Computerbeveiliging - Hoe je bad guys buiten de deur houdt

spyprotector_install_4448.exe (fake antivirus)

30-12-2008, 14:48 door Zarco.nl, 11 reacties
Ik kom zojuist via een <a href="http://www.google.nl/search?q=wga-blocker">zoekterm in Google</a> het volgende tegen; een pagina met een grote lijst van verschillende gekraakte websites die wijzen naar een pagina om www.sys-scanner.com/l1/index.html?ref_id=4448 (spyprotector_install_4448.exe) (40 kB) te downloaden. Bij <a href="http://www.virustotal.com/analisis/7cdb25cccbc00e296a5b637e2c76dae3">VirusTotal</a> geven 18 antivirusprogramma's, zoals verwacht, aan dat er malware gevonden is. <a href="http://anubis.iseclab.org/?action=result&task_id=1b7452a1ed56be2441137a3c6179966fb&format=html">Anubis</a> laat zien dat er bestand- en registrywijzigingen worden uitgevoerd die niet van tijdelijke aard zijn.

Tevens wordt er door de "installer" een andere (www.spyprotector-pro.com/install.exe) installer van 1,2 MB gedownload.

Wanneer deze tweede "installer" naar <a href="http://www.virustotal.com/analisis/38525e14218e0c725f067ec16387ddc3">VirusTotal</a> en <a href="http://anubis.iseclab.org/?action=result&task_id=1d98ce166c3178424a1f3bba6c3674318&format=html">Anubis</a> wordt verstuurd, wordt er duidelijk dat dit om Spyprotector gaat, ook niet geheel onverwacht :P

Er worden een aantal executable op de systeemdrive geplaatst: <a href="http://www.virustotal.com/analisis/c6a27d5bf9794b011bb9d20272178298">windll32.exe</a>, <a href="http://www.virustotal.com/analisis/ed9ae551458ae1ac07468c031e11f1ec">lsascs.exe</a> en <a href="http://www.virustotal.com/analisis/59c17fd7cf4d6416391e9ade47777178">shellex.dll</a>. Grappig om te zien is hoe verder een executable in het proces van de malware zich bevindt, des te minder antivirussoftware het nog detecteert.

Opvallend is dat veel van de gelinkte pagina's eindigen op .pl, maar volgens Netcraft in Duitsland of in G.B. gelokaliseerd zijn. Ik heb zo'n vermoeden dat ze allemaal gekraakt zijn d.m.v. SQL-injectie, da's wel de meest simpele methode om dit soort dingen voor elkaar te krijgen.

Iemand die zin heeft om nog verder te duiken? :)

Inmiddels heb ik Google ook ingelicht en geadviseerd deze en de gelinkte pagina's uit de zoekresultaten te verwijderen en in de blocklist te plaatsen.
Reacties (11)
30-12-2008, 15:03 door Anoniem
link m dan ook niet hier, slimmerik !
30-12-2008, 16:18 door Anoniem
Door Zarco.nlIk kom zojuist via een [url=http://www.google.nl/search?q=wga-blocker]zoekterm in Google[/url] het volgende tegen; een pagina met een grote lijst van verschillende gekraakte websites die wijzen naar een pagina om hxxp://www.sys-scanner.com/download.php?page=hxxp://www.sys-scanner.com/l1/index.html?ref_id=4448]spyprotector_install_4448.exe (40 kB) te downloaden.
Bij [url=http://www.virustotal.com/analisis/7cdb25cccbc00e296a5b637e2c76dae3]VirusTotal[/url] geven 18 antivirusprogramma's, zoals verwacht, aan dat er malware gevonden is.
[url=http://anubis.iseclab.org/?action=result&task_id=1b7452a1ed56be2441137a3c6179966fb&format=html]Anubis[/url] laat zien dat er bestand- en registrywijzigingen worden uitgevoerd die niet van tijdelijke aard zijn.
Tevens wordt er downloadt de "installer" een andere [/url=hxxp://www.spyprotector-pro.com/install.exe]"installer"[/url] van 1.2 MB.
Wanneer deze tweede "installer" naar [url=http://www.virustotal.com/analisis/38525e14218e0c725f067ec16387ddc3]VirusTotal[/url] en [url=http://anubis.iseclab.org/?action=result&task_id=1d98ce166c3178424a1f3bba6c3674318&format=html]Anubis[/url] wordt verstuurd, wordt er duidelijk dat dit om Spyprotector gaat, ook niet geheel onverwacht :P
Er worden een aantal executable op de systeemdrive geplaatst: [url=http://www.virustotal.com/analisis/c6a27d5bf9794b011bb9d20272178298]windll32.exe[/url], [url=http://www.virustotal.com/analisis/ed9ae551458ae1ac07468c031e11f1ec]lsascs.exe[/url] en [url=http://www.virustotal.com/analisis/59c17fd7cf4d6416391e9ade47777178]shellex.dll[/url].
Grappig om te zien is hoe verder een executable in het proces van de malware zich bevindt, des te minder antivirussoftware het nog detecteert.

Opvallend is dat veel van de gelinkte pagina's eindigen op .pl, maar volgens Netcraft in Duitsland of in G.B. gelokaliseerd zijn. Ik heb zo'n vermoeden dat ze allemaal gekraakt zijn d.m.v. SQL-injectie, da's wel de meest simpele methode om dit soort dingen voor elkaar te krijgen.

Iemand die zin heeft om nog verder te duiken? :)

Inmiddels heb ik Google ook ingelicht en geadviseerd deze en de gelinkte pagina's uit de zoekresultaten te verwijderen en in de blocklist te plaatsen.

sql injection zeg je dat is onzin ze worden gehost door een botnet zombie computers

Een SQL Injection is een opening in een website, waardoor een hacker de SQL query kan wijzigen. Meestal komt dit naar voren doordat de gebruikersinput niet goed geevalueerd en escaped wordt.
31-12-2008, 13:22 door Zarco.nl
Door Anoniemlink m dan ook niet hier, slimmerik !
Zie jij een link naar de pagina toe, slimmerik?

sql injection zeg je dat is onzin ze worden gehost door een botnet zombie computers

Een SQL Injection is een opening in een website, waardoor een hacker de SQL query kan wijzigen. Meestal komt dit naar voren doordat de gebruikersinput niet goed geevalueerd en escaped wordt.
Heb je helemaal gelijk in, dat was een erg voorbarige conclusie. SQL-injectie had gekund als een bestaande website bewerkt zou zijn, maar in dit geval lijkt dat niet het geval te zijn.
De machines die heb bekeken draaien volgens Netcraft Linux.
Daarin zie ik opvallend twee groepen: een aantal met Apache 2.2.3 / CentOS met als netblock owner Poundhost customer server en de andere groep machines draaien Apache/2.2.9 op Fedora en hebben als netblock owner netdirekt e.K.
Mogelijk hebben ze een heel park aangetroffen met een simpel te misbruiken lek en kunnen ze dus vrij eenvoudig hun gang gaan.
31-12-2008, 14:21 door Anoniem
Door Zarco.nl
Door Anoniemlink m dan ook niet hier, slimmerik !
Zie jij een link naar de pagina toe, slimmerik?

nee, nu niet meer nee.
31-12-2008, 15:12 door Zarco.nl
Door Anoniem
Door Zarco.nl
Door Anoniemlink m dan ook niet hier, slimmerik !
Zie jij een link naar de pagina toe, slimmerik?

nee, nu niet meer nee.
De post is door mij niet gewijzigd, zie de quote na de 1e reactie..
31-12-2008, 16:53 door Anoniem
ik heb die sys scanner.com al gerapporteerd

ik haat dit soort misleidingen waar mensen toch voor happen door te "wild te klikken noem ik het maar"
31-12-2008, 16:56 door Anoniem
Hostnaam www.sys-scanner.com ISP Sistemnet Telekomunikasyon ve Bilgi Tek. Tic. Ltd. Sti.
Land Turkije Landcode TR (TUR)
Stad Bilgi Regio Van
IP-adres 79.135.179.10


lekker dan die sys scanner als je meer info wilt moet je dat zelf doen
31-12-2008, 18:02 door Bitwiper
Zarco.nl, dank voor de analyse en het melden! Overigens heb je kennelijk een nieuwe variant ontdekt, gegevens over de vorige downloader staan [url=http://www.virustotal.com/analisis/39146009ed7c178bdb7f6371a4c44110]hier (20 dec)[/url].

www.spyprotector-pro.com en www.sys-scanner.com resolven beiden naar 72.233.28.210 (USA) en 79.135.179.10 (Turkije).

De oude downloader heb ik ergens van het net geplukt, deze verwees nog naar www.spyprotectorpro.com (zonder streepje) maar die site resolved niet meer.
31-12-2008, 18:25 door Zarco.nl
Graag gedaan, vond het leuk dit soort dingen uit te vissen.
Aangezien het in eerste instantie al door menig AV-programma's werd gedetecteerd, had ik niet verwacht dat het een nieuwe variant betrof.

Ik zag vanmiddag ook dat in ieder geval 1 van de pagina's een antivirus2009 aanbood: anti-virus-secure-scanner.com
Deze heb ik ook door [url=http://www.virustotal.com/analisis/b909b6c09519620cd7080fd0c53c6c8f]VirusTotal[/url] heen gehaald. Zou dit ook een nieuwe variant zijn?
Volgens mij detecteert deze ook of Sandboxie gebruikt wordt, omdat er niets gebeurd zodra ik het via Sandboxie opstart, terwijl [url=http://anubis.iseclab.org/?action=result&task_id=1f33da831fbb6db8455dd29a3afa43cf4&format=html]Anubis[/url] wel degelijk activiteit door deze executable zien.
01-01-2009, 19:16 door Anoniem
[url=http://www.fan.tv/DIGITAAL/toontext.asp?id=24681]Hier vind je een lijst nep antivurus, beveiligingssoftwaref[/url]
Hieronder alvast het overzicht aldaar gegeven.

Advanced Anti Virus
AdvancedPrivacyGuard
AdvancedPrivacySuite
Andromeda AntiVirus
AntiMalware 2009
Antimalwareshield
AntiMalwareSuite
AntiSpyControl
AntiSpyware Pro XP
Antispyware XP 2008
Antivir64
Antivirus 2010
Antivirus Lab 2009
Antivirus Protection
AntivirusDoc
Cleaner2009
ContentEraser
eAntivirusPro
Internet Antivirus
Micro Antivirus 2009
MS Antivirus (2008)
PC Virusless
PersonalAntiSpy
Power Antivirus 2009
RapidAntivirus
Security Scanner 2008
Smart Antivirus 2009
SpyDevastator
Spyware Guard 2008
Spyware Preventer
Storage Protector
SystemOptimizer 2008
SystemOptimizer2008
Total Secure 2009
Ultimate Antivirus 2008
VirtualPC Guard
VirusGuardPlus
VirusResponse Lab 2009
Vista Antivirus 2008
Win Antivir 2008
Windows Antivirus 2008
Winprotector
Xp Antispyware 2009
XP Protector 2009
XPert Antivirus Enterprise
XP-Guard


Misschien is het interessant dat security.nl deze lijst gebruikt en actualiseert, desnoods doen de forumgebruikers het vast wel. Opletten dus voor die valse nepscanners en een veilig 2009 gewens. Ik hoop dat GDATA IS2009 me ook dit jaar zeer goed zal beschermen tegen alle internetgevaren ;-)
06-01-2009, 21:42 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.