Geïnfecteerde Winlogon.exe lastig te detecteren
Het infecteren van gebruikers via kwaadaardige codecs en filmpjes van recente incidenten is nog altijd een zeer populair, en besmettingen zijn vaak lastig te detecteren. Virusonderzoekers hebben een nieuwe variant van het Kibik virus ontdekt dat zichzelf injecteert in een ongebruikt gedeelte van Winlogon.exe. In tegenstelling tot veel andere malware verandert hierbij de grootte van het bestand niet. Het laat ook geen sporen achter in het Windows register of past andere bestanden aan. Toch laadt de malware zichzelf elke keer dat de machine start.
Eenmaal geïnfecteerd heeft een aanvaller volledige controle over de machine, en downloadt de malware nieuwe bestanden. De betreffende variant werd verspreid via codecs, maar andere versies worden ook als web exploit "aangeboden". McAfee omschrijft de malware als een "geniep parasitisch virus", dat door maar weinig beveiligingsbedrijven wordt gedetecteerd.
veranderd is?
Vreemd. Je kunt toch controleren of de hash van Winlogon.exe
veranderd is?
welke overschreven worden? Schakelt het virus dat dan uit? En hoe krijgt
het virus toegang tot de systeem bestanden?
zijn niets nieuws. Wedden dat het mechanisme voor het infecteren van
winlogon.exe gejat is uit een van deze oude virussen _EN_ dat de antivirus
programma's/producenten het signatuur voor dit mechanisme niet meer in
hun databases hebben?
Je kunt toch controleren of de hash van Winlogon.exe
veranderd is?
Dat doet me denken aan een dos-tooltje wat ik destijds
gebruiktte: integrity master van stiller research. Ik zie
dat we nog steeds bij versie 4.21a zijn gebleven...
Iemand een beter (moderner, lange bestandsnaam compatible)
proggel bekend ?
Groet,
Robert
Onder normale omstandigheden restored Windows toch systeem files
welke overschreven worden? Schakelt het virus dat dan uit? En hoe krijgt
het virus toegang tot de systeem bestanden?
De systeem files worden niet overschreven, maar veranderd. De malware
nesteld zich als een 'echt' virus in het winlogon.exe programma zonder de
functionaliteit aan te tasten. Het programma krijgt alleen _extra_
funtionaliteit ;-)
De enige vraag is of Windows niet met een soort checksum zijn systeem
files controleerd ??? en zo ja hoe de malware dat omzeild.
system files getriggerd?
iedere 15 seconden alle lokale Windows bestanden
controleerd. De hashes staan bij MS, om te voorkomen dat
deze ook lokaal worden aangepast. Daarbij treedt geen
performance verlies op en wordt minimale bandbreedte gebruikt.
Hosts file en DNS kunnen zelfs niet meer aangepast worden
zonder een Internetdiploma of in het bijzijn van een
Microsoft Helpdesk medewerker.
Dus..... (ofzo)
van Winlogon.exe
Dat geeft dus aan dat er een mogelijkheid tot injecteren
mogelijk is, een kwestie van ervoor zorgen dat er geen
ongebruikt gedeelte in winlogon aanwezig is.
Als er dan iets gewijzigd word aan Winlogon moet de hash wel
opnieuw worden aangemaakt omdat de documentgroote is gewijzigd.
Met een 'ongebruikt gedeelte' is het mogelijk om spaties te
vervangen met code terwijl de documentgroote gelijk blijft
en het systeem 'gefopt' kan worden ongeacht de bijbehorende
hash.
opgelost moeten zijn.....
signature zodat je weet dat ze van microsoft afkomstig zijn en dat het
bestand niet is aangepast.
Met http://www.runscanner.net kan je van al je automatisch opstartende
bestanden kijken of de signature nog klopt en zo potentieële malware
detecteren. (ongeveer zoals hijackthis, maar dan beter)
Wat is er leuk aan iemand anders zijn computer te slopen?
( Met VBScript kan je leuke dingen doen.. )
van Winlogon.exe
Dat geeft dus aan dat er een mogelijkheid tot injecteren
mogelijk is, een kwestie van ervoor zorgen dat er geen
ongebruikt gedeelte in winlogon aanwezig is.
Als er dan iets gewijzigd word aan Winlogon moet de hash wel
opnieuw worden aangemaakt omdat de documentgroote is gewijzigd.
Met een 'ongebruikt gedeelte' is het mogelijk om spaties te
vervangen met code terwijl de documentgroote gelijk blijft
en het systeem 'gefopt' kan worden ongeacht de bijbehorende
hash.
Als ik winlogon.exe verwijder of beeindig beschadig ik dan mijn laptop?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.