image

Bestandsloze malware infecteert computergeheugen

maandag 19 maart 2012, 12:14 door Redactie, 11 reacties

Onderzoekers van Kaspersky Lab hebben malware ontdekt die geen besmette bestanden op de harde schijf van de computer plaatst, maar het geheugen infecteert. De malware verspreidde zich via gehackte advertenties en misbruikt een beveiligingslek in Java om de computer te infecteren. Normaliter gebruiken dit soort aanvallen een dropper of downloader op de harde schijf. In het geval van deze malware wordt er een versleuteld DLL-bestand direct in het geheugen van het Java proces geschreven. Eenmaal actief stuurt de malware de surfgeschiedenis alsmede technische informatie over het systeem naar de aanvallers.

"We hebben hier met zeer bijzondere malware te maken, de zogeheten bestandsloze kwaadaardige programma's die niet als bestand op de harde schijf bestaan, maar alleen in het besmette computergeheugen opereren", zegt Sergey Golovanov. "De beste voorbeelden van dit soort dreigingen zijn de CodeRed en Slammer-wormen, die het afgelopen decennium voor grootschalige uitbraken zorgden."

Geheugen
De bot, die zich via het Java-lek in het geheugen nestelt, gebruikt verschillende methoden om de User Account Control functie van Windows uit te schakelen. Hierna kan de bot de Lurk Trojan op de besmette computer installeren. De beslissing om dit te doen, wordt op de server van de cybercriminelen gemaakt. Iets wat volgens Golovanov opmerkelijk is.

Aangezien de exploit en bot geen bestanden van zichzelf op de computer achterlaten, is het veel lastiger voor virusscanners om de aanval te detecteren, stelt Golovanov. "Als de exploit niet wordt gedetecteerd, kan de bot zich succesvol in het geheugen laden en zo bijna onzichtbaar worden." De Lurk Trojan die de bot installeert zou het vooral op inloggegevens voor internetbankieren hebben voorzien. In totaal zouden 300.000 computers met de malware besmet zijn geraakt.

Advertentie
De malware werd op verschillende grote Russische nieuwssites ontdekt. Daar was het verstopt in verschillende advertenties, die via het AdFox advertentieplatform waren getoond. De aanvallers hadden het account van een Adfox-klant gebruikt om de code van de advertenties aan te passen en die naar de kwaadaardige website met Java-exploit te laten wijzen.

"Dit is een unieke aanval, omdat cybercriminelen hun eigen PE bestand-downloader hebben gebruikt die werkt zonder kwaadaardige bestanden op het geïnfecteerde systeem aan te maken, en bijna geheel in het vertrouwde Java-proces draait." Deze aanval richtte zich tegen Russische internetgebruikers, maar Golovanov kan niet uitsluiten dat de criminelen de techniek ook in andere landen zullen toepassen.

Reacties (11)
19-03-2012, 12:28 door tegenlicht
Iemand enig idee wat er dan gebeurd als je de computer uitzet?
19-03-2012, 12:31 door M_iky
This kind of malware only remains operational until the operating system is restarted, but in this case this is not a critical issue for the Trojan’s authors.

Maar voor het volledige verslag verwijs ik je ff door naar het artikel :

https://www.securelist.com/en/blog/687/A_unique_fileless_bot_attacks_news_site_visitors#page_top
19-03-2012, 12:33 door Anoniem
Door tegenlicht: Iemand enig idee wat er dan gebeurd als je de computer uitzet?
Het lijkt mij, als hij niet opslaat op een media opslag dat het weg is. Alleen de functie van de malware is informatie vinden en verzenden. Dus het doel heeft hij behaald.
19-03-2012, 13:32 door [Account Verwijderd]
[Verwijderd]
19-03-2012, 13:34 door [Account Verwijderd]
[Verwijderd]
19-03-2012, 13:58 door zatlander
Nu rekenen ze erop dat je vaak genoeg terugkeert naar die nieuwssite en zo terug geïnfecteerd wordt.
Eigenlijk zouden ze door het simpleweg aanpassen van de browser homepage kunnen maken dat hun trojan altijd geladen wordt. En die link natuurlijk door een aantal url shorteners jagen om hem random te maken en na de exploit de browser naar de originele homepage redirecten...
19-03-2012, 13:59 door Anoniem
Door Peter V:
Door tegenlicht: Iemand enig idee wat er dan gebeurd als je de computer uitzet?
Bij een infectie van het geheugen moet je bij een Laptop zeker ook je accu verwijderen om het deleten van de malware uit het geheugen mogelijk te maken. De spanning moet er dus helemaal af.
Volgens mij is een simpele reboot voldoende. Misschien hangen her en der nog bitjes van de malware in memory, maar de administratie van Windows heeft er geen verwijzingen meer naar en zal het geen onderdeel meer zijn van actieve Java processen die daarna worden gestart.
19-03-2012, 14:25 door Anoniem
Door Peter V:
De malware verspreidde zich via gehackte advertenties en misbruikt een beveiligingslek in Java om de computer te infecteren
Nogmaals: gooi Java van je systeem af en installeer altijd een AdBlocker.

En als een website niet wil werken zonder Java, dan is dat jammer dan.

Beveiliging van je systeem gaat voor.

Haal de stroom van je computer, gooi hem in een 30 meter diepe put en stort die put vol met beton. Als je dan niet meer kan internetten, dan is dat jammer dan.

Beveiliging van je systeem gaat voor.
19-03-2012, 15:02 door Anoniem
Peter V: straks ga je ons nog adviseren om alleen toegang toe te staan naar gewiteliste IPs en DNSnamen.
19-03-2012, 17:36 door Anoniem
Door tegenlicht: Iemand enig idee wat er dan gebeurd als je de computer uitzet?

Wie zet zijn PC nog uit? Vaak krijg je alleen een reboot als je machines crasht. Veel mensen drukken zelfs de maandelijks melding voor een reboot na het updaten weg.

Peter
20-03-2012, 12:51 door swake
Onderzoekers van Kaspersky Lab hebben malware ontdekt die geen besmette bestanden op de harde schijf van de computer plaatst, maar het geheugen infecteert.

Wie nog iets af weet van DOS en windows 3.x zal weten dat het hier gaat om bootsectorvirussen die het geheugen van de harde schijf besmetten en niet het RAM geheugen. Bootsectorvirussen bestaan dus al heel lang , maar zijn uitgestorven geweest , maar zijn terug in opkomst .
In een HijackThis loje is het virus te herkennen in deze regel : F3 - REG:win.ini:
En het kan tegenwoordig allemaal niet snel genoeg meer gaan. De computer aanzetten en men moet hem onmiddelijk kunnen gebruiken . Bij aanzetten van mijn computer scant mijn antivirus eerst de bootsector voor windows word opgestart. Ik moet wel een minuutje langer wachten voor ik mijn computer kan gebruiken , maar mijn computer start veilig op.

http://nl.wikipedia.org/wiki/Bootsectorvirus
Door Anoniem:
Door tegenlicht: Iemand enig idee wat er dan gebeurd als je de computer uitzet?

Wie zet zijn PC nog uit? Vaak krijg je alleen een reboot als je machines crasht. Veel mensen drukken zelfs de maandelijks melding voor een reboot na het updaten weg.

Peter

Inderdaad, wie schakelt nog helemaal zijn computer volledig uit, en zet hem zonder stroom na na het uitschakelen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.