image

Gevaarlijke rootkit rukt op in Nederland

maandag 14 mei 2012, 11:41 door Redactie, 17 reacties

Het aantal besmette computers in Nederland dat met een exemplaar van de gevaarlijk Mebroot-rootkit is geïnfecteerd, groeit. Dat blijkt uit cijfers van het Nederlandse anti-virusbedrijf Surfright die Security.nl ontving. Vorige maand bleek dat 8,4% van de besmette computers Mebroot bevatte, dat is inmiddels naar 13,7% opgelopen.

Daarmee is Mebroot de actiefste malware in Nederland, terwijl de rootkit wereldwijd op de tiende plek staat. De malware verspreidt zich via drive-by downloads op gehackte websites. Mebroot werd onder andere via NU.nl verspreid. Eenmaal actief kan het inloggegevens voor internetbankieren onderscheppen.

Adware
Op de tweede plek van actiefste malware staat de InstallCore-adware. Net als vorige maand werd de adware op ruim 11% van de pc's aangetroffen. Andere actieve malware in Nederland zijn nep-virusscanners (10%) en de Zbot (Zeus) banking Trojan (6%).

Ook het aantal infecties van ransomware, waaronder het 'KLPD-gijzelvirus' nam toe. Deze vorm van malware werd vorige maand op een kleine 1% van de besmette computers gevonden, dat bedraagt inmiddels bijna 3%.

Update 12:15
De bovenstaande malware werd op computers gevonden die over een up-to-date virusscanner beschikten. Het is volgens Erik Loman van Surfright geen verrassing dat Mebroot, ook bekend als Sinowal/Torpig, op deze pc's wordt gevonden. "Sinowal verbergt zich erg goed voor antivirusprogramma's door de harddisk driver te infecteren waardoor ontdekking/verwijderen erg lastig is: antivirus scant de master boot record (MBR), maar krijgt door Sinowal een schone MBR aangeleverd waardoor de computer schoon lijkt", zegt Loman tegenover Security.nl.

"Je moet om deze infectie heen lezen om de echte sector informatie te krijgen. Onze Cloud Assisted Miniport Hook Bypass (CAMHB) maakt het mogelijk om langs de infectie (miniport hooks) te lezen en rechtstreeks met de originele miniport driver te communiceren."

Detectie
In maart voegde de virusbestrijder detectie en removal voor Sinowal.knf toe. Deze variant werd onder andere via NU.nl verspreid. "Sinowal.knf maakte het lastig voor CAMHB omdat we bij die infectie de miniport niet konden achterhalen. Deze informatie is nodig zodat HitmanPro rechtstreeks met de miniport kan communiceren, dus om de infectie heen de echte sectoren lezen."

Volgens Loman is het voornamelijk die toevoeging die voor een stijging zorgt. "Voor de NU.nl infectie zagen we deze variant gewoon niet. Het beste bewijs is dat Mebroot in april met kop-en-schouder bovenaan staat in de Top 5 van Bootkits (83,79%). De maanden voor april was dit vele malen lager. Dat deze juist in Nederland bovenaan staat komt omdat de Verenigde Staten al enige tijd gebukt gaat onder de Pihar bootkit. Die zien de meeste AVs ook niet en gebruikt eenzelfde strategie als Sinowal.knf."

Reacties (17)
14-05-2012, 11:45 door MrBil
Ik heb al bekende signatures en poorten in mijn network analyzer toegevoegd, een aantal medewerkers bleken ineens geen AV meer te hebben.. hmmm .. na onderzoek een virus opgelopen via de mail (.doc exploit).
14-05-2012, 12:46 door Anoniem
"Sinowal verbergt zich erg goed voor antivirusprogramma's door de harddisk driver te infecteren "

Kan en virusscanner de harddiskdriver niet scannen op infecties dan?
14-05-2012, 13:29 door Mysterio
Door Anoniem: "Sinowal verbergt zich erg goed voor antivirusprogramma's door de harddisk driver te infecteren "

Kan en virusscanner de harddiskdriver niet scannen op infecties dan?
Goed ook het artikel gelezen...
The problem is that there are literally thousands of different brands, types and versions of hard disk drivers and they all need to be addressed differently.
En daar komt de CAMHB om de hoek.

Het is blijkbaar iets nieuws waar de anti-virus boeren nog niet echt een antwoord op hebben. Voorkomen is beter dan genezen, maar ik heb gemerkt dat deze malware zich niets aantrekt van het werken met beperkte rechten en meer van dat soort standaard zaken. Bij een gerichte aanval maak je weinig kans.
14-05-2012, 13:48 door SBBo
Zoals zo vaak FUD.
Er is een probleem, maar wij hebben de oplossing.
14-05-2012, 15:38 door Erik Loman
Door Anoniem: "Sinowal verbergt zich erg goed voor antivirusprogramma's door de harddisk driver te infecteren "

Kan en virusscanner de harddiskdriver niet scannen op infecties dan?
Dat is het punt: als de rootkit eenmaal actief is dan kun je de echte geïnfecteerde sectoren niet meer lezen want die rootkit zit er tussen. Alles wat je probeert te doen met de disk is onder controle van de rootkit en die kan teruggeven wat ie wil. Als je van een rescue CD zou booten en scannen dan kun je die sectoren wel zien want dan is de rootkit niet actief. Voor veel computergebruikers is het toepassen van een rescue CD echter lastig (andere omgeving dan ze gewend zijn).

Door SBBo: Zoals zo vaak FUD. Er is een probleem, maar wij hebben de oplossing.
HitmanPro is niet de enige tool. TDSSKiller en aswMBR kun je ook gebruiken om dergelijk rootkits te verwijderen.

Het artikel is slechts om aan te geven dat Mebroot in april de meeste voorkomende malware is op systemen die beschermt zijn door een up-to-date antivirus (zeg maar: de top 25 van lastige malware). 84% van alle bootkits in NL was Mebroot (aka Sinowal), terwijl dit wereldwijd 19% is.
14-05-2012, 15:52 door svenvandewege
@Erik Loman: Als HitmanPro wel instaat is om de rootkits op te sporen en te verwijderen, houdt dit dus in dat het mogelijk is om softwarematig deze rootkits op te sporen. Waarom voegen de grote antivirusfabrikanten deze functionaliteit niet toe in hun antivirusoplossingen?
Ook deze producten moeten toch instaat zijn om een mbr te vervangen, een harddisk driver te detecteren/herstellen etc?
14-05-2012, 16:13 door Erik Loman
Door svenvandewege: @Erik Loman: Als HitmanPro wel instaat is om de rootkits op te sporen en te verwijderen, houdt dit dus in dat het mogelijk is om softwarematig deze rootkits op te sporen. Waarom voegen de grote antivirusfabrikanten deze functionaliteit niet toe in hun antivirusoplossingen?
Ook deze producten moeten toch instaat zijn om een mbr te vervangen, een harddisk driver te detecteren/herstellen etc?
Ik weet dat Kaspersky 2012 in staat is om dergelijke rootkits aan te pakken. Zij hebben hun TDSSKiller technieken inmiddels in hun AV geïntegreerd. Andere vendors leveren soms een losse tool om een specifieke malware familie aan te pakken. Maar als je AV niet zegt wat er precies aan de hand is dan kom je niet snel uit bij deze specialistische tool. Ook houden sommigen de tools onder de pet (alleen voor intern gebruik; helpdesk) om te voorkomen dat malware hun tool weer omzeilt waardoor deze niet meer werkt.

Het punt van AVs is dat ze goed zijn in voorkomen. Malware verwijderen is een heel ander spel. Zie ook:
http://www.av-comparatives.org/images/stories/test/removal/avc_removal_2011.pdf
Let op: in deze test hebben ze voornamelijk worms en trojans getest. De rootkits in dit security.nl artikel (zoals Mebroot, Alureon en Pihar) zijn niet getest.
14-05-2012, 17:01 door [Account Verwijderd]
[Verwijderd]
14-05-2012, 17:39 door svenvandewege
@Erik Loman: Bedankt voor de uitleg. Inderdaad is volgens de tests detecteren van malware vaak makkelijker dan het verwijderen ervan.
BTW, zou dat geen mooie toevoeging van HitmanPro zijn? Een op cloud gebaseerde realtime bescherming (zoals panda cloud). Malware verwijderen is HitmanPro tenslotte al goed in.
15-05-2012, 02:03 door Anoniem
@ redactie :

"Eenmaal actief kan het inloggegevens voor internetbankieren onderscheppen. "

Welke Nederlandse banken zijn kwetsbaar ? Of moet iedereen zich zorgen maken ?

[admin] Alle grote Nederlandse banken zijn het doelwit van deze malware [/admin]
15-05-2012, 08:22 door Anoniem
Goed, dan heeft de rootkit de inlogcodes voor Internetbankieren onderschept en dan? Alleen met inloggen alleen kun je nog steeds geen geld overmaken, bij geen enkele bank. Iedere bank gebruikt meervoudige authenticatielagen, dus hoe steelt een dergelijk rootkit dan geld van iemands rekening met alleen een gebruikersnaam en wachtwoord?
15-05-2012, 09:21 door Erik Loman
Door Anoniem: Goed, dan heeft de rootkit de inlogcodes voor Internetbankieren onderschept en dan? Alleen met inloggen alleen kun je nog steeds geen geld overmaken, bij geen enkele bank. Iedere bank gebruikt meervoudige authenticatielagen, dus hoe steelt een dergelijk rootkit dan geld van iemands rekening met alleen een gebruikersnaam en wachtwoord?
Dit filmpje maakt e.e.a. erg duidelijk: http://www.youtube.com/watch?v=EUGTlVSefeo
15-05-2012, 10:01 door Anoniem
Door Erik Loman:
Door Anoniem: Goed, dan heeft de rootkit de inlogcodes voor Internetbankieren onderschept en dan? Alleen met inloggen alleen kun je nog steeds geen geld overmaken, bij geen enkele bank. Iedere bank gebruikt meervoudige authenticatielagen, dus hoe steelt een dergelijk rootkit dan geld van iemands rekening met alleen een gebruikersnaam en wachtwoord?
Dit filmpje maakt e.e.a. erg duidelijk: http://www.youtube.com/watch?v=EUGTlVSefeo

Ja? Ik zie nog steeds niets nieuws waar je met een beetje opletten je niet tegen kan beschermen. De two factor authenticatie van de banken is nog steeds niet gebroken. Als gebruikers nog steeds links en rechts overal maar hun gegevens invullen is het nog steeds de gebruiker die de fout in gaat. Als de ING op de site ineens om mijn mobiele nummer gaat vragen dan weet ik toch dat er iets niet goed is? Dan neem ik toch even contact op met de ING en verifieer ik dat toch even als ik twijfel?
15-05-2012, 12:43 door Anoniem
Door Anoniem:
Ja? Ik zie nog steeds niets nieuws waar je met een beetje opletten je niet tegen kan beschermen. De two factor authenticatie van de banken is nog steeds niet gebroken. Als gebruikers nog steeds links en rechts overal maar hun gegevens invullen is het nog steeds de gebruiker die de fout in gaat. Als de ING op de site ineens om mijn mobiele nummer gaat vragen dan weet ik toch dat er iets niet goed is? Dan neem ik toch even contact op met de ING en verifieer ik dat toch even als ik twijfel?
Men hoeft de two factor authenticatie helemaal niet te breken om je geld te stelen! Let nog eens goed op vanaf 4:45 in het filmpje. Nieuwe versies van de malware, dus geen 'phishing' namaak website, rommelt met je browser sessie en verandert het geldbedrag en het rekeningnummer van de begunstigde. Je merkt er *niets* van, totdat het geld al van je rekening is afgeschreven, wat je zelf middels de two factor authenticatie hebt geautoriseerd.
16-05-2012, 01:26 door Anoniem
Door Anoniem:
Door Anoniem:
Ja? Ik zie nog steeds niets nieuws waar je met een beetje opletten je niet tegen kan beschermen. De two factor authenticatie van de banken is nog steeds niet gebroken. Als gebruikers nog steeds links en rechts overal maar hun gegevens invullen is het nog steeds de gebruiker die de fout in gaat. Als de ING op de site ineens om mijn mobiele nummer gaat vragen dan weet ik toch dat er iets niet goed is? Dan neem ik toch even contact op met de ING en verifieer ik dat toch even als ik twijfel?
Men hoeft de two factor authenticatie helemaal niet te breken om je geld te stelen! Let nog eens goed op vanaf 4:45 in het filmpje. Nieuwe versies van de malware, dus geen 'phishing' namaak website, rommelt met je browser sessie en verandert het geldbedrag en het rekeningnummer van de begunstigde. Je merkt er *niets* van, totdat het geld al van je rekening is afgeschreven, wat je zelf middels de two factor authenticatie hebt geautoriseerd.

Alleen krijg ik een sms van de ING met daarin het te overboeken bedrag, dat zal het volledige bedrag zijn van de overboeking en daaraan kan ik zien dat het niet klopt. Ik zal dus mijn code niet opgeven en contact opnemen met de ING, in mijn geval.
Voor zover ik heb kunnen nagaan staat de TAN via SMS los van de webinterface dus is de tekst in de sms niet via de website api te manipuleren, althans nog niet.
16-05-2012, 12:26 door Erik Loman
Door Anoniem: Alleen krijg ik een sms van de ING met daarin het te overboeken bedrag, dat zal het volledige bedrag zijn van de overboeking en daaraan kan ik zien dat het niet klopt. Ik zal dus mijn code niet opgeven en contact opnemen met de ING, in mijn geval.
Als het om grotere bedragen gaat dan hoeft alleen maar het rekeningnummer aangepast te worden. Het totaalbedrag komt dan overeen. Beter zou zijn dat de SMS ook de transactieregels weergeeft.
15-08-2012, 15:30 door Anoniem
Vandaag heb ik het virus Boot.Mebroot succesvol verwijderd met behulp van Norton Power Eraser.
Robert van der Laan,Vierlingsbeek.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.