32-bit Windows-backdoor krijgt 64-bit ondersteuning
Nu steeds meer computers op een 64-bit besturingssysteem draaien passen cybercriminelen hun malware hierop aan. In het verleden zijn er al specifieke 64-bit versies malware ontdekte, zoals de Zeus banking Trojan. In de tweede helft van 2013 bleek zelfs dat zo'n 10% van de malware die bij gerichte aanvallen werd ingezet alleen op 64-bit platformen werkte.
Een van deze malware-exemplaren is de Kivar-backdoor. De malware verspreidt zich via de RTLO-techniek. RTLO staat voor Right-to-Left-Override en zorgt ervoor dat via een speciaal unicode-karakter de volgorde van karakters van een bestandsnaam kan worden omgedraaid. Hierdoor wordt SexyPictureGirlAl[RTLO]gpj.exe in Windows als SexyPictureGirlAlexe.jpg weergegeven.
In het geval van Kivar doet de malware zich via RTLO voor als een Word-document, voorzien van bijbehorend icoon, maar is in werkelijkheid een uitvoerbaar bestand. Om de gebruiker niets te laten vermoeden wordt er een na het openen van de malware een afleidingsdocument geladen. In de achtergrond kan Kivar echter bestanden stelen, screenshots maken en toetsaanslagen opslaan.
De informatie die Kivar als eerste van een besmette computer verstuurt bestaat onder andere uit het IP-adres van het slachtoffer, Windows-versie, hostnaam, gebruikersnaam, versie van de malware, keyboardindeling en de recente documenten en desktop-map, zo meldt Trend Micro. Windowsgebruikers kunnen zich tegen de RTLO-techniek beschermen door detailweergave voor mappen in te stellen, aangezien dan zichtbaar wordt dat het zogenaamde document in werkelijkheid een applicatie is.
Dus ik kan mij niet beschermen tegen RLTO.
Ik gebruik windows 7 prof en norton internet security.
Wat kan de reden zijn van dat grijze veld ?
Graag reactie op deze vraag
En natuurlijk bij voorbaat dank voor enig antwoord
Dus ik kan mij niet beschermen tegen RLTO.
Ik gebruik windows 7 prof en norton internet security.
Wat kan de reden zijn van dat grijze veld ?
Graag reactie op deze vraag
En natuurlijk bij voorbaat dank voor enig antwoord
UPDATE: Hier in de comments staan wat meer details.
Het idee is dat je van alle bestanden met dat RLTO Unicode-karakter de uitvoering blokkeert.
Als je Mapopties opent klik je vervolgens weergave en dan staat er ergens een checkbox "extensies voor bekende standstypen verbergen." Deze moet je uitvinken en vervolgens onderin op toepassen klikken .Dan worden de extensies voor bestand weergeven. De geblokkeerde button waar jij het over hebt, heb je hiervoor dus niet nodig.
Ik hoop dat je hiermee geholpen bent.
Dus ik kan mij niet beschermen tegen RLTO.
Dit is overigens wel een beetje kort door de bocht. want je zou je bijvoorbeeld hier ook tegen kunnen beschermen door een onbekend bestand gewoon niet te openen of voor het openen te scannen.
Dus ik kan mij niet beschermen tegen RLTO.
Ik gebruik windows 7 prof en norton internet security.
Wat kan de reden zijn van dat grijze veld ?
Graag reactie op deze vraag
En natuurlijk bij voorbaat dank voor enig antwoord
UPDATE: Hier in de comments staan wat meer details.
Het idee is dat je van alle bestanden met dat RLTO Unicode-karakter de uitvoering blokkeert.
https://www.ipa.go.jp/security/english/virus/press/201110/E_PR201110.html
@Redactie, misschien ook even handig om deze migitation via secpol.msc in het artikel te zetten.
artikel te vinden is over dit onderwerp spreekt al boekdelen.
Met een paar slimme policy settings kun je nog veel en veel meer security problemen oplossen, inclusief allerlei exploits
van Java en Flash lekken, maar de wereld is er kennelijk niet in geinteresseerd en gaat gewoon verder met klagen over
de onveiligheid van Windows. Terwijl deze mogelijkheid om de namen en locaties van executable bestanden te beperken
juist heel krachtig is.
(geen executable bestanden op locaties waar de gebruiker kan schrijven, of in ieder geval niet op de desktop en in %TEMP%)
artikel te vinden is over dit onderwerp spreekt al boekdelen.
Met een paar slimme policy settings kun je nog veel en veel meer security problemen oplossen, inclusief allerlei exploits
van Java en Flash lekken, maar de wereld is er kennelijk niet in geinteresseerd en gaat gewoon verder met klagen over
de onveiligheid van Windows. Terwijl deze mogelijkheid om de namen en locaties van executable bestanden te beperken
juist heel krachtig is.
(geen executable bestanden op locaties waar de gebruiker kan schrijven, of in ieder geval niet op de desktop en in %TEMP%)
Als je wat beter zou zoeken, zou je overigens véél meer informatie kunnen vinden over deze policy.
Ik denk eerder dat Windows gewoon met een simpele oplossing moet komen. Op de mac ben ik niet anders gewend dan dat je ongesigneerde uitvoer bestanden die nieuw zijn voor het systeem, gewoon niet kunt uitvoeren door een simpele dubbelklik. Tot aan Mavericks moest je uitvoering met een extra muisklik bevestigen en sinds Mavericks moet je nog meer doen om nieuwe uitvoerbestanden te runnen zodat je niet verrast wordt door misleidende extensies.
Dat lijkt me toch een heel zinvolle strategie tegen dit soort ongein.
Ik denk eerder dat Windows gewoon met een simpele oplossing moet komen. Op de mac ben ik niet anders gewend dan dat je ongesigneerde uitvoer bestanden die nieuw zijn voor het systeem, gewoon niet kunt uitvoeren door een simpele dubbelklik. Tot aan Mavericks moest je uitvoering met een extra muisklik bevestigen en sinds Mavericks moet je nog meer doen om nieuwe uitvoerbestanden te runnen zodat je niet verrast wordt door misleidende extensies.
Dat lijkt me toch een heel zinvolle strategie tegen dit soort ongein.
Alleen heb je het probleem dat na verloop van tijd mensen toch de waarschuwings berichten gaan negeren, ik zie het
regelmatig met gebruikers dat ze foutmeldingen met duidelijke omschrijving wat er fout ging gewoon wegklikken.
Als je mapopties kiest vanuit het browservenster waarop de schijf(en) getoond
worden, dan is dat vakje inderdaad grijs(niet actief). Open daarom een venster
met mappen en/of bestanden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.