/diary.html?storyid=2498&rss

SecureWorks:
http://www.secureworks.com/research/threats/gozi/

De virusscanners zouden deze malware al detecteren.

Daarin staan ook nog links die diep ingaan op deze malware
(via pakketsniffers). Voer voor professionals...
23-05-2007, 23:43 door Anoniem
Door Anoniem
Toen echte mannen nog virussen schreven in Assembly, kwam
zelf morphing code regelmatig voor en kon deze wel gevonden
worden, maar die kennis is bij de heren antivirusschrijvers
kennelijk verloren gegaan.

Windows generatie.......

En gelijk heb je .... ( en ik ben maar 21 winters oud. )

De verschillende morph en " rotating " zoals het hier
genoemd word, engines worden ook "los" te koop aangeboden.
En dit gebeurd al JAREN.
Whitehats lopen altijd achter de feiten aan, het gaat ze
niet om de veiligheid, het gaat ze om het geld.
24-05-2007, 07:46 door spatieman
tja,.
hoe kom je aan die troep.

1 je opend een bijlage van iemand.
2 je bezoekt sites die heel fout zijn.
3 je gebruikt een oude internet explorer
4 je gebruikt ! internet explorer
5 je bent heel naief, en vertrouwt op de virus/spyware scanner.
6 je bent zo naief met de gedachte, gebeurd mij niet.
7 je bent gewoon heeeeel dom.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search

Digitaal monitoren van werknemers op de werkvloer:

16 reacties
Aantal stemmen: 1056
Certified Secure
Edward Snowden: How Your Cell Phone Spies on You
01-12-2019 door donderslag

Hij zegt echt een hele hoop, maar er zijn een tweetal punten die ik er uit wil halen: 1. Je telefoon staat pas echt uit als de ...

40 reacties
Lees meer
Juridische vraag: Is de norm 'goed werknemerschap' aan de orde wanneer een werkgever een 2FA-app op de privételefoon verplicht?
27-11-2019 door Arnoud Engelfriet

Als werkgever in een gebied waar met gevoelige persoonsgegevens wordt gewerkt, zie ik mezelf verplicht om 2factor authenticatie ...

49 reacties
Lees meer
Nieuwe provider Freedom Internet zet in op privacy en veiligheid
11-11-2019 door Redactie

Nederland is vandaag een nieuwe internetprovider rijker die zegt zich te zullen inzetten voor privacy, veiligheid en vrijheid. ...

47 reacties
Lees meer
Vacature
Image

CTF/Challenge Developer

Wil jij ook werken bij het leukste securitybedrijf van Nederland en je coding skills in te zetten voor het ontwikkelen van de nieuwste security challenges voor onze klanten en evenementen zoals bijvoorbeeld #CTC2019 en #ECSC2019?

Lees meer
'Ransomware komt voornamelijk binnen via Office-macro'
11-11-2019 door Redactie

Wanneer het over cyberaanvallen gaat worden vaak termen als geavanceerd of geraffineerd gebruikt, maar in de praktijk blijkt ...

30 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2019 Security.nl - The Security Council
RSS Twitter