image

BlackEnergy Trojan vernietigt computers

vrijdag 5 maart 2010, 13:51 door Redactie, 8 reacties

Een nieuwe variant van de BlackEnergy Trojan is in staat om geïnfecteerde computers te vernietigen, zo hebben onderzoekers ontdekt. De eerste versie van BlackEnergy werd ingezet voor het uitvoeren van DDoS-aanvallen op Georgië in 2008. Naast alle versies die via een doe-het-zelf toolkit zijn te maken, is versie 1.9.2 de laatste officiële variant.

Onderzoekers van SecureWorks ontdekten dat BlackEnergy 2 al meer dan een jaar in ontwikkeling is. In tegenstelling tot z'n voorganger, gebruikt deze versie moderne rootkit/proces-injectie technieken, sterke encryptie en modulaire architectuur. In het geval de gebruiker geen administrator rechten heeft, gebruikt de malware een exploit voor een kwetsbaarheid uit 2008, waarmee het de rechten kan verhogen. Zodoende is het toch mogelijk om de rootkit te installeren.

Kill commando
BlackEnergy ondersteunt nu ook plugins, waardoor allerlei code aan de Trojan is toe te voegen. Vooralsnog gaat het om plugins voor het versturen van spam en het stelen van inloggegevens voor internetbankieren. De "banking Trojan plugin" lijkt veel op de Zeus Trojan en is ontworpen om het bestandssysteem van besmette computers te vernietigen. Daarvoor kan de beheerder een speciaal "kill" commando geven. De Trojan overschrijft dan de eerste 4.096 clusters met willekeurige data en probeert vervolgens de "ntldr" en "boot.ini" bestanden te verwijderen.

"Deze functionaliteit wordt waarschijnlijk gebruikt nadat de inloggegevens voor internetbankieren zijn gestolen, om zo te voorkomen dat het slachtoffer ziet dat er geld van zijn rekening is gehaald en hij de bank inlicht." Voor zover bekend heeft de Trojan het alleen op Russische en Oekraïense banken voorzien. En dat is opmerkelijk, want voorheen beschouwden Russische hackers hun landgenoten niet als doelwit.

Plugins
Volgens onderzoeker Joe Stewart is BlackEnergy 2 is een behoorlijke stap voorwaarts ten opzichte van zijn voorganger. "Met de bestaande plugins levert het de drie hoekstenen van moderne cybercrime." Het Trojaanse paard is nog niet als doe-het-zelf toolkit verkrijgbaar, maar mocht dat veranderen, dan zal die waarschijnlijk populairder dan de eerste versie worden. "Hoe het ook zij, er is veel meer ruimte voor het innoveren van de stealth en functionaliteit in toekomstige BlackEnergy 2 versies." Voor de crypto-liefhebbers publiceerde FireEye deze analyse van de eerste variant.

Reacties (8)
05-03-2010, 14:04 door Anoniem
Titel is wel een beetje overdreven hier. De trojan "vernietigt" geen computers. Het ergste dat er kan gebeuren is dat je harddisk corrupt wordt gemaakt (en je dus opnieuw zal moeten installeren.
05-03-2010, 14:15 door Necrowizard
Beetje misleidende titel... Ik dacht eindelijk eens een botnet dat fysieke schade kan aanrichten ("vernietigt computers"), maar blijkbaar gewoon alleen je OS
05-03-2010, 15:01 door Eerde
Waar kan ik dat downloaden ? Wil het wel eens proberen op een Linux doosje...
Of zijn er enkel .exe files ?
05-03-2010, 17:06 door spatieman
Eerde ,foei ,schaam je xD..
05-03-2010, 19:03 door KwukDuck
Waar vind ik dit 'vernietigen' terug in het bericht zelf?
Ik was stilletjes aan het hopen op een spectaculair explosiefilmpje...
05-03-2010, 23:57 door soeperees
Titel is wel een beetje overdreven hier. De trojan "vernietigt" geen computers. Het ergste dat er kan gebeuren is dat je harddisk corrupt wordt gemaakt (en je dus opnieuw zal moeten installeren.

Beetje misleidende titel... Ik dacht eindelijk eens een botnet dat fysieke schade kan aanrichten ("vernietigt computers"), maar blijkbaar gewoon alleen je OS[/qoute]

Een kennis van mij heeft pas een nieuwe laptop gekocht omdat er op zijn oude een virus zat!?!?!??!?
Ik denk dat ik morgen nieuwe schoenen ga kopen, want ik heb vandaag in de poep getrapt.

Sjonge wat ben ik blij dat ik VRIJ ben van dit soort onzin zeg!

PS. de BBcodes doen het niet
06-03-2010, 14:26 door [Account Verwijderd]
[Verwijderd]
06-03-2010, 14:35 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.