image

Harde schijf rootkit plundert online bankrekeningen

zaterdag 9 februari 2008, 09:57 door Redactie, 15 reacties

De harde schijf rootkit die begin dit jaar in het wild werd gesignaleerd blijkt slechts een testversie te zijn, inmiddels zijn de auteurs de volgens fase van hun "project" ingegaan, het plunderen van online bankrekeningen. In januari verschenen er zo'n twintig exemplaren van de malware, maar de uitbraak kwam tot een abrupt einde, wat virusonderzoekers deed verbazen. De varianten werden, zoals nu blijkt, alleen ingezet ter "kwaliteitscontrole". Informatie van geïnfecteerde systemen, zoals hardware en software gegevens, waaronder crash dumps in het geval als de rootkit driver een blauw scherm veroorzaakte, werden naar de auteurs gestuurd.

Aan de hand van deze informatie konden de auteurs de rootkit verbeteren, en zijn er weer nieuwe varianten ontdekt. Die zijn verder ontwikkeld dan hun voorgangers en hebben ook een ander doel, namelijk het plunderen van online bankrekeningen. Onderzoekers hebben een connectie met de beruchte Sinowal banking Trojan ontdekt. Deze malware werd ook ingezet om de rekeningen van Postbankklanten te legen. De rootkit downloadt verschillende DLL modules die in andere processen worden geïnjecteerd, zoals winlogon.exe en services.exe. De geïnjecteerde DLL downloadt weer een bestand met informatie over de aan te vallen bank.

3x kloppen helpt niet
Aangezien de malware lokaal de bankrekening plundert hebben zowel de bank als het slachtoffer niets door. Sinowal kan ook de online afschriften manipuleren, zodat het slachtoffer denkt dat er niets aan de hand is, maar criminelen inmiddels over zijn of haar geld beschikken. Zelfs het 3x kloppen advies van de Nederlandse banken kan er niet voor zorgen dat criminelen de bankrekening plunderen.

De rootkit communiceert op precies dezelfde manier met de remote server als Sinowal, wat volgens Symantec teken is dat de malware alleen als springplank fungeert. "We kunnen zeggen dat de rootkit zich in een soort "release candidate" fase bevindt. Het aantal infecties is beperkt, en de bende wacht waarschijnlijk op de resultaten van deze test om te zien of ze doorgaan met het compromitteren van meer computers," zegt Elia Florio.

Volgens Florio zijn de auteurs zeer vaardige programmeurs, die ver boven de gemiddelde virusschrijver uitsteken. De rootkit, die zich verspreidt via iFrames en ongepatchte beveiligingslekken, infecteert de eerste 16 fysieke harde schijven van de computer, maar kan ook USB-sticks en externe schijven infecteren. De malware werkt probleemloos op Windows XP, Linux-gebruikers hoeven nog niet te vrezen.

Reacties (15)
09-02-2008, 12:31 door spatieman
gezellig dan..
09-02-2008, 13:24 door Anoniem
Als de onderzoekers deze details hebben achterhaald, dan weten ze
inmiddels wie de boosdoeners zijn. Waarom doen ze daar dan niks mee?
09-02-2008, 13:36 door [Account Verwijderd]
[Verwijderd]
09-02-2008, 14:08 door Eerde
De malware werkt probleemloos op Windows XP,
Linux-gebruikers hoeven nog niet te vrezen.
So far so good ;)
09-02-2008, 16:13 door Anoniem
DLL gelukkig draai ik SUSE
09-02-2008, 16:38 door Anoniem
hoe komen die dan aan zoveel kennis? dat zou ik nou wel eens willen
weten..
09-02-2008, 17:29 door Anoniem
Door Jos Visser
Een aantal jaren terug verzuchtte we nog: "What if
smart people wrote viruses?"
Wel, zover is het dus gekomen.

Nu lijkt me dat we te Nederland een aanzienlijke hoeveelheid
belasting betalen,
en daar wordt een eveneens aanzienlijk apparaat van
opsporings- en
vervolgingsambtenaren mee betaald. Wellicht dat die kunnen
stoppen met het
bekeuren van fietsers zonder achterlicht en hier achteraan
kunnen gaan?

lekker populistische opmerking. die mensen zijn volledig
niet opgeleid om hier wat aan te doen. wat extra middelen
voor digitaal onderzoek zou geen kwaad kunnen, maar zoiets
zal sowieso internationaal geregeld moeten worden. want
vanuit nederland alleen kun je niet zoveel.
09-02-2008, 17:36 door Anoniem
Van linux is broncoden openbaar dus het zou geen probleem
moeten zijn om de rootkit hiervoor even te herschrijven.
09-02-2008, 19:18 door Anoniem
Maar wat kunnen we er nu tegen doen? Ik het diverse anti-spy en
malwareprogramma's, is dat voldoende?
09-02-2008, 19:19 door Ron66
Vraag mij af of dit ook op een Vista versie werkt denkt het niet tenminste
als je niet dom doet.
Het zal zich niet automatisch kunnen installeren
09-02-2008, 19:27 door Nomen Nescio
Door Jos Visser
Een aantal jaren terug verzuchtte we nog: "What if smart people wrote
viruses?"
Wel, zover is het dus gekomen.

Nu lijkt me dat we te Nederland een aanzienlijke hoeveelheid belasting
betalen,
en daar wordt een eveneens aanzienlijk apparaat van opsporings- en
vervolgingsambtenaren mee betaald. Wellicht dat die kunnen stoppen met
het
bekeuren van fietsers zonder achterlicht en hier achteraan kunnen gaan?

Zeg ben jij mal! Dan moet er werk worden verzet! Dat kun je niet verlangen
van onze lasergunners.
09-02-2008, 19:37 door Anoniem
U schrijft: "Zelfs het 3x kloppen advies van de Nederlandse
banken kan er niet voor zorgen dat criminelen de
bankrekening plunderen." Ik dacht dat de banken het
tegenovergestelde wilden bereiken.
10-02-2008, 12:21 door Anoniem
"Als de onderzoekers deze details hebben achterhaald, dan weten ze
inmiddels wie de boosdoeners zijn. Waarom doen ze daar dan niks mee?"

Het feit dat er conclusies te trekken zijn over de intenties en technische
vaardigheden van de daders wil in het geheel niet zeggen dat hun identiteit
dan ook bekend is, hoe kom je hierbij ?
11-02-2008, 00:28 door Anoniem
tegen lukraak klikken valt niet op te rechercheren.
wat beter helpt is niets doen, dat is de beste straf voor klik-idioten.
en inter-net is inter-nationaal, daar is de regelgeving toch niet op
toegepast. dit wetende: simpele zielen die overal op klikken en alles
installeren en elkaar tig-1000 kettingmails versturen per maand: you are
on your own now. ha!
29-01-2012, 12:56 door Anoniem
Ik ben ook geïnfecteerd met het bovenstaande virus en draai op xp. Helpt het om de harde schijf te formatteren en bijvoorbeeld de laatste nieuwe windows te installeren?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.