image

Chinese malware laat cloud-virusscanners zinken

woensdag 19 januari 2011, 12:23 door Redactie, 2 reacties

Onderzoekers van Microsoft hebben Chinese malware ontdekt die verschillende cloud-virusscanners aanvalt en omzeilt. De Bohu-malware is een Trojan-dropper die zich via social engineering verspreidt, door zich bijvoorbeeld als een mediaspeler voor te doen. Eenmaal geïnstalleerd gebruikt Bohu verschillende technieken om populaire Chinese cloud-virusscanners te blokkeren en te omzeilen.

De eerste techniek is het omzeilen van hash-gebaseerde detectie door willekeurige data aan het eind van de payload toe te voegen. Veel cloud-virusscanners gebruiken hash-gebaseerde detectie, maar door de willekeurige data verandert de hash. De tweede techniek is het blokkeren van toegang tot de servers van de cloud-virusscanner. Bohu installeert hiervoor een Windows Sockets service provider interface (SPI), die het verkeer tussen client en server filtert.

Verder installeert Bohu ook een Network Driver Interface Specification (NDIS) filter. De driver voorkomt dat de virusscanner data naar de server uploadt door naar het adres van de server in een IP-datagram te kijken. De driver doorzoekt de datastroom naar sleutelwoorden en servernamen van bekende Chinese anti-virusbedrijven, zoals Kingsoft, Rising en Qihoo. Microsoft zou deze partijen inmiddels hebben ingelicht.

Reacties (2)
19-01-2011, 15:15 door 2tirds
iedereen die clouds gebruikt voor privacy gevoelige doeleinden is gek.. is nog lang niet volwassen.. kijk naar hoe makkelijk je tor ringen af kan breken. deze techniek is super voor testen, berekeningen maar niet privacy gevoelig mits je eigen full vpn of interne cloud hebt. sommige asp's beginnen het nu te gebruiken voor erp software modules maar het is duidelijk nog niet volwassen en moment want stond er nog meer...

oh ja en natuurlijk wil je je 'zeker-weten-kloppende' av info niet privacy ongevoelig noemen lol

tot nu is vrijwel alle hash-check methodes gebruikt in clouds vrij eenvoudig te breken je hebt een paar ongebruikelijk maar das dus allemaal niet volwassen.

en middle man attakken zijn al zou oud als jezus zonder sandalen dat kan je wel op een miljoen manier omzeilen wanneer je al beperkte user creds op een standaard windhoos bak hebt.

nou ja ook die malware wordt meer en meer volwassen he tja hijs eigenlijk pas een jaar of 5 wat meer professioneel aan het worden, tis te verwachten enzo ;)
21-01-2011, 14:46 door 2tirds
Nu ja ik moet er wel even bij vermelden dat het wel belangrijk is dat dingen als tor zich verder ontwikkeld en nu ik zelf net wat nieuwe verbeteringen in tor, toevallig dus echt zojuist, updates heb ontdek neem dat GEMAKKELIJK afbreken van tor ringen terug. Eerlijkheid boven alles. Maar zo privacy als jij waarschijnlijk denkt dat het is, ga daar maar nog niet vanuit ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.