Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Windows-malware saboteert virusscanners

vrijdag 7 december 2012, 10:15 door Redactie, 6 reacties

In november heeft Microsoft om meer dan 83.000 computers een Trojaans paard aangetroffen dat geinstalleerde beveiligingssoftware saboteert. Het gaat om de Necurs Trojan, die zich via drive-by downloads verspreidt. Zodra gebruikers beveiligingsupdates niet installeren kunnen ze alleen door het bezoeken van gehackte of kwaadaardge websites door Necurs besmet raken.

Zodra de malware op de computer is schakelt die een groot aantal virusscanners en firewalls uit of zorgt ervoor dat deze niet meer volledig functioneren. Daarnaast probeert de malware zich op de computer te verbergen en wordt er aanvullende malware gedownload.

Deze aanvullende malware kan uit nep-virusscanners bestaan of spamsoftware, waardoor de computer wordt gebruikt voor het versturen van spam via Gmail.

Driver
Om zich te verbergen gebruikt Necurs een speciale driver die het mogelijk maakt om op 64-bit Windows-versie de PatchGuard kernelbescherming te omzeilen. Hierdoor kan de malware zich dieper op het systeem nestelen en is die lastiger te detecteren.

In het geval gebruikers Microsoft Security Essentials gebruiken, kan Necurs voor onverwachte problemen zorgen. "We hebben een aantal meldingen van gebruikers ontvangen dat ze problemen met de real-time bescherming van Microsoft Security Essentials hadden nadat hun computer opnieuw was gestart", zegt Tim Liu van het Microsoft Malware Protection Center.

Microsoft score 2012: 195 lekken, 83 patches
Beveiligingslek in 50.000 harde schijven en scanners
Reacties (6)
07-12-2012, 10:26 door Above
Hoe kan dat nu? Ik lees net dat Windows Defender gebruikers redt. http://www.security.nl/artikel/44225/1/Microsoft%3A_Windows_Defender_redt_gebruikers.html

Als de realtime bescherming dus uitgeschakeld wordt hoe kun je dan als gebruiker gered worden heren van Microsoft?

Sarcasme mode off/
07-12-2012, 10:28 door [Account Verwijderd]
[Verwijderd]
07-12-2012, 12:56 door AdVratPatat
Door joey van hummel: Ik neem aan dat dit alleen werkt onder admin rechten? Of gebruikt het een exploit om ook onder restricted users te werken?
Vrijwel alle actieve rootkits (het zijn er te veel om op te noemen) zijn x64 en hebben GEEN administrator rechten meer nodig. Ook schakelen ze vrijwel allemaal de bekende AV toepassingen uit, of manipuleren het bestands-syteem (via boot.sys bijvoorbeeld) om een verschil te creëren tussen wat er op de schijf staat en wat de AV (Windows) daarvan kan zien. Dit is al sinds 2009, met de opkomst van TDL3, ZeroAccess, TDSS4 etc. Relevant artikel van 17 mei 2011 over deze zelfde rootkit Necurs:
http://www.kaspersky.com/news?id=207576337

Wat wel nieuw is, is dat deze rootkit nu (volgens MS dan, ik kan geen andere bronnen vinden zo snel) exploits misbruikt, tot nu toe was het namelijk een reguliere trojan (die je dus zelf moest installeren).


Door Redactie: ...
Beste Redactie, ik wil niet mieren*** maar,
1] MS heeft op meer dan...
2] ...kunnen ze alleen al door het bezoeken...
3] Zodra de malware op de computer op de computer geïnstalleerd is

En als aanvulling:
Om zich te verbergen gebruikt Necurs een speciale driver, de zogenaamde 'testing digital signature' die het mogelijk...
(Ik weet dat het vrijdag is, alvast een prettig en welverdiend weekend toegewenst!)

EDIT: typo's
07-12-2012, 18:41 door [Account Verwijderd]
[Verwijderd]
07-12-2012, 23:58 door Anoniem
Door joey van hummel: Ik snap dat het bepaalde dingen al als restricted user kan uitvoeren, maar zich nestelen in mijn systeem, door dus bijvoorbeeld systeembestanden aan te passen, dat lijkt me veel te ver gaan. Ik ben de laatste tijd niet meer zo bezig met security-nieuws lezen dus ij kan natuurlijk heel goed iets over een groots exploit gemist hebben.
Rootkit en exploit zijn 2 heel verschillende dingen, en ja dan heb je blijkbaar heel veel gemist, start anders hier:
http://www.adviceall.com/rootkit.php
Rootkits aka bootkits (gevolg=botnets) gaan allemaal via drivers en low-level API calls tegenwoordig, direct de kernel in dus, anders is het ook geen rootkit, die heb root-rechten.
boot.sys wordt bij ZA gebruikt om een hidden en encrypted volume aan te maken in de %sysdrive%, erg sneaky allemaal. Maar bovenstaande reactie is veel duidelijker, alleen niet technisch (express denk ik)

De exploit wordt gebruikt om de code (payload=de rootkit) op het doel-systeem uit te kunnen voeren, toegang verkrijgen dus. Exploit is de sleutel, lading is malware.
08-12-2012, 11:54 door AdVratPatat
Door joey van hummel: Ik snap dat het bepaalde dingen al als restricted user kan uitvoeren, maar zich nestelen in mijn systeem, door dus bijvoorbeeld systeembestanden aan te passen, dat lijkt me veel te ver gaan. Ik ben de laatste tijd niet meer zo bezig met security-nieuws lezen dus ij kan natuurlijk heel goed iets over een groots exploit gemist hebben.
Helaas zijn gebruik van user-rights geen effectieve bescherming tegen rootkits (en Exploit Kits) meer.
Necurs uit het artikel hierboven gebruikt onder andere een digitaal certificaat dat normaal wordt gebruikt door programmeurs om software te a & bèta-testen, daarom vermeldde ik het ook als aanvulling in mijn eerste reactie. Het gaat dus om meerdere kleine "exploits."

Als je daadwerkelijk technische analyses wil lezen kun je beter zelf even zoeken, dit forum heeft namelijk een enorme diversiteit aan gebruikers dus lang niet alles is voor iedereen direct te begrijpen. Ik probeer mijn reacties begrijpelijk te houden voor iedereen, maar een naar mijn mening goed uitgewerkt voorbeeld van return-oriented programming (low level API hooks e.d.) in een rootkit kun je hier vinden:http://static.usenix.org/event/sec09/tech/full_papers/hund.pdf
Je moet dan wel over iets meer kennis beschikken dan een reguliere eindgebruiker.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search

Smartengeld bij misbruik persoonsgegevens moet de regel zijn:

7 reacties
Aantal stemmen: 613
Image
Vacature
Vacature

Junior specialist OSINT

Ben jij enthousiast en leergierig en wil je het cybercrimeteam Oost Nederland verder helpen in de aanpak van digitale criminaliteit? We zijn op zoek naar een junior specialist Open Source Intelligence (OSINT). Weet jij de digitale wereld van buiten naar binnen te halen? Dan is deze functie iets voor jou!

Lees meer
Kan de AVG ook als middel tegen oneerlijke concurentie worden ingezet?
24-02-2021 door Arnoud Engelfriet

Juridische vraag: ik las in het FD dat concurrenten de AVG niet tegen elkaar in konden zetten. Maar het is toch oneerlijke ...

6 reacties
Lees meer
Certified Secure LIVE Online training
De verkiezingsprogramma's doorgelicht: Deel 4 digitalisering
20-02-2021 door Redactie

Een digitaal paspoort, recht op een betaalbare en snelle internetverbinding, 'digitale inburgering' of digitaal stemmen, het ...

8 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter