image

Gevaarlijke Trojan besmet honderdduizenden PC's

donderdag 30 juli 2009, 10:03 door Redactie, 15 reacties

Een Trojaans paard dat allerlei zeer gevoelige financiële gegevens steelt heeft mogelijk een miljoen computers geïnfecteerd en gebruikt een Windows tool om zich te verspreiden. De Clampi Trojan, ook bekend als Ligats, Ilomo of Rscan, is ontworpen om informatie zoals inloggegevens voor internetbankieren en aandelensites, creditcardgegevens, verzekeringsgegevens, bezochte vacaturesites en favorieite webwinkels te stelen. In totaal heeft de malware het op 4500, vaak financiële, websites in 70 verschillende landen voorzien. Het gebruikt verschillende, gemanipuleerde DLL-bestanden om de informatie op systemen te stelen.

De gestolen informatie wordt vervolgens in versleutelde vorm naar de Command & Controle server gestuurd. Joe Stewart van beveiligingsbedrijf SecureWorks deed onderzoek naar de malware. Hij schat dat tussen de honderdduizend en 1 miljoen machines met de Trojan besmet zijn geraakt. Die gebruikt kwaadaardige bijlagen en exploit-toolkits om computers te infecteren.

Oost-Europa
Volgens Stewart is Clampi het werk van een georganiseerde bende criminelen uit Oost-Europa en is de malware betrokken geweest bij het stelen van grote bedragen van financiële instellingen. Geïnfecteerde gebruikers krijgen dan ook het advies om alle inloggegevens meteen te wijzigen. De malware dankt zijn succes aan het gebruik van de inloggegevens van de domain administrator, die het weet te stelen. Zodra het domain adminrechten heeft, gebruikt het de psexec tool van Sysinternals, onderdeel van Microsoft, om zich naar alle computers binnen het domein te kopiëren. Daarnaast kan het zich ook via draagbare schijven verspreiden. Clampi fungeert verder als proxy server voor de criminelen als ze met de gestolen gegevens inloggen. Een autobedrijf raakte begin deze maand 75.000 dollar door het Trojaanse paard kwijt.

Bescherming
De meeste anti-virusbedrijven zouden Clampi inmiddels herkennen, toch kan het met nieuwe varianten even duren voordat dit het geval is. Vanwege het gevaar van de Trojan, krijgen bedrijven het advies om internetbankieren en financiële transacties via een apart en geïsoleerd werkstation te doen. Het beveiligingsbedrijf raadt consumenten aan om een aparte computer voor online bankieren en het betalen van rekeningen te gebruiken. "Ze moeten die computer niet gebruiken om mee te surfen of te e-mailen, aangezien web exploits en kwaadaardige e-mail de twee belangrijkste infectiebronnen zijn."

Reacties (15)
30-07-2009, 10:48 door spatieman
-weg gejorist - :)
30-07-2009, 10:58 door SirDice
De malware dankt zijn succes aan het gebruik van de inloggegevens van de domain administrator, die het weet te stelen.
Als je een domain admin account gebruikt voor day2day activiteiten zoals office, surfen en emailen dan vraag je er ook wel een beetje om..
30-07-2009, 10:59 door Anoniem
Hmm, schatten....

Da's nog minder betrouwbaar dan statistiek....
30-07-2009, 11:28 door Anoniem
Aparte pc voor veilig bankieren & shoppen e.d *get it*.
Zodra het domain adminrechten heeft, gebruikt het de psexec tool van Sysinternals, onderdeel van Microsoft, om zich naar alle computers binnen het domein te kopiëren.
Dus bovenstaande tip heeft voor domme consumenten die dezelfde router op 1 netwerk hebben geen zin?
Moet diegene natuurlijk wel als admin te werk gaan, maar dat is bij de consumenten op windows toch al het geval?
*Do not get it anymore*
30-07-2009, 12:17 door Anoniem
Hoe lang lopen we nog zeur over beveiliging? Als aan de consumenten liggen werkt ook een tweede pc's thuis ook niet.De bank moet zelf met maadregelen komen en waarom kan de ING of Postbank niet een eigen netbook of mobiele telefoon ontwikkelen alleen voor bankzaken. Eigelijk waar je alleen maar mee kan bankieren en vooral niet email of sms..
30-07-2009, 12:44 door Eerde
En hoe kan die trojan de inloggegevens van de domain administrator stelen ? En die aparte PC heeft echt niet een eigen domein...
Voor angsthazen is er altijd nog de 'live-CD' om mee te Internetbankieren.
Verder natuurlijk al die M$ boxjes de deur uit doen, dat zou al een hoop schelen.
30-07-2009, 12:46 door Napped
Door Anoniem: Hoe lang lopen we nog zeur over beveiliging? Als aan de consumenten liggen werkt ook een tweede pc's thuis ook niet.De bank moet zelf met maadregelen komen en waarom kan de ING of Postbank niet een eigen netbook of mobiele telefoon ontwikkelen alleen voor bankzaken. Eigelijk waar je alleen maar mee kan bankieren en vooral niet email of sms..
Ja en wat kost de bank dat, en wat als de internet verbinding nou niet te vertrouwen is?
of wat als er een bug/exploit in het systeem hebt?


Door Eerde: En hoe kan die trojan de inloggegevens van de domain administrator stelen ? En die aparte PC heeft echt niet een eigen domein...
Voor angsthazen is er altijd nog de 'live-CD' om mee te Internetbankieren.
Verder natuurlijk al die M$ boxjes de deur uit doen, dat zou al een hoop schelen.
En een live cd helpt tegen een slecht secured netwerk ? en wat als je een infected live cd download ?
De domain admin credentials zijn over verschillende manieren te achterhalen bijvoorbeeld fysieke keyloggers of andere meuk dat je password kan stelen.
Hoe pikt men op linux jou root wachtwoord?
Ook onvoorzichtige mensen gebruiken linux, net als onvoorzichtige mensen windows of osx gebruiken.
30-07-2009, 15:42 door Eerde
Door Napped:
Door Eerde: En hoe kan die trojan de inloggegevens van de domain administrator stelen ? En die aparte PC heeft echt niet een eigen domein...
Voor angsthazen is er altijd nog de 'live-CD' om mee te Internetbankieren.
Verder natuurlijk al die M$ boxjes de deur uit doen, dat zou al een hoop schelen.
En een live cd helpt tegen een slecht secured netwerk ?
Ja !
30-07-2009, 16:00 door Eerde
Door Napped:en wat als je een infected live cd download ?
Tja, wat als de hemel naar beneden valt ? Dan hebben we allemaal een blauwe hoed. Onzin dus, ooit van checksum of hash sum gehoord ?
Door Napped: De domain admin credentials zijn over verschillende manieren te achterhalen bijvoorbeeld fysieke keyloggers of andere meuk dat je password kan stelen.
Hoe pikt men op linux jou root wachtwoord?
Ook onvoorzichtige mensen gebruiken linux, net als onvoorzichtige mensen windows of osx gebruiken.
Tell me, hoe kan ooit iemand mijn root password hebben ?
Euro 10.000,= voor degene die mijn root password weet te achterhalen....
Kom maar op.
GNU/Linux is toch net zo kwetsbaar als M$ OS-producten.... (volgens zzzommigen) ?
Ik geef je vast mee: Kernel 2.6.27.7-9 met openSuSE 11.2 / KDE 4.2.x met AppArmour + SELinux + standaard firewall + elke 6 maanden een ClamAV run.
30-07-2009, 20:39 door Napped
You are Preaching to the choir.
Windows kan even secure zijn net als Linux, als je maar aandacht besteed aan de beveiliging.
Zolang je Linux niet update, en geen extra maatregelen neemt is het ook niet veilig.
Waarom denk je dat ik:
Ook onvoorzichtige mensen gebruiken Linux, net als onvoorzichtige mensen windows of osx gebruiken.
Zoals ik altijd al vertel aan mensen: UAC is net als een root popup als mensen iets downloaden op linux en er komt een Popup om je root in te voeren zou jan de tuinman of piet de kok gewoon ook zijn root invoeren. Maar zover ik begrijp ben jij een slim genoeg persoon die dan niet zijn wachtwoord invult.
Echter zijn er ook mensen die dat wel doen, Net zoals er mensen default inloggen onder root zijn er ook mensen die inloggen op hun Domain Admin account en of nog erger Enterprise Administrator account. En dat is lomp en dat merk je aan een infectie ratio.
Alleen sommige software is niet webbased of is niet via een Terminal server te gebruiken, en die software is ook niet op een ander besturingssysteem beschikbaar.
Er bestaan ook auto's die slechter gebouwd worden dan Mercedessen en of BMW's. Echter worden die ook verkocht en soms nog goed ook.
En als die auto's goed onderhouden is er niks mee aan de hand, maar als je die verwaarloosd worden ze gevaarlijke wrakken, maar als je een BMW of een Mercedes verwaarloosd en er slecht mee omgaat is het ook gevaarlijk.
Maar of een capabel persoon nu Windows, Linux, osx, of FreeBSD draait dan gaat het goed. Maar blijkbaar ga jij alleen met mensen om die incapabel zijn met Windows of kan jij der niet mee omgaan. MAAR dat maakt niet uit, daar bestaan ook nog andere besturingssystemen voor.
Boer Jan kan even makkelijk Linux slopen als Windows.



{En een live cd helpt tegen een slecht secured netwerk ? }
Ja
Ok dus een Linux Livecd werkt bijvoorbeeld tegen een DNS wijzing waar jij op een perfect gespoofde site uitkomt waar jij je gegevens invult?

Tja, wat als de hemel naar beneden valt ? Dan hebben we allemaal een blauwe hoed. Onzin dus, ooit van checksum of hash sum gehoord ?
En hoeveel mensen trekken hun Live-CD's niet van nieuwsgroepen af en hoeveel mensen kijken überhaupt naar checksums of hashes?
Omdat jij weet dat je zo de image kan controlleren wil nog niet zeggen dat iedereen dat kan. En hebben we dan geen RedHat ;)
30-07-2009, 21:22 door Eerde
@Napped
Natuurlijk kan je voor iedre situatie uitzonderingen bedenken, maar die bevestigen slechts de regel.... weet je nog ?
Verder hebben ze het over Internetbankieren, voor zover ik weet hebben we in NL helemaal geen banken waar je met inlognaam+ww naar binnen kan.
Het gaat het om de beveiliging & "good practices" van de gebruikert...
Vandaar mijn opmerkingen als; gebruik een live-CD of GNU/Linux distro. Maar ja, windhoo$ piepeltjes zijn nu eenmaal dommer en daardoor per definitie onveilg bezig.
30-07-2009, 21:46 door Napped
Er zijn zat banken die het hebben ook voor corporate users, en de ING.

Maar als jij mensen hun intellect beoordeeld op hun os dat ze gebruiken... mag je nog wel eens gaan nadenken. Ik ken mensen die een Doctoraat hebben en Windows gebruiken.. en ik ken mensen die in de WW zitten zonder diploma's die Linux gebruiken. maarja houd jij handen maar voor je ogen.
30-07-2009, 22:29 door Eerde
Natuurlijk kan je voor iedre situatie uitzonderingen bedenken, maar die bevestigen slechts de regel...... weet je nog ?
Tsjee, domme bank ING en ook nog dommie mensen, het lijkt wel IRL ;)
31-07-2009, 00:24 door SirDice
Door Anoniem: Hoe lang lopen we nog zeur over beveiliging? Als aan de consumenten liggen werkt ook een tweede pc's thuis ook niet.De bank moet zelf met maadregelen komen en waarom kan de ING of Postbank niet een eigen netbook of mobiele telefoon ontwikkelen alleen voor bankzaken. Eigelijk waar je alleen maar mee kan bankieren en vooral niet email of sms..
De reden dat dit niet gebeurd is eigenlijk heel simpel. Het is voor een bank gewoon goedkoper om die paar klanten waarbij het gebeurd schadeloos te stellen. Kosten, baten plaatje. Het heeft geen zin als je een miljoen uit moeten geven om te voorkomen dat je ergens een ton kwijt raakt.
31-07-2009, 03:54 door mathijsk
@napped

Dat heeft ook niets met elkaar te maken. Iemand met een doctoraat in het een of ander kan als het op computers aankomt natuurlijk een grote sul zijn. Iedereen heeft zijn eigen kwaliteiten. Die ww-er die thuis zit te werken op Linux kan op dat vlak inderdaad meer intellect hebben dan diegene met het doctoraat, maar toch minder succesvol zijn wat werk betreft.

Ik zit zelf met een prima veilig gevoel te internetbankieren op een linux machine, maar dat is natuurlijk niet enkel zo omdat het geen windows is. Wanneer linux mainstream zou zijn, werden de malware pijlen daar op gericht. Nu zal dat minder gemakkelijk zijn dan bij windows systemen, vooral door de beter toegepaste gebruikersprivileges, maar zou de malwareschrijvers echt wel lukken.

Ik heb ergens gewoon het idee dat het hierbij om bankiersystemen gaat met tan codes, want ik zou wel eens willen zien hoe ze misbruik zouden willen maken van een calculator challenge systeem, aangezien dat enkel korte tijd en voor een sessie geldig is.
In zo'n geval zou er al meer een man-in-the middle-attack nodig zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.