Malware voor internetbankieren verstopt zich in geheugen
Een Trojaans paard dat ontwikkeld is om geld van online bankrekeningen te stelen heeft een update gekregen waardoor het zich in het geheugen van de computer kan verstoppen, wat detectie door virusscanners lastiger moet maken. Daarvoor waarschuwt het Duitse anti-virusbedrijf G Data.
De Bebloh banking Trojan bestaat al enkele jaren, maar was nooit echt een succes onder cybercriminelen, die eerder voor bekende Trojaanse paarden zoals Zeus, Citadel en Sinowal kozen. In november had Bebloh echter een plek in de top 3 van meest gedetecteerde banking Trojans veroverd, aldus G Data. Het bleek om een nieuwe versie te gaan, die voor 25% ten opzichte van de bekende varianten was aangepast.
Geheugen
De aanpassingen aan de nieuwe versie zorgen er onder andere voor dat Bebloh zodra het op een systeem actief wordt zich in het explorer.exe proces injecteert en het originele malware-bestand van de harde schijf verwijdert. Daardoor is de malware alleen in het geheugen en niet meer op de harde schijf te vinden, en kan zich zo voor virusscanners verbergen. Doordat de malware alleen in het geheugen actief is zou een herstart in dit geval het einde van de malware betekenen, maar daarvoor heeft Bebloh een oplossing bedacht.
Zodra het doorheeft dat de gebruiker de computer afsluit of wil herstarten, schrijft de malware zichzelf gauw naar de harde schijf en maakt een verwijzing aan zodat de malware bij het opstarten weer wordt geladen. Daarbij wordt de bestandsnaam die Bebloh gebruikt elke keer willekeurige gegeneerd. Bij elke herstart heeft de malware dan ook een andere naam.
Gebruikers kunnen de malware voorkomen door geen ongevraagde e-mailbijlagen te openen. De malware zou zich namelijk verspreiden via een e-mailbijlage die beweert een vluchtreservering te zijn.
Ik vind bovenstaande tips erg vermakelijk , waarom accu's en al uit een laptop halen om simpele malware die alleen in explorer.exe zit te killen ?
1: start taskmanager (evt. met admin rechten)
2: kill explorer.exe
3: start een nieuwe instance van explorer.exe (met taskmanager) , of (indien gewenst) windows opnieuw opstarten (kan ook met taskmanager)
Moeilijk he ?
ps. indien het zich in meer processen injecteerd dan alleen explorer.exe , dan voor die processen simpelweg dezelfde methode gebruiken , is echt kinderlijk eenvoudig.
Enne, een PC uit de stekker halen is niet altijd handig. I.v.m beschadigen bestanden op de harddisk.
Waarom open je een email met een reservering als je helemaal geen reservering hebt gemaakt ?
Je hoeft dan ook de stekker er niet uit te trekken en alle bovenstaande "expert tips" te volgen, gewoon zelf de grijze massa gebruiken.
Gr,
Johan
Ik vind bovenstaande tips erg vermakelijk
Elk geheugen-virus kon je in de jaren 90 tot en met de dag van vandaag killen door de accu en de stroom eraf te halen.
Moeilijk he?
Nog niet zo heel erg lang , ongeveer 25 jaar.
Bovendien snap ik niet waarom ik achter mijn buro zou moeten kruipen en stekkers los zou moeten trekken als het zo simpel kan als ik in mijn eerdere reactie melde , jou methode lijkt mij toch echt nodeloos ingewikkeld , en zoals anoniem van 15:43 al melde , de computer niet op de normale wijze afsluiten maar de stekker er uit trekken (hoeft niet) maar kan tot oa beschadiging van het bestand systeem leiden :)
ps. Ik heb een redelijke verzameling malware hier , laats nog getest met een exemplaar van Zbot , die net als Bebloh zichzelf in explorer.exe injecteerd , daarnaast injecteerd die zichzelf ook in veel andere processen zoals svchost.exe , bovendien zorgt die er voor dat hij na een (gewone) reboot (of nadat iemand de stekker er uit haalt) opnieuw opstart.
Zbot staat er overigens om bekend dat hij makkelijk te detecteren , maar zeer lastig te verwijderen is , omdat zodra je een van de processen die geinjecteerd is killed en opnieuw opstart dat process opnieuw word geinjecteerd vanuit een van de andere processen die nog draait. En toch kan je Zbot ook op bovenstaande methode redelijk makkelijk verwijderen. Ik spreek dus uit ervaring :)
In de eerste plaats moet je weten dàt je geïnfecteerd bent, door welke signalen wordt je daarop geattendeerd en zijn een reden actie te gaan ondernemen?
Ik vraag me af welk stekkerje los zit dat maakt dat andere stekkertjes direct los moeten. Verder, een accu eruit gaat nog wel, op zoek naar het batterijtje in je desktop is een ander verhaal.
Wat is er mis met een reboot met een antiviruscd-tje?
Wanneer definities van de virusvarianten bekend zijn kunnen deze door de scanner gedetecteerd worden op de harde schijf, na een opstart zit het niet meer in het geheugen maar staat het op je harddisk, opstart van een cd laat de verwijzing die de malware op de harddisk achterlaat ongemoeid waardoor het ook niet automatisch gewist wordt voordat de virusscanner de files onschadelijk kan maken.
Regelmatig, uit voorzorg of bij een vermoeden van een infectie, direct een stekker of een accu eruit trekken zal, als opgemerkt hier, de levensduur van sommige device componenten aanmerkelijk bekorten.
Opstartcd dus, goede reden om dan ook maar te gaan internetbankieren vanaf een opstartcd-tje, die kan niet beschreven worden door malware, een usbimage misschien weer wel.
Ik vind bovenstaande tips erg vermakelijk
Elk geheugen-virus kon je in de jaren 90 tot en met de dag van vandaag killen door de accu en de stroom eraf te halen.
Moeilijk he?
Nog niet zo heel erg lang , ongeveer 25 jaar.
Op zich zegt dat niets , je hebt ook van die chauffeurs die al 25 jaar op de weg zitten en er nog niets van bakken.
ps. Ik heb een redelijke verzameling malware hier , laats nog getest met een exemplaar van Zbot , die net als Bebloh zichzelf in explorer.exe injecteerd , daarnaast injecteerd die zichzelf ook in veel andere processen zoals svchost.exe , bovendien zorgt die er voor dat hij na een (gewone) reboot (of nadat iemand de stekker er uit haalt) opnieuw opstart.
Zbot staat er overigens om bekend dat hij makkelijk te detecteren , maar zeer lastig te verwijderen is , omdat zodra je een van de processen die geinjecteerd is killed en opnieuw opstart dat process opnieuw word geinjecteerd vanuit een van de andere processen die nog draait. En toch kan je Zbot ook op bovenstaande methode redelijk makkelijk verwijderen. Ik spreek dus uit ervaring :)
EDIT: En in hoeverre zorgt de CMOS-batterij er nog voor dat de malware in het geheugen kan blijven hangen of nu al c.q. ter zijner tijd in staat is om zich naar de BIOS te dupliceren?
1. Adapter en batterij gewoon laten zitten en de aan/uit-knop ingedrukt houden tot de laptop uitschakelt.
2. Adapter loskoppelen en de batterij verwijderen.
3. Aan/uit-knop 15 tot 30 tellen ingedrukt houden en laptop daarna nog een paar minuten met rust laten misschien.
4. Batterij en adapter weer plaatsen en de laptop is wat deze malware betreft weer 'schoon' voor gebruik.
Wat ik me aan de hand van dit verhaal daarnaast nog afvraag is of een programma als Process Explorer echt alle processen die geladen zijn in het geheugen ook daadwerkelijk 'vindt', want het lijkt mij dat een beetje malware(schrijver) wel op de hoogte is van Process Explorer en zijn activiteit daarvoor zal willen verbergen.
Zijn er ook gratis programma's die het geheugen 'scannen' en zich niet zullen laten neppen door malware?
@ anoniem van 19:14 , ga lekker terug naar fok om daar te trollen :)
De kans dat malware in de BIOS terecht komt is niet ondenkbaar , in het verleden zijn er al meerdere virussen geweest die dat konden . En dat kan ook de BIOS van een video kaart of een dvd speler/brander zijn (alhoewel ik daar geen voorbeelden van ken).
Als je een laptop via de aan/uit knop uitzet dan dacht ik dat windows op de "normale" manier word afgesloten en dan zou deze malware dus alsnog de tijd hebben om zichzelf naar een bestand op de harddisk weg te schrijven . Dat zou betekenen dat je er dus niet van af bent. Ook als je de aan/uit knop 10 seconden ingedrukt houdt (om hem geforceerd uit te schakelen) dan nog zou de malware dus tijd genoeg hebben om zichzelf naar de harddisk weg te schrijven , ondanks dat de laptop dan halverwege het "normale" windows afsluit proces door de BIOS word uitgeschakeld.
Je vroeg ook of er gratis tools zijn die dit wel in het geheugen kunnen detecteren , helaas ben ik even vergeten of sommige van de uitgebreide tools die ik gebruik dit inderdaad detecteren. Als het even lukt wil ik mezelf morgen nog even met die Zbot malware infecteren om dat uit te testen. Dan laat ik het je hier nog wel even weten.
Aan de andere kant kunnen security pakketten met HIPS functionaliteit (zoals Comodo , zij noemen het Defense+) dit soort injecties makkelijk detecteren en blokkeren , maar meestal zal je dan de standaard configuratie weg moeten gooien en zelf aan het stoeien gaan met de instellingen.
ps. @ Peter V. Ik denk dat jij nog te veel met memory resistant malware (uit het dos tijdperk) in je hoofd zit , daar is hier echter geen sprake van (explorer.exe is echt weg als het proces gekilled is).
De kans dat malware in de BIOS terecht komt is niet ondenkbaar , in het verleden zijn er al meerdere virussen geweest die dat konden . En dat kan ook de BIOS van een video kaart of een dvd speler/brander zijn (alhoewel ik daar geen voorbeelden van ken).
Als je een laptop via de aan/uit knop uitzet dan dacht ik dat windows op de "normale" manier word afgesloten en dan zou deze malware dus alsnog de tijd hebben om zichzelf naar een bestand op de harddisk weg te schrijven . Dat zou betekenen dat je er dus niet van af bent. Ook als je de aan/uit knop 10 seconden ingedrukt houdt (om hem geforceerd uit te schakelen) dan nog zou de malware dus tijd genoeg hebben om zichzelf naar de harddisk weg te schrijven , ondanks dat de laptop dan halverwege het "normale" windows afsluit proces door de BIOS word uitgeschakeld.
Je vroeg ook of er gratis tools zijn die dit wel in het geheugen kunnen detecteren , helaas ben ik even vergeten of sommige van de uitgebreide tools die ik gebruik dit inderdaad detecteren. Als het even lukt wil ik mezelf morgen nog even met die Zbot malware infecteren om dat uit te testen. Dan laat ik het je hier nog wel even weten.
Aan de andere kant kunnen security pakketten met HIPS functionaliteit (zoals Comodo , zij noemen het Defense+) dit soort injecties makkelijk detecteren en blokkeren , maar meestal zal je dan de standaard configuratie weg moeten gooien en zelf aan het stoeien gaan met de instellingen.
ps. @ Peter V. Ik denk dat jij nog te veel met memory resistant malware (uit het dos tijdperk) in je hoofd zit , daar is hier echter geen sprake van (explorer.exe is echt weg als het proces gekilled is).
Ik vind trouwens wel dat je erg veel aandacht besteed aan de huis-troll...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.