Nieuws
image

Digitale bankrover Zeus krijgt rootkit-update

dinsdag 22 april 2014, 12:18 door Redactie, 13 reacties

De Zeus banking Trojan die al zeven jaar wordt gebruikt om geld van online bankrekeningen te stelen heeft een belangrijke update gekregen waardoor die nog lastiger te detecteren en van computers te verwijderen is. Dat meldt beveiligingsbedrijf Fortinet.

Het bedrijf ontdekte begin deze maand dat er onder computers die met de P2P-versie van Zeus waren besmet een update was verspreid. De update werd via de peer-to-peer (P2P) functionaliteit van Zeus uitgerold, wat inhoudt dat besmette computers de update onderling onder elkaar uitwisselden en dat er geen centrale Command & Control-server werd gebruikt.

De onderzoekers ontdekten dat de update kleine aanpassingen van Zeus en een nieuw versienummer bevat, maar tevens een rootkit-driver installeert. Deze rootkit voorkomt het verwijderen van de malwarebestanden en registersleutels waarmee Zeus zich automatisch opstart in het Windows Register.

Reacties (13)
22-04-2014, 12:21 door [Account Verwijderd] - Bijgewerkt: 22-04-2014, 12:22
[Verwijderd]
22-04-2014, 16:09 door Anoniem
Door Peter V.:
Deze rootkit voorkomt het verwijderen van de malwarebestanden en registersleutels waarmee Zeus zich automatisch opstart in het Windows Register.
Bankzaken doe ik daarom niet meer op Windows maar op Linux.
Groot gelijk, maar de grootste dreiging is social engineering & code ID-10T, het begint al bij de besmetting ;]
22-04-2014, 16:34 door Anoniem
Door Peter V.:
Deze rootkit voorkomt het verwijderen van de malwarebestanden en registersleutels waarmee Zeus zich automatisch opstart in het Windows Register.
Bankzaken doe ik daarom niet meer op Windows maar op Linux.

Liefst op Android build natuurlijk...
22-04-2014, 17:04 door Anoniem
Reclame voor Linux hier?
22-04-2014, 18:09 door [Account Verwijderd] - Bijgewerkt: 22-04-2014, 18:20
[Verwijderd]
22-04-2014, 18:43 door SurfRight
Om precies te zijn, het gaat om de Necurs rootkit en Sophos had er in februari over geschreven: http://nakedsecurity.sophos.com/2014/02/27/notorious-gameover-malware-gets-itself-a-kernel-mode-rootkit/
22-04-2014, 18:56 door Anoniem
Lijkt me vrij duidelijk reclame. De rootkit naamgeving komt van de Unix/Linux omgeving.
De root-key is de sleutel tot het ongecontroleerde vrij gebruik.
23-04-2014, 07:27 door Above
Door Peter V.:
Deze rootkit voorkomt het verwijderen van de malwarebestanden en registersleutels waarmee Zeus zich automatisch opstart in het Windows Register.
Bankzaken doe ik daarom niet meer op Windows maar op Linux.

Is natuurlijk onzin. Op Linux heb je standaard geen admin rechten als gebruiker. Op Windows machines meest wel en daar zit hem juist de fout. Zelfs in een zakelijke omgeving zijn er bedrijven zoals Globe Exact die beweren dat je admin rechten moet hebben anders werkt de software niet goed. UAC moet dan ook uit. Dat dus. Vragen om grote problemen en gebruikers zien niet dat er rotzooi geïnstalleerd wordt.
23-04-2014, 08:24 door Anoniem
Door Anoniem: Reclame voor Linux hier?
Nee, reclame voor Macintosh computers.

ZZzzzZZZzzzZZZZ
23-04-2014, 09:04 door SurfRight
Door Above:Is natuurlijk onzin. Op Linux heb je standaard geen admin rechten als gebruiker. Op Windows machines meest wel en daar zit hem juist de fout. Zelfs in een zakelijke omgeving zijn er bedrijven zoals Globe Exact die beweren dat je admin rechten moet hebben anders werkt de software niet goed. UAC moet dan ook uit. Dat dus. Vragen om grote problemen en gebruikers zien niet dat er rotzooi geïnstalleerd wordt.
De Zeus bankrover (en familieleden) werkt prima op accounts zonder beheerdersrechten. Dus een normale gebruiker is al jaren direct de klos en de malware is enorm slecht te vinden - geen enkel real-time antivirusprogramma van de grote beveiligingsbedrijven weet een nieuwe Zeus in de eerste uren te vinden (duurt over het algemeen een paar weken).

Er zit natuurlijk wel een voordeel aan het werken zonder beheerdersrechten. De rootkit in bovenstaand artikel werkt NIET als je een normale gebruiker bent! Zonder beheerdersrechten kan de rootkit zichzelf niet installeren waardoor de bankrover weer ouderwets beschermd is. Echter, met de rootkit op het systeem valt de infectie sneller op omdat deze de antivirussoftware hindert, doet crashen en doet berichten dat het niet kan starten - waardoor de gebruiker eigenlijk direct onraad ruikt. Het klinkt raar maar de rootkit is gezien de detectiegraad van Zeus eigenlijk een voordeel, maar daarvoor moet je wel als beheerder zijn aangemeld ;) (wat we natuurlijk niet aanraden omdat je beheerderswachtwoord gekaapt kan worden en de vele andere bedreigingen die profijt hebben als je als beheerder bent aangemeld)
23-04-2014, 10:30 door Anoniem
Door Peter V.:
Door Anoniem: Reclame voor Linux hier?
Neen. Alleen een constatering.

En wie installatie te omslachtig vindt, kan nog altijd een live-cd met Linux erop zijn bankzaken doen.
Maar op Windows worden geen bankzaken meer gedaan hier..

Een live-cd lijkt me juist stukken gevoeliger aangezien die na het branden nooit meer updates binnenkrijgt.
23-04-2014, 22:17 door Charley51
Door Anoniem:Een live-cd lijkt me juist stukken gevoeliger aangezien die na het branden nooit meer updates binnenkrijgt.
Natuurlijk niet. Je kunt, zodra het systeem is opgestart, direct updates binnenhalen. In ieder geval bij Linux Mint en Mandriva. (proefondervindelijk) Alleen ben je de updates na afsluiten wel kwijt.

Volgende keer eerst maar eens uitproberen, voordat je onzin post.
24-04-2014, 09:50 door Anoniem
Nou het zit hem allemaal in de eidngebruiker. Als de gebruiker zijn hersens in zijn kontgat heeft. Dan maakt het niet uit of Je Windows, Android, Linux, iOS, of OSX gebruikt.. Vroeg of later gaat het toch mis. Windows staat allen veel hoger in de lijst om aangevallen te worden omdat er meer gebruiker en tools aanwezig voor zijn. Meer eigenlijk niet echt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search