Trojaans paard blokkeert virusscanner via firewall
Cybercriminelen hebben een nieuwe truc ontdekt om te voorkomen dat virusscanners op besmette systemen zich kunnen updaten, namelijk het gebruik van een commerciële firewall. De meeste malware wijzigt het HOSTS bestand, zodat de anti-virus software geen updates meer kan ontvangen. Aangepaste HOSTS bestanden zijn eenvoudig te herkennen en te verwijderen, omdat ze zich altijd in dezelfde locatie bevinden. Eenmaal verwijderd, kan de computer weer met de geblokkeerde website verbinding maken.
Om dit te voorkomen worden nu onderdelen van de Windows Packet Filter Kit gebruikt, een commercieel product waarmee ontwikkelaars kleine netwerkfilter applicaties kunnen maken. In dit geval gebruikt de virusschrijver de tools om toegang tot de websites van verschillende anti-virusaanbieders te blokkeren. De malware plaatst de bestanden ndisrd_xp.sys, ndisrd.sys en ndisapi.dll in de Windows driver map, terwijl de firewall via Netfilter.exe wordt uitgevoerd. Individuele gebruikers betalen 95 dollar voor een Windows Packet Filter Kit licentie, terwijl de volledige versie, inclusief broncode, 3500 dollar kost.
Interessant
"WinpkFilter is een interessant pakket voor virusschrijvers om te gebruiken. Het is niet erg bekend, maar biedt ontwikkelaars veel functionaliteit. In dit geval zoekt de driver naar pakketten die bepaalde domeinnamen bevatten en blokkeert vervolgens de verbinding", zegt Andrew Brandt van Webroot. Gebruikers merken alleen dat de virusscanner geen updates kan installeren, terwijl alle andere websites wel naar behoren blijven functioneren.
De truc wordt voornamelijk door de nep-virusscanner Antivirus 2010 toegepast. Een voordeel is wel dat gebruikers die iets vermoeden, via TaakBeheer naar het bestand Netfilter.exe kunnen zoeken. Als dat aanwezig is, kunnen ze de firewall stoppen, om vervolgens de virusscanner wel te laten updaten.
Toen ik dit las dacht ik, hmm, komt erg overeen met wat mij is gebeurd, echter zoals gezegd ben ik niet besmet met genoemde bestanden.
Ik heb zojuist de Start Update functie weer eens gebruikt in Avira en na 3 minuten afgebroken. Mijns inziens genoeg tijd om te checken of er een update beschikbaar is. Dit is wat het log report mij vermelde:
(gedeelte van het log)
[UPD] [INFO] Downloading of 'http://62.146.66.181/update/idx/master.idx' to 'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
[UPDLIB] [ERROR] Download manager: An error occurred inside the WinINet library.
[UPD] [INFO] Select update server 'http://62.146.66.178/update'.
[UPD] [INFO] Downloading of 'http://62.146.66.178/update/idx/master.idx' to 'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
[UPDLIB] [ERROR] Download manager: An error occurred inside the WinINet library.
[UPD] [INFO] Downloading of 'http://62.146.66.178/update/idx/master.idx' to 'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
[UPDLIB] [ERROR] Download manager: An error occurred inside the WinINet library.
[UPD] [INFO] Downloading of 'http://62.146.66.178/update/idx/master.idx' to 'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
[UPD] [WARNING] The update was terminated by the user.
[UPDLIB] [ERROR] Download manager: An error occurred inside the WinINet library.
[UPD] [INFO] Select update server 'http://80.190.143.236/update'.
[UPDLIB] [ERROR] Update aborted by the user.
[UPD] [ERROR] Generation of update structure failed. UpdateLib delivers error 522.
Iemand enig idee? Ik had al gezocht op Google, en je komt er wel update errors tegen, maar allemaal uit het verleden. Niets van recentelijk. Ook op het Avira forum heb ik nog geen antwoord gekregen (alleen standaard tips & tricks die ik zelf ook kan bedenken maar die geen oplossing leveren). Overigens handmatig naar de bovenstaande update IP adressen gaan in een browser, worden ook niet geladen.
Lijkt erop dat meerdere mensen er last van hebben zag ik net op het Avira forum en iedereen wordt maar afgescheept met do a manual update, maar verder geen uitleg over wat er gaande is en wanneer er een fix voor is. :/
Toen ik dit las dacht ik, hmm, komt erg overeen met wat mij is gebeurd, echter zoals gezegd ben ik niet besmet met genoemde bestanden.
Ik heb zojuist de Start Update functie weer eens gebruikt in Avira en na 3 minuten afgebroken. Mijns inziens genoeg tijd om te checken of er een update beschikbaar is. Dit is wat het log report mij vermelde:
(gedeelte van het log)
[UPD] [INFO] Downloading of 'http://62.146.66.181/update/idx/master.idx' to 'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
[UPDLIB] [ERROR] Download manager: An error occurred inside the WinINet library.
[UPD] [INFO] Select update server 'http://62.146.66.178/update'.
[UPD] [INFO] Downloading of 'http://62.146.66.178/update/idx/master.idx' to 'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
[UPDLIB] [ERROR] Download manager: An error occurred inside the WinINet library.
[UPD] [INFO] Downloading of 'http://62.146.66.178/update/idx/master.idx' to 'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
[UPDLIB] [ERROR] Download manager: An error occurred inside the WinINet library.
[UPD] [INFO] Downloading of 'http://62.146.66.178/update/idx/master.idx' to 'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
[UPD] [WARNING] The update was terminated by the user.
[UPDLIB] [ERROR] Download manager: An error occurred inside the WinINet library.
[UPD] [INFO] Select update server 'http://80.190.143.236/update'.
[UPDLIB] [ERROR] Update aborted by the user.
[UPD] [ERROR] Generation of update structure failed. UpdateLib delivers error 522.
Iemand enig idee? Ik had al gezocht op Google, en je komt er wel update errors tegen, maar allemaal uit het verleden. Niets van recentelijk. Ook op het Avira forum heb ik nog geen antwoord gekregen (alleen standaard tips & tricks die ik zelf ook kan bedenken maar die geen oplossing leveren). Overigens handmatig naar de bovenstaande update IP adressen gaan in een browser, worden ook niet geladen.
Lijkt erop dat meerdere mensen er last van hebben zag ik net op het Avira forum en iedereen wordt maar afgescheept met do a manual update, maar verder geen uitleg over wat er gaande is en wanneer er een fix voor is. :/
De vorige week lag de update-server voor de freewareversie er ook al uit. Ik denk dat ze daar wat aan het spelen zijn. Zal wel weer goed komen
Rex.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.