image

Trojaans paard maakt screenshots van bureaublad

woensdag 28 januari 2009, 06:38 door Redactie, 10 reacties

Beveiligingsonderzoekers hebben een Trojaans paard ontdekt dat screenshots van het bureaublad van zijn slachtoffers maakt. Op een server waar de malware de informatie naar toestuurt, vonden de onderzoekers duizenden afbeeldingen. Zo was te zien wat mensen op dat moment aan het doen waren, zoals het bezoeken van pornosites, het draaien van anti-spyware software en het inloggen op sociale netwerksites. Een mogelijke reden dat de Ozdok Trojan zijn slachtoffers begluurt, is om de interessante machines eruit te halen. Denk dan aan financiële inloggegevens of intellectueel eigendom.

Een andere reden is dat veel virusonderzoekers Virtual Machines gebruiken om malware te analyseren. Virusschrijvers proberen steeds vaker de aanwezigheid van Virtual Machines server-side in plaats van in de client code te vinden. De Pushdo Trojan stuurt het serienummer van de computer z'n harde schijf terug naar de bot-controller. Aangezien VMware een herkenbaar patroon aan serienummers heeft, kan de virusschrijver hierop inspelen. Ook het sturen van het MAC adres van de besmette machine naar de bot-controller is een goede manier om het verschil tussen echte en virtuele machines te onderscheiden.

Door het bekijken van de screenshots kunnen de makers van Ozdok Trojan zien wie er met een VM werkt, aangezien de meest VM's een leeg bureaublad hebben, hoewel in sommige gevallen ook de tools zichtbaar waren die de beveiligingsonderzoekers gebruikten.

Reacties (10)
28-01-2009, 06:45 door Bill Torvalds
Ik heb een bot die screenshots maakt zodat ik kan nagenieten zonder het zelf opnieuw op te zoeken.
28-01-2009, 08:30 door [Account Verwijderd]
[Verwijderd]
28-01-2009, 10:10 door Anoniem
Volgens mij hebben die "beveiligingsonderzoekers" een upgradetje nodig...Zeker van de nieuwe generatie clickerdeclick.
En dat vm gedoe is ook niet zo interessant...

Kortom wisten we al.
28-01-2009, 10:30 door Anoniem
Door IceyoungNog leuker is een pop up met de tekst "U bent slachtoffer van Malware" (in de taal van de OS instelling) en dan een snapshot van de webcam om die gezichten te zien ;-)

Herinner je BO2K nog?

https://nb.xiandos.info/images/6/6d/0wned-B02K.jpg
28-01-2009, 10:40 door Anoniem
Woooo, schokkend nieuws !! Maar euh, is dat niet één van de basis functies van een RAT ? :-D
28-01-2009, 12:19 door Anoniem
virusonderzoekers gebruik nu ook VMWare Workstation. Ik dacht toch dat de Virtual machine de zelfde MAC adres als Netwerkkaart. Nu ze zelf worden geflast worden ze wel wat achterdochtig en gaan ze prompt screenshots maken.
De botnet beheerders proberen er achter komen of "virusonderzoekers" hun in vizier heeft. botnet beheerders zijn eigelijk werk groepje jongeren die kan beschijven als bendes met criminelen activteid.
28-01-2009, 15:39 door Anoniem
Ja hallo, zelfs het programma Kassa van de Vara had al twee of drie jaar geleden een item over deze methode om screenshots te maken in trojaanse paarden op je pc.
28-01-2009, 15:59 door Anoniem
Door Anoniem.. Ik dacht toch dat de Virtual machine de zelfde MAC adres als Netwerkkaart. ..

Anders wordt het routeren van de pakketjes heel lastig. http://nl.wikipedia.org/wiki/Datalinklaag


Verder blijft het een kat en muis spel.
28-01-2009, 16:09 door [Account Verwijderd]
[Verwijderd]
28-01-2009, 20:29 door Bill Torvalds

@Bill Torvalds, welke bot dan? -,-

Ongeveer zo eentje als wget.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.