image

Citadel-botnet verspreidt nieuwe Hermes-variant

woensdag 15 augustus 2012, 09:26 door Redactie, 27 reacties

Het Citadel-botnet dat eerder het Dorifelvirus in Nederland verspreidde, heeft nu een nieuw Trojaans paard naar besmette computers gestuurd. Dat laat het Delftse beveiligingsbedrijf Fox-IT weten. Het gaat om een variant van de Hermes banking Trojan, malware speciaal ontwikkeld voor het stelen van geld van online bankrekeningen. Het Trojaanse paard zou door slechts 2 van de 42 virusscanners op VirusTotal.com worden gedetecteerd.

Computers waarop Dorifel is verwijderd, maar niet de onderliggende Citadel-infectie, kunnen zo verder besmet raken. Verder blijkt dat de malware van zes nieuwe Command & Control URLs is voorzien, die naar een nieuw IP-adres wijzen. Fox-IT adviseert om IP-adres 184.22.246.252 te blokkeren.

Update 18:05
De Hermes C&C-domeinen wijzen volgens Fox-IT ondezoeker Michael Sandee naar een nieuw IP-adres, te weten: 46.28.71.19.

Reacties (27)
15-08-2012, 11:32 door Anoniem
Ok mag ik de resultaten van virustotal even zien? :)
15-08-2012, 11:38 door Anoniem
Ik vraag me nu af hoeveel mensen dit IP adres gaan blokkeren...

De volgende keer is er een fake persbericht waarin de IP nummers van WIndows Update vermeld staan,
en dan gaan mensen dit misschien ook blokkeren???
15-08-2012, 12:06 door Frits2707
Door Redactie: Fox-IT adviseert om IP-adres 184.22.246.252 te blokkeren.
Het zou niet eens zo'n gek idee zijn om eens een artikel te wijden aan hoe men een IP-adres blokkeert daar menig gebruiken dit absoluut niet weet.
15-08-2012, 12:33 door Anoniem
Beetje googlen kan geen kwaad. http://www.ehow.com/how_7534138_use-host-files-block-websites.html
Dus 127.0.0.1 184.22.246.252.
15-08-2012, 12:51 door [Account Verwijderd]
[Verwijderd]
15-08-2012, 13:00 door Frits2707
Door Anoniem: Beetje googlen kan geen kwaad. http://www.ehow.com/how_7534138_use-host-files-block-websites.html
Dus 127.0.0.1 184.22.246.252.
Volgens mij accepteert de hostfile geen IP-adres alleen een domeinnaam, dus 127.0.0.1 184.22.246.252 werkt niet.
15-08-2012, 13:16 door Anoniem
Maak gewoon gebruik van de ingbouwde windows firewall advanced settings, meteen van het hele gerotzooi met hostfiles af.
15-08-2012, 14:03 door vimes
Door Frits2707: Volgens mij accepteert de hostfile geen IP-adres alleen een domeinnaam, dus 127.0.0.1 184.22.246.252 werkt niet.

Ja hoor werkt prima bij mij (XP prof en 2003 server).
15-08-2012, 14:21 door LightFrame
Door vimes:
Door Frits2707: Volgens mij accepteert de hostfile geen IP-adres alleen een domeinnaam, dus 127.0.0.1 184.22.246.252 werkt niet.

Ja hoor werkt prima bij mij (XP prof en 2003 server).


Natuurlijk kun je dat wel in je hosts file zetten, dus het host file accepteert wel IP-adressen, maar 't heeft geen enkel nut.
Wanneer een programma verbinding wil maken met 184.22.246.252 dan wordt de informatie in het hosts file helemaal niet gebruikt.
15-08-2012, 14:22 door Anoniem
https://www.virustotal.com/file/F42E71F3E5121412E2C82D7AC982E5036F63D39C1C6591C3630F6B3FD8A48180/analysis/
15-08-2012, 14:30 door Frits2707
Door LightFrame:
Door vimes:
Door Frits2707: Volgens mij accepteert de hostfile geen IP-adres alleen een domeinnaam, dus 127.0.0.1 184.22.246.252 werkt niet.

Ja hoor werkt prima bij mij (XP prof en 2003 server).


Natuurlijk kun je dat wel in je hosts file zetten, dus het host file accepteert wel IP-adressen, maar 't heeft geen enkel nut.
Wanneer een programma verbinding wil maken met 184.22.246.252 dan wordt de informatie in het hosts file helemaal niet gebruikt.
Daarom zal het eens nuttig zijn als er een artikel verscheen van hoe je IP-adressen kunt blokkeren.
Nu heeft het advies tot het blokkeren van een IP-adres geen enkel nut; daar men niet weet hoe.
15-08-2012, 14:42 door Anoniem
Je kunt nog altijd Windows Firewall gebruiken ( overigens in Win7 erg geavanceerd ).
15-08-2012, 14:46 door john west
Door Frits2707:
Door Anoniem: Beetje googlen kan geen kwaad. http://www.ehow.com/how_7534138_use-host-files-block-websites.html
Dus 127.0.0.1 184.22.246.252.
Volgens mij accepteert de hostfile geen IP-adres alleen een domeinnaam, dus 127.0.0.1 184.22.246.252 werkt niet.

Werkt perfect deze extra blokkering van de hosts file,maar Avira Internet Security blokkeerde het .
Dat zal ook wel met jouw hosts file gebeuren.

Beter is het met je firewall of router de adapter regels van inkomend en uitgaand verkeer te veranderen ,daar kan je I.P adressen blokkeren.
15-08-2012, 15:33 door yobi
Als een machine besmet is, dan wordt vaak de ene na de andere besmetting toegevoegd. Voor de enkele machines thuis zou ik zelf dan ook kiezen om deze volledig opnieuw te installeren.

Whitelisting is een goed idee. Een lijst maken, met IP-adressen waar verbinding mee gemaakt mag worden.
15-08-2012, 15:34 door Frits2707
Door john west: Beter is het met je firewall of router de adapter regels van inkomend en uitgaand verkeer te veranderen ,daar kan je I.P adressen blokkeren.
Mijn Tele2-router heeft niet de mogelijkheid tot het blokkeren van IP-adressen en mijn firewall (Zone Alarm) ook niet.
Op de Mac (Little Snitch) kan het IP-blokken wel, maar dat heeft weinig zin.
15-08-2012, 15:39 door Xip Pie
http://www.peerblock.com/ werkt perfect om IP adressen te blokkeren.
15-08-2012, 15:41 door linuxpro
iptables -A INPUT -s 184.22.246.252 -j DROP
15-08-2012, 15:47 door Frits2707
Door Xip Pie: http://www.peerblock.com/ werkt perfect om IP adressen te blokkeren.
Dat is alleen voor P2P verkeer.
15-08-2012, 16:17 door Barrymore
Gewoon je ISP lief aankijken en hopen dat ze malware IPs op hun routers will blokkeren, door de data van de verschillende security firms to gebruiken (bijvoorbeeld die van Spamhaus: http://www.spamhaus.org/bgpf/).
15-08-2012, 16:18 door Barrymore
184.22.246.252 is overigens al de nek omgedraaid zo te zien.
15-08-2012, 16:56 door Xip Pie
Door Frits2707:
Door Xip Pie: http://www.peerblock.com/ werkt perfect om IP adressen te blokkeren.
Dat is alleen voor P2P verkeer.
Nee, voor al het verkeer. Dus ook voor o.a. je browser.
15-08-2012, 17:45 door yobi
Index of /rabo
184.82.107.87/rabo/ - In cache
[TXT], sig1.txt.crypt, 28-Jun-2012 10:50, 1.0K. [ ], sig2, 08-May-2012 07:12, 1.1K. [ TXT], sig2.txt.crypt, 28-Jun-2012 10:50, 1.1K. [ ], sig3, 08-May-2012 07:16, 1.2K ...
Index of /sns
184.82.107.86/sns/ - In cache
[TXT], sig1.txt.crypt, 28-Jun-2012 10:50, 1.0K. [ ], sig2, 08-May-2012 07:12, 1.1K. [ TXT], sig2.txt.crypt, 28-Jun-2012 10:50, 1.1K. [ ], sig3, 08-May-2012 07:16, 1.2K ...

Deze waren ook al bekend toch?
15-08-2012, 18:57 door Anoniem
184.82.107.86 wordt geleid naar Nederland en is momenteel dood.
15-08-2012, 19:57 door Anoniem
46.28.71.19 (dire.org) is het ip van van "ITL Company"
http://ipvoid.com/isp/itl-company/

Er zit dus nog meer...
15-08-2012, 20:25 door Booze
Door Frits2707:
Door LightFrame:
Door vimes:
Door Frits2707: Volgens mij accepteert de hostfile geen IP-adres alleen een domeinnaam, dus 127.0.0.1 184.22.246.252 werkt niet.

Ja hoor werkt prima bij mij (XP prof en 2003 server).


Natuurlijk kun je dat wel in je hosts file zetten, dus het host file accepteert wel IP-adressen, maar 't heeft geen enkel nut.
Wanneer een programma verbinding wil maken met 184.22.246.252 dan wordt de informatie in het hosts file helemaal niet gebruikt.
Daarom zal het eens nuttig zijn als er een artikel verscheen van hoe je IP-adressen kunt blokkeren.
Nu heeft het advies tot het blokkeren van een IP-adres geen enkel nut; daar men niet weet hoe.

Goed idee, 1 probleem echter, er zijn net zo vele howto's mogelijk als dat er firewall oplossingen zijn, en dat zijn er nogal wat... Mijns inziens is het beter om de theorie goed uit te leggen, zodat mensen dan met de theorie in hun achterhoofd kunnen googlen hoe ze die instellingen in hun specifieke product in te voeren.
15-08-2012, 20:29 door Booze
Door Frits2707:
Door Anoniem: Beetje googlen kan geen kwaad. http://www.ehow.com/how_7534138_use-host-files-block-websites.html
Dus 127.0.0.1 184.22.246.252.
Volgens mij accepteert de hostfile geen IP-adres alleen een domeinnaam, dus 127.0.0.1 184.22.246.252 werkt niet.

Hij zal het best slikken, echter zal het niet werken. De Hosts file wordt gebruikt om een DNS server voor een bepaalde dns naam te omzeilen, ik gebruik de hosts file bijvoorbeeld om servers op het interne bedrijfsnetwerk te kunnen bereiken op dns naam als ik op de vpn ingelogd ben vanaf thuis, mijn pc krijgt immers de DNS servers van mijn provider toegewezen, waar onze interne dns namen niet in staan, ik routeer alleen gericht bedrijfsmatig verkeer over de tunnel, en dus niet mijn gewone surfverkeer van mijn browser op mijn laptop, dit gaat gewoon via mijn eigen lijntje naar buiten, en niet via een tunnel vervolgens door de firewall van de zaak.

Als er een ip bekend is, is er geen DNS request nodig, en zal er dus ook niet naar de hosts file worden gekeken, maar direct geconnect worden. Er kan dus wel een domeinnaam op deze wijze geblokkeerd worden, maar geen ip.
15-08-2012, 21:30 door Bitwiper
Door Anoniem: Beetje googlen kan geen kwaad. http://www.ehow.com/how_7534138_use-host-files-block-websites.html
Dus 127.0.0.1 184.22.246.252.
Beetje lezen kan geen kwaad.
Uit http://www.ehow.com/how_7534138_use-host-files-block-websites.html: 127.0.0.1 unwantedsite.com Where "unwantedsite" is the actual unwanted site you want to block.
Er staat niks over rechts een IP-adres.

EN TERECHT WANT DAT WERKT NIET.

Als ik aan m'n hosts file (XP-SP3) toevoeg:
127.0.0.1 213.156.0.140
en ik open http://213.156.0.140/ in Firefox (of MSIE, zelfde resultaat) dan wordt er gewoon verbinding gemaakt met genoemd IP adres en krijgt mijn webbrowser ik als antwoord:
HTTP/1.1 302 Found
Date: Wed, 15 Aug 2012 18:42:36 GMT
Server: Apache
Location: http://www.security.nl
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 20
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html
X-Pad: avoid browser bug
waarna m'n webbrowser gewoon http://www.security.nl/ opent.

Daarentegen, als ik aan m'n hosts file (XP-SP3) toevoeg:
127.0.0.1 www.security.nl
en ik open http://www.security.nl/ in Firefox (of MSIE, zelfde resultaat), dan krijg ik een foutmelding (geen verbinding).

Overigens moet je die ehow pagina ook niet meer dan een beetje lezen:
Uit www.ehow.com/how_7534138_use-host-files-block-websites.html: Note: You should not add in the "http or www" prefixes.
Inderdaad moet je GEEN http of http:// prefix toevoegen, maar met
127.0.0.1 unwantedsite.com
in je hosts file wordt UITSLUITEND genoemde FQDN geblokkeerd en NIET bijvoorbeeld www.unwantedsite.com, ftp.unwantedsite.com, wiki.unwantedsite.com etcetera.

Check: met
127.0.0.1 security.nl
in hosts (in plaats van 127.0.0.1 www.security.nl) opent http://www.security.nl/ wel gewoon, maar (zoals verwacht) http://security.nl/ niet.
Nb. je zult bij dit soort tests (na wijzigingen in hosts) wel Ctrl-F5 moeten drukken (of de webbrowser geheel sluiten en opnieuw starten), de reden hiervoor is dat (in elk geval Firefox) een eigen DNS cache heeft.

Los van dit alles is er geen enkele garantie dat de hosts file altijd geraadpleegd wordt voordat een DNS request wordt uitgevoerd. Bijv. nslookup.exe doet altijd direct een DNS request; op je PC draaiende malware kan dat ook (die hosts file bypassen dus).

Voor meer info over de hosts file, zie mijn (eveneens uitgebreide) bijdrage van 2012-08-15 00:20 in http://www.security.nl/artikel/42659/1/Host_file_is_GEEN_firewall!.html.

Daarnaast, als malware op je PC de waarde van "DataBasePath" onder "HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" gewijzigd heeft, kun je in C:\Windows\System32\Drivers\etc\hosts wijzigingen aanbrengen tot je een ons weegt - zonder enig effect. Een rootkit kan genoemde registerwaarde spoofen of je (deels) de inhoud van een andere file voorschotelen als je denkt de "echte" hosts file te openen. Als je PC grondig gecompromitteerd is heeft het totaal geen zin om op die PC zelf allerlei "blokkerende" maatregelen te nemen, ook personal firewalls worden dan eenvoudig omzeild (bijv. door kwaadaardige code in -door de firewall- vertrouwde processen te injecteren).

Last but not least: niet alles wat op internet staat is correct. Helaas hebben jij en john west vandaag de hoeveelheid onjuiste informatie op internet uitgebreid.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.