Nieuws
image

Geplunderde rekening door onzichtbare Windows extensies

maandag 23 februari 2009, 14:56 door Redactie, 4 reacties

Het gebruik van dubbele bestandsextensies door virusschrijvers is nog altijd één van de voornaamste redenen dat internetgebruikers met Trojaanse paarden besmet raken die de bankrekening plunderen. In Windows zijn standaard de extensies van bekende bestandstypen uitgeschakeld. Hierdoor kan men uitvoerbare bestanden vermommen, door een bestand van een extra extensies te voorzien. Een andere social engineering truc is het gebruik van onschuldig ogende bestandsiconen, aldus de Spaanse virusbestrijder Panda Security. De virusbestrijder maakte een globaal overzicht van malware die zich met het plunderen van rekeningen bezighoudt.

Zo is de Sinowal malware verantwoordelijk voor bijna de helft van alle banking Trojans op dit moment actief, gevolgd door de "Banker" familie, die een aandeel van 25% heeft. Eenmaal geïnstalleerd kunnen de Trojaanse paarden op tal van manieren de gewenste informatie onderscheppen, zoals het opslaan van ingevulde webformulieren en toetsaanslagen, het weergeven van valse invoervelden en websites, pharming en Man-in-the Middle aanvallen. In sommige gevallen schakelen de Trojaanse paarden de "sla wachtwoorden op" functie van Internet Explorer in, zodat de ingevoerde wachtwoorden op het systeem worden bewaard en daarna via e-mail naar de aanvaller worden gestuurd.

Reacties (4)
23-02-2009, 15:12 door meinonA
Als MS gedownloade bestanden nou eens zonder 'execute bit' opslaat, dan ben je van alle ellende af.

@MS: De implementatie van dit briljante idee kun je o.a. bij Linux afkijken.
23-02-2009, 16:01 door Eerde
Ik ken alleen de werking bij de Rabo, maar zie niet hoe dat soort malware de boel kan omzeilen.

-Opgeslagen data van webformulieren of keyloggers of valse invoervelden van inlog (rekeningnummer) en code levert geen resultaat op want die kan niet verder gebruikt worden, stelliger pogingen doen een alarmbel bij de bank afgaan.

-Valse invoervelden via valse websites ? Altijd zelf de URL ingeven. Maar dan nog, in het geval van een DNS spoof, kunnen ze geen betaling 'klaarzetten', bedrag + tweede code is ook slechts 1x te grbuiken en die code moeten overeenkomen.

Maar voor alle paranoia piepeltjes raad ik aan hun bank eens te vragen of ze voor het Internetbankieren / telebankieren een live-CD of beter live-USB pen kunnen maken van een [gestripte ?] GNU/Linux distro. Dan kan er helemaal nix meer mis gaan.
23-02-2009, 17:12 door Bitwiper
Door meinonAAls MS gedownloade bestanden nou eens zonder 'execute bit' opslaat, dan ben je van alle ellende af.

@MS: De implementatie van dit briljante idee kun je o.a. bij Linux afkijken.
Het standaard niet tonen van bestandsextensies is een stomme fout van Microsoft (het minst risicovolle -maar wel stompzinnige- gevolg is dat je regelmatig bestandsnaam.doc.doc voorbij ziet komen). Bestanden die je downloadt krijgen tegenwoordig (ook bij Firefox sinds 3.0 trouwens) een alternate data stream eraan gekoppeld die ervoor zorgt dat je opstarten gewaarschuwd wordt als het om een unsigned programma gaat afkomstig van een mogelijk onbetrouwbare bron.

Maar of dit onder Linux nou zo veel beter is? Om te beginnen hangt dit van je umask af. Veel Linux downloads zitten in tar files (meestal daarbovenop ook compressed), en slechts weinigen zullen de settings daarin overrulen - d.w.z. de meeste Linux gebruikers nemen klakkeloos de map- en bestandspermissies van de inpakker over.

Ten slotte zijn er zowel onder Linux als onder Windows kwaadaardige bestanden denkbaar die helemaal geen execute bit nodig hebben om hun "werk" uit te kunnen voeren; denk bijv. maar aan een PDF met JavaScript er in - de laatste Acrobat (Reader) vulnerability geldt ook Acrobat Readers voor andere dan het Windows platform.
23-02-2009, 18:58 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search