image

Zeus Trojan geeft virusscanners het nakijken

vrijdag 18 september 2009, 14:49 door Redactie, 11 reacties

Eén van de gevaarlijkste botnets ter wereld kan ongestoord zijn gang gaan, aangezien veel virusscanners niet in staat zijn de malware te detecteren. Trusteer onderzocht meer dan 10.000 gebruikers die met de Zeus Trojan besmet waren. Zeus, ook bekend als Zbot, WSNPOEM, NTOS en PRG, is de meest wijdverspreide financiële malware ter wereld. In Amerika alleen al zijn er meer dan 3,6 miljoen machines mee besmet, wat neerkomt op 1% van alle PC's in de VS.

Zeus infecteert computers en wacht tot gebruikers op hun online bankrekening inloggen, om vervolgens de inloggegevens in real-time te stelen. Het kan ook in de browser legitieme banksites aanpassen, om zo om extra gegevens als wachtwoorden, antwoorden op geheime vragen en pincodes te vragen, zoals deze technische analyse laat zien.

Verontrustend
Zelfs gebruikers met een up-to-date virusscanner raken toch met de malware besmet. Van de geïnfecteerde machines gebruikte 31% geen anti-virus software, was bij 14% de signatures niet up-to-date en draaide 55% de meest actuele versie van de virusscanner. Volgens Trusteer wisten virusscanners 77% van de Zeus infecties niet te herkennen.

"Toen we de effectiviteit van anti-virus producten in het wild tegen Zeus gingen testen, hadden we geen idee wat voor resultaten we zouden krijgen", zegt CTO Amit Klein. "De ontdekking dat bijgewerkte virusscanners slechts 23% van de Zeus infecties blokkeren zijn verontrustend. Dit is slecht nieuws voor consumenten en banken, aangezien de meeste Zeus infecties onopgemerkt blijven."

Reacties (11)
18-09-2009, 14:56 door MrBil
Anti-Virus Vendors weten ook niet hoe ze het moeten aanpakken.
18-09-2009, 16:15 door prikkebeen
Zeus infecteert computers en wacht tot gebruikers op hun online bankrekening inloggen, om vervolgens de inloggegevens in real-time te stelen.

Is er ook bekend hoe de machines besmet raken met deze trojan?

Ook kom ik er pas na het lezen van de technische analyse achter dat het (vooralsnog) alleen om Windows machines gaat. Gebruikers van een ander OS weten zo nooit waar ze aan toe zijn want ook daar is volgens de experts malware voor in de omloop.
En kan de code de url in alle bekende browsers aanpassen? Helpt het als je Firefox met Noscript gebruikt?
Het is met nevelen omhuld en dat helpt niet echt om het probleem te herkennen of te omzeilen.
Ik vind het een eng ding.
18-09-2009, 17:54 door Anoniem
Er wordt op geen enkele manier vermeld welke scanners die Zeus wel of niet detecteerden. Je kan dergelijke resultaten dus misschien net zo goed verklaren doordat een aantal veelgebruikte antivirus-pakketten (waaronder wellicht gratis versies) niet goed scoren.

Uit de onafhankelijke tests blijkt immers vaak dat het zeker niet de meest gekende en verspreide merken zijn die de beste testresultaten afleveren. Vaak scoren relatief kleine merken een pak beter.
18-09-2009, 18:12 door Anoniem
@redactie: Gaarne plaatsen.


Euh hoe reageren de banken erop. Ben je geld bv kwijt bij de Rabobank (wordt dit niet vergoedt) en is dit bv mogelijk icm de Rabobank?


Dit is scary zolang we niet weten hoe de besmetting plaatst vindt.
18-09-2009, 19:36 door ctrlaltdelete
"As a recent hyped article claimed ZEUS frequently bypasses popular antivirus and internet security suites. The criminals are careful to infect just a few PCs with each copy of the Trojan, thereby avoiding detection by honepots/nets and subsequent researcher attention in security labs. By the time each copy of a ZEUS Trojan is identified by security researchers it's job is done and a new fresh version will be dispatched to takeover its role"

http://www.prevx.com/blog/137/Detecting-and-Removing-the-ZEUS-Banking-Trojan.html
18-09-2009, 21:10 door cyberpunk
Zeus infecteert computers en wacht tot gebruikers op hun online bankrekening inloggen, om vervolgens de inloggegevens in real-time te stelen.

Om die reden heeft Dexia indertijd een extra procedure met de Digipass ingevoerd. Bij een of meerdere overschrijvingen moet je op een gegeven moment het totale bedrag ingeven in de Digipass. Zoals ik het begrijp kan een cybercrimineel je op die manier (en in real-time) niet méér geld ontfutselen dan er overgeschreven wordt.
19-09-2009, 08:05 door Anoniem
Ach ja, ik kom uit de botnet wereld (naja, ga met mensen om die 20k hebben liggen etc etc). Natuurlijk zien virusscanners dit niet, is dit nou zo WOW? Ik maak ook virussen die virusscanners niet zien, want er bestaan nou eenmaal crypters en binders... Helaaaas
20-09-2009, 15:55 door Anoniem
Heeeeel erg oud nieuws.... Bovendien zou hier niet alleen ZeuS vermeld moeten worden, maar bijvoorbeeld ook Sinowal.
21-09-2009, 08:46 door Anoniem
Door Anoniem: Ach ja, ik kom uit de botnet wereld (naja, ga met mensen om die 20k hebben liggen etc etc). Natuurlijk zien virusscanners dit niet, is dit nou zo WOW? Ik maak ook virussen die virusscanners niet zien, want er bestaan nou eenmaal crypters en binders... Helaaaas

met crypters en binders bereik je wel iets tegen signature based scanners. zoals bijv mcafee, maar je mag me toch uitleggen hoe je een sandbox omzeilt.. dan moet je pauzes in je process thread in bouwen en dan fix je niet met een duistere gebackdoorde exe van een trojan programming forum ;-), en binders zijn er naar mijn weten alleen maar voor om exe1 en exe2 te koppelen...daarmee vergroot je alleen maar je pakkans als je iets wil infecteren.

- Mystic^
21-09-2009, 17:05 door Anoniem
Is het nu zo moeilijk om die hakker troep en virus schrijvers aan te pakken.
Zet ze voor altijd vast als ze gepakt worden.
Anders is het toch dwijlen met de kraan open.
30-09-2009, 14:01 door Rubber Bug
Nu ben ik wel benieuwd welk antivirusprogramma de trojaan wel tegenhoudt en welke niet...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.