Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 33, views: 11.647 •

De Britse politie heeft twee mensen aangehouden op verdenking van het verspreiden van malware en het stelen van persoonlijke gegevens. Ze zouden hiervoor gebruik gemaakt hebben van een trojan die Zeus of Zbot genoemd wordt.

Volgens deskundigen is Zbot een van de meest geavanceerde trojans die ooit zijn gemaakt. Nadat het programma op een computer is geïnstalleerd kan het spam versturen, persoonlijke gegevens stelen of helpen bij een ddos-aanval. Zbot is erg lastig te detecteren en wordt door de makers verkocht inclusief een toolkit om er een eigen variant van te maken.

Volgens de politie hadden de twee gearresteerde Britten het programma op duizenden pc's weten te installeren. Zij hadden het geconfigureerd om er gegevens voor online bankieren, creditcardnummers en inloggegevens voor sociale netwerksites mee te stelen. Volgens de rechercheurs had deze actie hen een aanzienlijke winst en de slachtoffers dus een groot verlies kunnen bezorgen.

De arrestaties maken deel uit van een breder onderzoek naar de verspreiding en het gebruik van ZBot. Volgens de politie horen de arrestaties bij de eerste in de strijd tegen de trojan. De twee Britten zijn na verhoor op borgtocht vrijgelaten terwijl het onderzoek verder gaat, zo meldt Reuters.

Geïnfecteerde computer

Reacties (33)

Zbot is erg lastig te detecteren en wordt door de makers verkocht inclusief een toolkit om er een eigen variant van te maken.
Bij het lezen van deze regel vroeg ik mij meteen af hoe het dan wel te detecteren valt. Ik heb het even opgezocht voor de ge´nteresseerden :)
File System Changes

Creates these files:
• %windir%\system32\wsnpoem

Modified these files:
• %windir%\system32\ntos.exe

Registry Modifications
Sets these values:
• HKLM\software\microsoft\windows nt\currentversion\winlogon userinit = C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\ntos.exe
Bron: F-Secure

[Reactie gewijzigd door Robino op 19 november 2009 14:49]

Niet bijzonder moeilijk te detecteren dus, als je het mij vraagt... misschien is het wel lastig te verwijderen.
Het detecteren of de trojan is geinstalleerd ziet er eenvoudig uit.
Maar misschien dat de trojan op netwerk niveau moeilijk te detecteren is. Als er dan een paar duizend computers in het bedrijfsnetwerk draaien dan dien je toegang te hebben tot elk van deze PC om te controleren of de Trojan is geinstalleerd. Op netwerk niveau kan je controleren of de trojan zowiezo wel actief is binnen je netwerk.
in dergelijke omgevingen (duizenden computers) heeft men vaak/meestal/altijd een gedistrubeerde antivirus die lokaal kan scannen en dus kan detecteren en centraal kan loggen.
Als die scanner niet meer werkt door de infectie zou er sowieso een belletje moeten gaan rinkelen.

Imho zijn dergelijke bedrijfscomputers slechts een klein deel van de geinfecteerde machines. Veel erger is het bij kmo's (mkb's) en thuisgebruikers, waar niÚmand met basiskennis beheer een oogje in het zeil houdt.
Maar misschien dat de trojan op netwerk niveau moeilijk te detecteren is. Als er dan een paar duizend computers in het bedrijfsnetwerk draaien dan dien je toegang te hebben tot elk van deze PC om te controleren of de Trojan is geinstalleerd
Wat is daar moeilijk aan dan? Als ik weet waar ik op moet letten dan zet ik zo een programmaatje in elkaar die in enkele minuten 1000 PC's kan scannen.

Enige voorwaarde is een domain admin acount (of in ieder geval een account met voldoende rechten). Enige beperking is dat de Window Client IP stack niet zoveel connecties tegelijkertijd kan of wil opbouwen, dus ik rem het af tot max 5 connecties per seconden. Zoals je mischien begrijpt heb ik dit al eens vaker gedaan.
Dat neemt aan dat je weet dat je hem al hebt - misschien bedoelen ze detecteren mbt of je doorhebt dat je hem hebt?
het probleem is ook vaak dat het al draaid voordat het gedetecteerd word helaas.
Hmm vreemd dan dat ze deze gegevens dan niet zijn gaan gebruiken.. of begrijp ik het dan verkeerd?
Het zal nog lang duren dat de overheid/bedrijven achter de feiten aanlopen als het gaat over beveiliging van pc/internet/netwerk.
Ze zetten wel stappen in de goede richting.
En ze worden ook zo weer vrijgelaten op borgtocht :o
Zouden ze nog meer pc's kunnen besmetten, als ze bij een pc weten te komen :o
Vind het raar dat je zo weer 'vrij' kunt zijn :S
of ze wissen hun eigen file .. met een eigen gemodificeerde versie van hun zbot 8)7
Onschuldig tot het tegendeel is bewezen wellicht?

Er is geen concreet gevaar voor de samenleving om deze mannen langer in hechtenis te houden.
Onschuldig tot het tegendeel is bewezen wellicht?
Ik neem aan dat er genoeg bewijsmateriaal,en/of verklaringen zijn om ze te veroordelen, dus onschuldig kun je al niet meer van spreken.
Er is geen concreet gevaar voor de samenleving om deze mannen langer in hechtenis te houden.
En als blijkt dat de kans op herhaling nihil is, ligt meestal wel aan hoe zwaar die feiten zijn, mogen ze een eventuele rechtzaak gewoon thuis afwachten.
Ze moeten wel ten alle tijde beschikbaar zijn voor justitie.
Genoeg materiaal om een zaak te kunnen starten, genoeg materiaal om ze verdacht te maken dus. Dan zijn ze nog wel degelijk onschuldig!
ddos-aanval met zeus?.. zeus is daar helemaal niet voor geschikt.

de jonge en de meid waren alle twee 20jaar...

zeus (is door een rus gemaakt, omdat die een mercedes mclaren wilde rijden)..


zeus is alleen geschikt voor te oosten. vaak zie je dan ook dat er voor 14k logs 400-500 dollar betaald...


ik vraag me af... een bekende site gm is vorige week down gehaald, waar zo'n soort services stonden. zou het hier iets mee te maken hebben..
14k logs voor 500 dollar? Je loopt achter, maat :+ Er is hevige concurrentie, voor $50 kom je al een heel eind, het is ronduit belachelijk hoe weinig persoonsgegevens waard zijn op dat soort fora, om een indicatie te geven hier een quote:
hello!

im here to offer my spreading service

u will get like 200 logs a day!

price : 15$ per week! PayPal

PD:I WILL NOT CRYPT UR SERVER, IF U WANNA IT CRYPTED, IT COST 5$ MORE

PD2: WILL GO FIRST ONLY ON VERIFIED MEMBERS

__________________________________________________ ________________

also, im offering my "****** Setup" service

yes, i will setup ur ****** 5.0 MOD PHP Logger, and give u the tools to make the server , and a crypter (not private)

Price: 25$ Paypal

PD: if u wanna my spread method, it cost 10$ more

thanks!
Deze kerel bied aan om een stealer programma(steelt wachtwoorden en financiele gegevens) te verspreiden en garandeert 200 individuele login gegevens per week...
Er worden vaak nieuwsberichten gepubliceerd dat er weer criminelen zijn opgepakt wegens financiele fraude of virussen/trojans/etc, maar dat is echt een zeer klein percentage van de totale hoeveelheid cybercriminaliteit.
als je met hem in zee gaat. ben je echt het haasje.. ;) vooral paypal betalen lol

en ik bedoel 14k aan regels met info ;)

[Reactie gewijzigd door sonicred op 19 november 2009 15:36]

"Nadat het programma op een computer is ge´nstalleerd.."

Zolang de leek onbekende programma's blijft installeren/openen zullen trojans e.d. nooit verdwijnen.
En inderdaad vreemd dat ze de verdachten op borgtocht vrij laten, nu kunnen ze de gegevens (blijven?) verkopen en zo eventuele boetes makkelijk betalen. (Denk aan het nieuwsbericht van de belgen die 'maar' €5.000 hoefden te betalen na het verkopen van miljoenen gegevens).
"Zolang de leek onbekende programma's blijft installeren/openen zullen trojans e.d. nooit verdwijnen.
das onzin... een van speciale versie's van zeus heeft drive-by exploit..
zoals lek in java. wanneer je pagina open met oudere versie van java, zal de trojan gewoon ge´nstalleerd worden zonder dat de gebruiker iets van weet of merkt..
Dat is helemaal geen onzin, een trojan is niets anders dan een programma dat zich anders voordoet dan het is. En er zullen altijd mensen zijn die programma's downloaden die je niet zou moeten vertrouwen.
Lees nou wat sonicred zegt.. Je kan al een trojan oplopen door alleen maar een website te bezoeken. Dus niks downloaden van programma's, dit gebeurt zonder dat de gebruiker iets ziet of eraan kan doen.
Er zijn zat gebruikers die in sites als "torrentreactor" of "freedownloadcenter" trappen, of van die fake "virus scanner 2008 professional" dingen gaan installeren puur uit domheid

Dat vlezige ding tussen de stoel en het toetsenbord is het grootste veiligheidsprobleem ter wereld!
Uit je reactie blijkt dat je totaal geen kennis van zaken hebt m.b.t. de verspreiding van trojans.

Zelfs de meeste gemiddelde Tweakers kunnen gemakkelijke besmet raken met een trojan als ze pech hebben, er bestaat een grote variŰteit aan binders en crypters die de trojans kunnen koppelen aan willekeurige andere bestanden en deze vervolgens 100% ondetecteerbaar kunnen maken.

De gemiddelde pc gebruiker download inderdaad wat makkelijker programma's van vage bronnen, maar niet al te lang geleden was een webserver van een producent ge´nfecteerd geraakt en werden de installatiebestanden besmet met een trojan. Of je besmet raakt is zeker een kwestie van voorzichtig zijn, maar pech hebben speelt ook een rol.
Die gegevens zijn nutteloos omdat er talloze versies van Zeus zijn, en de source code is te vinden als je goed zoekt. Tevens krijg je van verkopers van Zeus vaak een garantie dat hij zeker weten minimaal 15 dagen ondetecteerbaar is voor alle virusscanners.

Antivirusbedrijven lopen altijd achter de feiten aan, dat is hoe het werkt.
Met de huidige opzet van besturingssystemen wel ja, die grote lompe monolitische kernels ook!
ben er achter... hij heeft als bij naam snapper en was een hoster van het form gm(ga niet vol uit schrijven).

blijkbaar is dit een groot onderzoek geweest. opdracht kwam van de fbi zelf..
ik heb zelf nog nooit een virus op mn pc gehad sinds internet bestaat en ben zelf nou niet zo van de antivirus etc en hou het simpel. een grote hand van een virus op je pc heb je egt zelf in de hand.
ik werk zelf in een computerzaak die ook reperaties doet en bij 90% van de mensen met een virus is het aan de "mensen" zelf uit op te maken dat het egt hun eigen schuld is door maar wat te klikken (om het maar netjes in leek term te benoemen)
Programmas als Limewire & verschillende Torrents zijn toch nog steeds de grootste verspreiders... Als ik iemands computer opschoon van virusen en andere troep (spyware ect) dan vind ik 9/10x dat de oorzaak een of ander MP3'tje van 5kb ofzo is..

Ik snap dat niet he, als je muziek download.. dan is het toch logisch dat een nummer niet 5kb is :+

Offtopic: To jewest, volgensmij is comercieel internet in nederland zo rond 1995/1996 verkrijgbaar/bekend geworden (en ook betaalbaar) Dus het is heel goed mogenlijk dat hij toen al geboren was haha!

[Reactie gewijzigd door D4NG3R op 20 november 2009 08:06]

Meeste mensen geraken besmet dankzij nieuwe pc met voorgeinstalleerde antivirus software en dit is meestal een tryout. Na de proefperiode zoeken ze op het net naar een gratis alternatief. Klanten gehad met superantivirus 2010 en andere valse software. Elk systeem bouwer zouden een gratis alternatief verplicht moeten aanbieden om dit te voorkomen.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6DestinyAssassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneApple iOS 8

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013