Dat zinnetje loopt niet lekker en is onbegrijpelijk...

Naar welke .exe proces moeten we zoeken?

Nog een reden om Linux te blijven gebruiken, dus. ;)

Poeh lasting ding weer zeg :(

Het rapport noemt:
* Dropper maakt een verborgen bestand aan in "%UserProfile%\Start Menu\Programs\Startup" met de naam chkntfs.exe of syscron.exe
* In het rapport staat een voorbeeld URL ".nl/klanten", volgens Google (inurl:.nl/klanten bank) hebben Alex en Rabobank zo'n submap.

Dat bekende scanners de malware niet zouden detecteren bij een simpele scan zoals bij virustotal kan ik me voorstellen. Maar wanneer de trojan zich naar de startupfolder kopiëert, zal een goed HIPS dit detecteren en de malware in quarantaine zetten. Volgens de static analyse http://www.threatexpert.com/report.aspx?md5=07d3fbb124ff39bd5c1045599f719e36 probeert-ie chkntfs.exe in de startupfolder te zetten. Volgens Trusteer kan dat ook syscron.exe zijn, en er zijn ongetwijfeld meer mogelijkheden. Maar een goeie Host Intrusion Prevention System houdt dit dus tegen. Een Client Firewall zou bij een opzettelijke besmetting C&C verkeer alsnog tegenhouden.

2010-10-01
http://www.virustotal.com/file-scan/report.html?id=13e936f39014a4b264925043453e3e85aa8453790c99505958acd85f96f54d3f-1285934416

2010-10-14
http://www.virustotal.com/file-scan/report.html?id=13e936f39014a4b264925043453e3e85aa8453790c99505958acd85f96f54d3f-1287041321

Nou daar hoef je niet veel onderzoek voor te doen...
https://www.rabobank.nl/download/

CompanyName: Fox-IT
FileDescription: Carberp Cleaner
FileVersion: 2, 0, 0, 2
InternalName: Carberp Cleaner
LegalCopyright: Copyright (C) 2010 Fox-IT

is van 13 september en versie 2.0.0.2... is dus vast al ouder... ;)

Wat in dit geval totaal niet uitmaakt. Deze trojan heeft geen admin rechten nodig en zou, mits geport naar Linux, ook prima daarop z'n werk kunnen doen. Ik zie in de analyse geen enkele reden waarom er geen Linux/Firefox variant gemaakt zou kunnen worden.

Hoe zorgt dit programma er dan voor dat het met het systeem opstart als het geen registersleutels aanmaakt?

Analyse lezen. Het maakt een verborgen snelkoppeling in de gebruiker z'n Startup folder.

Online bankrekeningen leegroven. Heeft de trojan dan ook de calculator/TAN code ??

ING gebruikt CarbCleaner ook: http://www.ing.nl/cleaner

Ik heb onlangs bij vrienden te maken gehad met Carberb. (W32/carberb C)
De Rabobank had hun rekening geblokkeerd en per mail een cleaner gestuurd.
Hieronder staat voor de liefhebbers het rapport gemaakt na het schoonmaken, wat teruggemaild kon worden om de rekening te laten deblokkeren. ( Bij [] stond een accountnaam tussen de haakjes.)
Overigens bleek het systeem nog eens 17 andere stuks malware te bevatten.
Dat bleek na een volledige scan met Security essentials terwijl de wekelijkse snelle scan nauwelijks iets detecteerde.
In feite was de computer volledig gecompromitteerd.Het systeem bevatte o.a verschillende keyloggers, wachtwoordstelers en het DNS verkeer kon worden omgeleid. De klachten in het gebruik van de computer waren dat Firefox tergend langzaam was en soms werd afgesloten direct na het opstarten.Er waren geen vreemde processen zichtbaar in taakbeheer.
Inmiddels is de computer geformatteerd en opnieuw geinstalleerd en zijn alle wachtwoorden veranderd.
Overigens wilde Rabo de rekening pas weer deblokkeren na een persoonlijk bezoek aan de bank.

Het logboek:
Searching for Carberp hosting process
--------------------------------------
smss.exe [SYSTEM] -> Clean
csrss.exe [SYSTEM] -> Clean
winlogon.exe [SYSTEM] -> Clean
services.exe [SYSTEM] -> Clean
lsass.exe [SYSTEM] -> Clean
svchost.exe [SYSTEM] -> Clean
svchost.exe [SYSTEM] -> Clean
MsMpEng.exe [SYSTEM] -> Clean
svchost.exe [SYSTEM] -> Clean
svchost.exe [SYSTEM] -> Clean
svchost.exe [SYSTEM] -> Clean
svchost.exe [SYSTEM] -> Clean
spoolsv.exe [SYSTEM] -> Clean
explorer.exe [] -> Clean
E_FATIAIE.EXE [] -> Clean
RTHDCPL.exe [] -> Clean
rundll32.exe [] -> Clean
iTunesHelper.exe [] -> Clean
msseces.exe [] -> Clean
jusched.exe [] -> Clean
nmctxth.exe [] -> Clean
reader_sl.exe [] -> Clean
ctfmon.exe [] -> Clean
msmsgs.exe [] -> Clean
uTorrent.exe [] -> Clean
TomTomHOMERunner.exe [] -> Clean
CoreAudio.exe [] -> Clean
ntvdm.exe [] -> Clean
audiorepeater.exe [] -> Clean
PConTV.exe [] -> Clean
svchost.exe [] -> Infected!
\-> Carberp hosting process successfully killed
AppleMobileDeviceService.exe [SYSTEM] -> Clean
mDNSResponder.exe [SYSTEM] -> Clean
svchost.exe [SYSTEM] -> Clean
jqs.exe [SYSTEM] -> Clean
McSACore.exe [SYSTEM] -> Clean
NMSAccessU.exe [SYSTEM] -> Clean
nvsvc32.exe [SYSTEM] -> Clean

Op zich goed dat ze er wat aan proberen te doen. Jammer alleen dat ze dan vervolgens een executable via mail versturen. Ik had toch liever gezien dat ze een mail hadden gestuurd waar een link in stond waar je die cleaner kon downloaden (bij voorkeur van de site van de Rabobank zelf).

hahahahahah

Storm in een glas water. Zonder calculator wordt het toch echt ondoenlijk. En 'zelfs' bij de ING is dit onmogelijk zonder de TAN code!

Ik denk dat hij snail mail bedoelde. Een brief met een link naar de Rabobank website.

Reken jezelf niet rijk. Volgens het gelinkte artikel bevestigt Carberb zichzelf aan WININET.dll en USER32.dll, dat wil zeggen dat zowel de HTTP(S) protocol handler als de grafische user interface gecompromitteerd zijn.

De Rabo vraagt in zijn challenge response pas bij grotere bedragen om ook het bedrag als tweede challenge op te geven, en bij nog grotere bedragen om het tegenrekeningnummer als derde challenge. Als je óf de user interface, óf de HTTP-berichten in onversleutelde vorm kan manipuleren, en Carberb haakt op beide in, dan ben je in staat om kleinere bedragen tot de limiet voor de tweede challenge te verhogen, en om tegenrekeningnummers aan te passen zo lang je onder de drempel voor de derde challenge zit. Alles zonder dat het voor de gebruiker zichtbaar is.

Omdat in TAN-codes noch het bedrag, noch het tegenrekeningnummer verwerkt zijn, bieden die geen enkele bescherming tegen dit soort aanvallen.

"You see what you sign" kan duidelijk niet meer door een desktop-machine gegarandeerd worden, en dat zou dus uitbesteed moeten worden aan een apparaat dat aanzienlijk moeilijker te manipuleren is. Met de huidige random reader zou dat kunnen door altijd bedrag en tegenrekening als challenge te gebruiken, ook voor kleinere overboekingen, alleen is het nogal omslachtig als je meerdere overboekingen in een keer wilt ondertekenen. Een aan de computer gekoppeld apparaatje zou de volledige transactiegegevens kunnen ontvangen en tonen op een voldoende groot schermpje, en je die met een pincode op een ingebouwd toetsenbordje laten ondertekenen. Dat apparaatje mag niet via die verbinding te compromitteren zijn, ongeautoriseerde firmware-upgrades langs die route moeten dus onmogelijk zijn. Je hebt als klant de verantwoordelijkheid om niet blind te tekenen maar elke keer zorgvuldig te kijken of de bedragen en rekeningnummers wel kloppen. Als je dat niet doet houdt alles op.

Je vertrouwelijkheid ligt op straat met dit soort aanvallen, maar een cryptografisch sterke digitale handtekening kan veilig over een onveilige verbinding gestuurd worden, daarvoor moeten alleen de eindpunten robuust zijn. Dat eindpunt moet dus niet de computer zelf zijn maar een gespecialiseerd apparaatje, en het moet minstens bedragen en tegenrekeningnummers mee-ondertekenen om een gecompromitteerde pc te ondervangen.

Bij mijn vader hadden ze dat inderdaad wel gedaan. Toegang tot internetbankieren geblokkeerd en vervolgens een echte brief gestuurd.