image

Conficker mysterie opgelost met nep-virusscanner

donderdag 9 april 2009, 17:08 door Redactie, 10 reacties

Maandenlang vroegen experts zich af wat het doel van de Conficker worm was, maar sinds de update van gisterenavond is het eindelijk bekend, namelijk het installeren van nep-virusscanners. Naast het updaten van de geïnfecteerde machine, installeert Conficker ook het programma "SpywareProtect2009". De allereerste Conficker variant die eind november verscheen, probeerde ook op deze manier slachtoffers geld uit hun zakken te kloppen.

Net als bij andere nep-virusscanners krijgen gebruikers de melding dat hun systeem besmet is en ze voor 50 dollar de infectie kunnen verwijderen. De timing van de update is opmerkelijk, gisteren publiceerde Microsoft het zesde Security Intelligence Report, waarin het de nadruk op de uitbraak van nep-virusscanners legt

Virusscanners falen
Beveiligingsexpert Gary Warner was verbaasd over het nieuws dat Conficker zich via het domein "goodnewsdigital.com" aan het updaten was. Een kleine 3000 IP-adressen gebruiken dit domein voor het verspreiden van Waledac malware. Toen Warner het bestand downloadde, bleek het om een standaard Waledac bestand te gaan dat door slechts 9 virusscanners werd herkend. Warner kan het niet geloven. "Een treurige bevestiging van de staat waar virusscanners zich in bevinden, dat een bekend malware distributiepunt dat al sinds halverwege maart virussen voor een groot spam botnet verstuurt, door driekwart van de virusscanners niet wordt gedetecteerd."

De virusbestrijder merkt tevens op dat de aanname van Trend Micro, over de Waledac malaware en Conficker, niet klopt. Het gedownloade bestand waar Trend Micro het over heeft is namelijk niet de primaire Waledac malware. Dat neemt niet weg dat andere anti-virusbedrijven wel een koppeling tussen Conficker en Waledac zien. Het laatste botnet wordt vooral ingezet voor het versturen van spam en stelen van vertrouwelijke data.

Reacties (10)
09-04-2009, 17:18 door micmast

Toen Warner het bestand downloadde, bleek het om een standaard Waledac bestand te gaan dat door slechts 9 virusscanners werd herkend. Warner kan het niet geloven. "Een treurige bevestiging van de staat waar virusscanners zich in bevinden, dat een bekend malware distributiepunt dat al sinds halverwege maart virussen voor een groot spam botnet verstuurt, door driekwart van de virusscanners niet wordt gedetecteerd."

Dat is waarom ik blijf geloven in het feit dat anti virus softwares het volledig verkeerd aanpakken. Ze moeten gaan naar whitelisting ipv blacklisting net zoals ze doen bij firewalls. Laat enkel toe wat gekent en veilig is en blokkeer al de rest. Maar dan moeten Antivirus scanner ten eerste toegeven dat ze het bij het verkeerde eind hebben en dan moeten zo ook hun producten schrappen en opnieuw maken. Economisch wss niet haalbaar. Wat dan ook wel weer aanhaalt waar de prioriteiten liggen :)
09-04-2009, 17:20 door Anoniem
Wat weer eens bewijst dat je uitermate kritisch moet zijn ala het gaat over de vermeende kwaliteiten van virusscanners. Als we allemaal maar klakkeloos aannemen wat makers van virusscanners beweren wordt de kwaliteit van die producten steeds beroerder omdat de makers merken dat ze met minder kwaliteit dan wenselijk is weg komen en niet meer investeren in verbetering van hun product. Je krijgt dan een soort Microsoft-effect .....
09-04-2009, 18:42 door Anoniem
Niet zo voorbarig met die conclusies over de kwaliteit van anti-virus. Er is hier sprake van het probleem van kip en ei.

Zodra anti-virus pro-actief detectie maken, zullen virusschrijvers net zolang sleutelen totdat het niet meer gedetecteerd wordt.
10-04-2009, 07:58 door Rolfwil
@micmast; klinkt erg interessant, maar vraag me dan af of virusschrijvers dan vervolgens niet gewoon programma's 'uitbrengen' die op die whitelist staan, dus met dezelfde naam, checksum en grootte b.v.
10-04-2009, 08:25 door micmast
Door Ralphwil: @micmast; klinkt erg interessant, maar vraag me dan af of virusschrijvers dan vervolgens niet gewoon programma's 'uitbrengen' die op die whitelist staan, dus met dezelfde naam, checksum en grootte b.v.

Dat is wel verschrikkelijk moeilijk, nu da werkt wel als de MD5 checksums gebruiken (md5 collision en dergelijke) maar als ze sha gebruiken, kijken naar de grootte, public key infrastructure en namen, dan lijkt het me echt wel moeilijk :)
10-04-2009, 10:16 door Anoniem
Door micmast:
Dat is waarom ik blijf geloven in het feit dat anti virus softwares het volledig verkeerd aanpakken. Ze moeten gaan naar whitelisting ipv blacklisting net zoals ze doen bij firewalls. Laat enkel toe wat gekent en veilig is en blokkeer al de rest. Maar dan moeten Antivirus scanner ten eerste toegeven dat ze het bij het verkeerde eind hebben en dan moeten zo ook hun producten schrappen en opnieuw maken. Economisch wss niet haalbaar. Wat dan ook wel weer aanhaalt waar de prioriteiten liggen :)

Whitelisting is erg lastig, wanneer bedrijven en personen zelf iets maken, staat het per definitie niet op de whitelist. Hoe krijg je dat er wel op? Dat gaat vast 2 keer geld kosten: 1 keer voor de klant die de AV software gebruikt en 1 keer voor degene die iets gewhitelist wil hebben (want het moet natuurlijk uitgebreid geverifieerd worden.....)
10-04-2009, 10:34 door micmast
Door Anoniem:
Door micmast:
Dat is waarom ik blijf geloven in het feit dat anti virus softwares het volledig verkeerd aanpakken. Ze moeten gaan naar whitelisting ipv blacklisting net zoals ze doen bij firewalls. Laat enkel toe wat gekent en veilig is en blokkeer al de rest. Maar dan moeten Antivirus scanner ten eerste toegeven dat ze het bij het verkeerde eind hebben en dan moeten zo ook hun producten schrappen en opnieuw maken. Economisch wss niet haalbaar. Wat dan ook wel weer aanhaalt waar de prioriteiten liggen :)

Whitelisting is erg lastig, wanneer bedrijven en personen zelf iets maken, staat het per definitie niet op de whitelist. Hoe krijg je dat er wel op? Dat gaat vast 2 keer geld kosten: 1 keer voor de klant die de AV software gebruikt en 1 keer voor degene die iets gewhitelist wil hebben (want het moet natuurlijk uitgebreid geverifieerd worden.....)

Daar ben ik me van bewust, en dat is volgens mij een van de grootste problemen.
10-04-2009, 11:05 door Anoniem
http://www.security.nl/artikel/28336/1/Conficker_mysterie_opgelost_met_nep-virusscanner_.html#respond
10-04-2009, 22:07 door Anoniem
Weet iemand toevallig of de conficker scan tools, welke afgelopen maand uitgebracht zijn door o.a. Mcafee en Bitdefender, in staat zijn om Conficker.E te detecteren, of dat deze tools de nieuwe variant niet herkennen als besmetting ?
14-04-2009, 12:30 door Anoniem
White listing is een slecht idee. Dan komt er alleen nog maar software van de grote jongens zoals microsoft,
en kan het kleinere softwarebedrijf en de open source wereld het nakijken. Als je wil dat microsoft de wereld
gaat beheersen, nog meer dan nu, dan moet je dat doen. Ik denk niet dat de EU dat zou toestaan.

Daarnaast komen virussen en andere badware vaak via exploits binnen en wordt hun code in een bestaand
proces geinjecteerd, zoals de RPC service van windows, die zich vandaaruit in het systeem installeert.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.