Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 120, views: 41.859 •
Submitter: himlims_

Een nieuwe variant van de Zeus Trojan blijkt dubbele versleuteling te gebruiken om zijn werkwijze te verhullen. Ook is er een versie van de bankrekening-plunderende malware aangetroffen die testomgevingen weet te detecteren.

Een onderzoeker van Kaspersky Lab meldt dat er een nieuwe Zeus Trojan-variant is ontdekt waarbij de malware dubbele encryptie toepast. Dit zou tot doel hebben om de link naar het configuratiebestand onzichtbaar te maken. In de config file is onder andere het adres van de command and control-server ondergebracht.

Naast een versie met dubbele versleuteling hebben de onderzoekers ook een Zeus-variant gevonden die kan detecteren of de code draait binnen virtuele machines van VMware. Deze software wordt door antivirusfirma's veelvuldig toegepast om het gedrag van malware te onderzoeken. Volgens Kaspersky Lab is dit een unieke eigenschap die nog niet eerder in malware is gevonden.

Eind vorig jaar doken berichten op dat de maker van de roemruchte Zeus Trojan de broncode zou hebben overgedragen aan de ontwikkelaar van de SpyEye Trojan. Omdat beide Trojaanse paarden gespecialiseerd zijn in het ontfutselen van bankgegevens, vrezen beveiligingsonderzoekers een nog effectievere trojan.

Lees meer over

Reacties (120)

Reactiefilter:-11200117+180+29+30
Het lijkt erop dat ze meer moeite hebben gedaan in het beveiligen van de trojan in de zin van dat onderzoekers niet moeten kunnen uitvinden hoe het uit te schakelen, maar het lijkt me dat een bedrijf met zo veel technici toch binnen de kortste keren een antivirus-tool voor deze trojan kan maken. Dan moeten mensen alleen nog zorgen dat hun antivirus programma up-to-date is, maar dat geldt altijd.
heb je enig idee hoe zwaar je encryptie kan maken?

ff een korte quote vanop wikipedia:

AES permits the use of 256-bit keys. Breaking a symmetric 256-bit key by brute force requires 2^128 times more computational power than a 128-bit key. A device that could check a billion billion (10^18) AES keys per second would in theory require about 3×10^51 years to exhaust the 256-bit key space.
Encryptie vereist een geheime sleutel. Dit is veel dichter bij DRM, en dan heeft de visuscrhijver bovendien niet eens controle over de hardware.
Bij DRM heeft de virusschrijver (want DRM is een soort virus) ook geen controle over de hardware. Ze hebben het geprobeerd met TPM maar volgens mij is dat nooit doorgebroken ;)
Aangezien de versleutelde data 'uitgepakt' moet worden om de code te kunnen lezen en daar actie op te ondernemen zal de key dus tijdens het uitvoeren (tijdelijk) in het RAM geheugen terecht komen. Dat is het moment om deze key te onderscheppen en vervolgens kunnen ze die gebruiken om de trojan uitvoerig te bestuderen. Ook de trojan code zelf zal tijdens het uitvoeren unencrypted in het geheugen staan.
De code hoeft helemaal niet unencrypted in het geheugen te staan!

Dan zou makkelijk reverse engeneeren worden zeg, gewoon even 16GB ram erin prikken en dat kopieren; voila! soucecode.

Als er iets is wat MS wil voorkomen, zou dat het wel zijn (zou immers de Microsoft codes uit handen geven).

De key hoeft helemaal niet in het ram te staan. Gewoon eerst controleren wat voor omgeving het is...

We hebben het hier wel over een van de meest geniale trojans hoor, die lui weten wel hoe beveiliging werkt (en dus hoe ze hun eigen zooi veilig kunnen maken).
De code kan idd pas achteraf worden toegezonden als blijkt dat het niet draait op een test-PC of in een VM. Ze moeten dan eerst een unencrypted versie weten te draaien en de controles er uit slopen voordat ze de key weten. Maar voor dat ze daar achter komen is de control server allang 10x verhuisd en de code al 2x herschreven.
Maakt niet uit hoe zwaar die encryptie is, AV software hoeft alleen die troep te deleten. Interessant wordt het pas als ze dat config filetje gaan decrypten om die master server op te rollen, dus dan heb je inderdaad wel wat CPU time nodig. Maar waarschijnlijk is dat een of andere free hosting of whatever, dus echt veel heb je er niet aan.
Ik kan het misschien simplistisch zien maar is het niet het makkelijkste om via bvb Wireshark al het netwerkverkeer op te vangen wanneer de trojan bezig is en vervolgens de log output van Wireshark te analyseren. Op die manier moet je op een gegeven moment toch wel op een IP adres stoten... .
Maar zoals je zegt zal die master server slechts een klein schakeltje zijn om tot bij de makers te geraken.
Nouja, veel virusoplossingen werken nog steeds met fingerprint-hashes, en die zijn hiermee volkomen nutteloos geworden (één aanpassing (bijv. een spatie) en de hele fingerprint is anders, aangezien de encryptie ervoor zorgt dat de hele binary anders wordt, en niet alleen die ene spatie). Het verbaasd me overigens wel dat die detectie er niet al eerder in zat. Dit zie je vaker bij de betere malware.
De interessante vraag is hoe je je hier als consument tegen kunt weren. 'De bank vergoed toch wel' is kul, want uiteindelijk betalen wij allemaal via de verhoogde pasbijdrage oid. Zeus is in dit geval een trojan voor de PC, maar ik heb ook al verhalen over malware voor mobieltjes voorbij zien komen (die TAN-achtige codes afvangt en direct inschiet in de internetbankieren omgeving) en een stel oostblokkers die alternatieve firmware in ABN Amro random readers had geladen (en deze dagelijks uitleesden) [bron].
Ik denk dat de bankwereld zich serieus moet gaan afvragen of de huidige manier van werken nog wel te handhaven is. Ik zeg niet dat we per direct terug moeten naar de oude manier van overschrijfkaarten e.d., maar misschien in de vorm van extra hardware bij de klanten thuis (waarbij de reader ook aan de PC in kwestie hangt voor een extra exchange van data of keys) of een ander alternatief voor authenticatie? Want op dit moment loopt het qua gestolen geld best hoog op (36 miljoen in 2009, en dat is dan alleen nog maar skimming [bron]).

[Reactie gewijzigd door Rick2910 op 7 maart 2011 13:13]

36 miljoen is niet iets waar banken eng van worden, en hoogstwaarschijnljk minder dan nodig is om de beveiliging beter te maken.
Dat is helemaal een draak van een argument. Ervan uitgaande dat de skimmers ook niet stil zitten zou dat simpel gezegd betekenen dat we elk jaar meer geld verliezen aan skimming en malware. En 36 miljoen is dan misschien voor een bank relatief gezien niet veel, maar het is wel ons geld. Ik denk dat niemand er bezwaar tegen heeft wanneer de pasbijdrage wordt verlaagd omdat ze deze miljoenen niet meer verliezen?
Draak van een argument of niet, het zal ALTIJD een kosten/baten afweging zijn, al zullen de banken dat wat diplomatieker uitleggen. Kosten voor verbetering: 100 miljoen, schade: 35 miljoen, dan zal bij elk weldenkend bedrijf de keuze voor 35 miljoen worden gemaakt. Het verschil van 65 miljoen zal ook in de passen worden verdisconteerd, dus die zullen zeker niet goedkoper worden zoals jij suggereert. Dit nog los van de vraag of het probleem wel op te lossen is...
Ook dat is kul, want die 100 miljoen (stel dat het een écht allesomvattende oplossing is) is dan dus binnen 3 jaar weer terugverdient, en vanaf dat moment levert het ze elk jaar 35 miljoen extra op. De reden dat skimming met name in Nederland en malware met name in de EU en VS zoveel voorkomt, zal ook zeker met deze lakse houding van de banken te maken hebben. De oost-europeanen zijn wat praktischer ingesteld als wij; die trekken gewoon rekeningen leeg omdat het kan.
Ok, kosten 100 miljoen per jaar, schade 35 miljoen per jaar. Dan klopt het wel. Maar dat was mijn punt niet, mijn punt is dat het in het bedrijfsleven doorgaans toch echt een kosten/baten calculatie zal zijn. Dat kun je laks noemen, is het ook, maar daar wordt de bank niet op afgerekend bij de aandeelhouders. 65 miljoen minder uitgeven dan nodig, dat vinden de geldschieters interessant. Pas als imagoschade om de hoek komt kijken wordt het een ander verhaal. Maar buiten de DSB ken ik in Nederland geen banken waar klanten in substantiële mate zijn opgestapt vanwege imagoschade.
Dat het juist in Europa en de VS zo veel voorkomt lijkt mij te komen omdat daar een goede combi bestaat van hoge penetratie internetbankieren en een grote mate van interessante bedragen op de rekeningen, en niet zozeer omdat de banken laks zijn. Lange halen snel thuis. Ik denk niet dat de beveiliging van de banken in Somalië heel veel beter is.
Hoe goed je het ook beveiligt, dichttimmeren doe je het nooit, dus dan komt altijd weer die ouderwetse kosten/baten analyse om de hoek kijken. Ik heb liever dat ze het zo van mijn bankrekening halen, dan dat ze "met me meelopen" naar de pin-automaat. Zo doen ze het in Zuid Amerika. Als ze het geld nodig hebben, komen ze het echt wel halen!
De vraag is hoe je als bank dient te denken: korte- of lange termijn. De recente crisis is deels te wijten aan de focus op korte termijn winsten, waardoor er nu al geluiden (en wetgeving) opkomen die de focus meer op de lange termijn willen leggen. In die lijn kan het voor banken interessant zijn om meer in het internetbankieren (en de security daarvan) te investeren. Ik heb stiekem het vermoeden dat banken het internetbankieren met name hebben omarmd om zo versneld van 'te duur' personeel en baliemedewerkers af te komen, en nog niet eens om de 'service' richting de klanten te verbeteren. Als ze niet uitkijken kan dat nog wel eens lelijk terugkomen.
Wat betreft je reactie op het EU/VS verhaal: eens.
Inderdaad, veiligheid is iets van de lange adem. Hoge investeringen met rendement in de (verre?) toekomst. Houden aandeelhouders ook niet van, liever vandaag investeren, morgen rendement. En onderdeel van snel verdienen is ook mensen naar huis sturen. Internetbankieren helpt daar inderdaad bij zoals je zegt.

[Reactie gewijzigd door Ivootje op 7 maart 2011 14:11]

Ook dat is kul, want die 100 miljoen (stel dat het een écht allesomvattende oplossing is) is dan dus binnen 3 jaar weer terugverdient,
Probleem is dat een allesomvattende oplossing simpelweg niet bestaat.

Een 'allesomvattende' oplossing zal misschien dit jaar werken. Volgend jaar wordt er iets bedacht om die 'allesomvattende' oplossing te omzeilen en kan de bank weer 100 miljoen uitgeven om een zogenaamde 'allesomvattende' oplossing te bedenken.

Naast een kosten baten analyse voor de korte én de lange termijn doet de bank ook een risico analyse. En het risiso dat de 'allesomvattende' oplossing over een jaar toch niet een 'allesomvattende' oplossing blijkt te zijn zorgt ervoor dat banken nu de (procentueel verwaarloosbare) schade voor lief neemt.

Een bank ziet die 100 miljoen als een investering. En uit de kosten baten analyse en de risico analyse blijkt dus blijkbaar dat het een slechte investering is. En dus doen ze het niet.
Ten dele waar. Ik heb ooit een zoekactie van weken uitgevoerd zien worden bij een bank om erachter te komen waar een verschil van één cent vandaan kwam. Motivatie: het verschil kan er niet zijn in onze geautomatiseerde systemen. Het gaat niet om het bedrag maar om het feit dat een incorrecte uitkomst geen enkele waarde heeft.
Ik denk dat de banken 36 miljoen iets anders zien dan jij dat doet. Dit zal eerder als extreem laag ingeschat worden. Zelfs een 10-fout zal ze weinig doen en ook niet tot actie aansporen.

Maar ik ben het wel met je eens, verificatie moet op minstens twee manieren gebeuren, iets op je apparaat (PC, Mobiel, etc) en iets daarbuiten (b.v. een Randomreader). Gewoon een username en een wachtwoordje is niet geschikt voor dit soort doeleinden.
Juist, maar voor private bankers vanaf 5 ton leggen ze de loper uit. Je kunt het in deze tijd gewoonweg niet verkopen dat puur door laksheid (of onkunde) er elk jaar miljoenen Euro's wegvloeien. Als datzelfde bedrag als bonus naar de directie ging dan stond de hele politiek op zijn kop.
Ik ben er niet bij, maar ik denk ik niet dat de banken handelen uit laksheid en onkunde. Ik denk dat ze echt substantiele bedragen investeren in veiligheid. Maar helaas loop je met het verbeteren van de veiligheid altijd achter de feiten aan en zijn de pikkeboeven je altijd een stap voor. Dat kan overkomen als laksheid.
Als het echt allemaal zo eenvoudig was en het oplossen van de problemen was inderdaad goedkoper dan het betalen van de schade, dan denk ik niet dat het nog een probleem zou zijn.
Wat is een 10-fout? Heeft dat iets te maken met de 11-proef?
Er zijn al lang dubbele verificaties;
username + wachtwoord op de pc
+
TAN code op je mobiel

Met één van beide kan je niets (hoogstens saldo checken, wohoo).


Het zijn gewoon de mensen die hard falen. Tuurlijk, die virussen en zo, daar weet de gemiddelde NL'er niets van... maar als ik dan nog een hoor/zie hoe mensen hun bankgegevens bewaren (zo vertelde een klasgenoot vrolijk dat mijn geboortedatum zijn pincode was... had niet door dat die 4 cijfertjes eigenlijk dag+maand betekenden ipv zijn PIN, en was verwonderd)... daar kan je als bank miljarden in pompen, maar mensen zijn zo ontiegelijk dom/eigenwijs dat niets helpt.
Wat die extra hardware thuis betreft: in Belgie is dat nu al de regel bij de grootbanken.

Bij de meeste banken krijg je als klant een digipass. Sommige digipassen hebben intern een geheime sleutel, bij andere moet je er je eigen bankkaart inschuiven. Maar het principe is altijd gelijkaardig: wanneer je wil inloggen / een verrichting uitvoeren, verschijnt op je computerscherm een code. Die moet je op de digipass intikken, samen met een pin. De digipass berekent een éénmalige toegangscode, en die moet je op de PC intikken.

Lijkt me toch iets veiliger dan de in Nederland gangbare systemen.
Want die hebben geen Random-reader of ING-groene-insteek-kaart-ding?
op 1 of andere manier begin ik dit toch lichtelijk verontrustend te vinden.... (niet dat er wat op mn rekening staan :+ )...
mij pakken ze toch nooit doe geen betaaltransacties via internet :D behalve markplaats maar dan kom ik het altijd wel persoonlijk ophalen
mij pakken ze toch nooit
Ohh wat is dat toch een slechte uitspraak. Ik heb geleerd dat niet meer te zeggen...
Wel eens gehoord van dat ene schip?

Kan niet zinken!

Heeft 16 compartimenten, dus volledig veilig!

Ga nu maar even op wiki kijken welk schip dat moge zijn, je kent het vast.
De vraag is eigenlijk HOE doen ze het dan. Ik bedoel ik zou het zeker knap vinden als ze rabobank (random reader) transacties kunnen doen.
De truc is dat ze een extra overschrijving aan jouw lijst toevoegen. Vervolgens genereren ze het plaatje wat je normaal gezien zou krijgen. Jij voert de code uit je random reader in, en daarmee is de (gewijzigde) lijst van overboekingen ondertekend.

Dit probleem kan de Rabobank op zich inperken, door maximaal 1 overboeking per code toe te staan. Dat is (a) onvriendelijk en (b) gaat nog steeds mank op het probleem dat het rekeningnummer nog steeds gewijzigd kan worden.
De rabo heeft meer checks erin zitten. Dat plaatje veranderen lukt niet zomaar.
Bij meerdere transacties wordt daarnaast vaak een 2de code gevraagd die het totaal van alle transacties is. Daarbij wordt aangegeven dat je deze moet controleren met het totaal bedrag bovenin de pagina.
Fortis deed dat inderdaad, daar was het totaalbedrag een onderdeel van de authentificatie, maar nu log je bij Fortis in met de ABN-Amro i-dentifier. Die kent die slag niet. Bij ABN-Amro heb ik geen hoge pet op van de beveiliging met de i-dentifier.
De e-identifier 2 van ABN-Amro via USB aangesloten op de PC laat anders altijd het totaalbedrag zien voordat ik definitief op OK druk voor een overboeking (wel wat software van ABN nodig). Laat precies zien wat jij beschrijft en geeft inderdaad een veiliger gevoel.

Het zou me echter in positieve zin verbazen als het technisch ook zo gemaakt is dat het voor de PC (die met een virus alles doet wat de virusmaker wil) onmogelijk is om een ander totaalbedrag+aantal transacties op de e-identifier te laten zien dan de eigenlijke opdracht die uitgevoerd wordt.

Het kan technisch natuurlijk wel door het bedrag en aantal transacties in een encryptieproces op de e-identifier zelf mee te nemen die ook gegevens gebruikt op de bankpas zelf die onzichtbaar zijn voor de PC, maar ik vraag me sterk af of ze al zover zijn. Mogelijk sturen ze het bedrag gewoon als tekst naar de e-identifier, in welk geval een virus de tekst gewoon zou kunnen wijzigen en het dus uiteindelijk slechts om schijnveiligheid gaat en hooguit extra moeite voor virusschrijvers kost om de boel op te lichten.

[Reactie gewijzigd door Bas van der Doorn op 7 maart 2011 13:56]

Dat van de i-dentifier via de USB wist ik niet. Ik gebruik hem altijd stand-alone. De scepsis van een betere beveiliging via USB deel ik met je.
De e-identifier 2 van ABN-Amro via USB aangesloten op de PC laat anders altijd het totaalbedrag zien voordat ik definitief op OK druk voor een overboeking (wel wat software van ABN nodig). Laat precies zien wat jij beschrijft en geeft inderdaad een veiliger gevoel.
Wat me pas echt een veiliger gevoel geeft is het niet gebruik maken van Windows (geen rare virussen op m'n Linux bak). En laat nou net die USB software van ABN alleen op het meest onveilige platform draaien...
idd, maar een computer is toch windows |:(
en als het bedrag hoger is dan 5.000 euro moet je ook het rekeningnummer van de ontvanger nog invullen.
Simpele oplossing zou zijn dat de bank na iedere transactie een sms of mail stuurt met de samenvatting van de transactie. Dan zie je meteen of er iets vreemds is gebeurd. Om deze bevestigingsmail/SMS te manipuleren moet er toch al weer heel wat meer gebeuren.
Maar dan is het kwaad al gescheid!
Maar hoe sneller je erbie bent, hoe groter de kans dat de transactie nog ongedaan kan worden gemaakt. Misschien moet er dan ook een "panic button" komen, die al jouw laatste transacties ongedaan maakt. Dat zou een reply op de sms kunnen zijn, of een aan te klikken link in de bevestigingsmail.
De simpele oplossing is om op wereldniveau af te spreken dat

1) bankgeheim weggegooid wordt.
2) alle banken met terugwerkende kracht fraude oplossen.
3) banken die niet aan deze eisen voldoen uitgesloten worden van transacties.

Zo creëer je een closed-circuit van banken die enkel met elkaar zaken doen. Wordt er door fraude 10 miljoen overgeschreven naar een andere bankrekening, dan wordt dit bedrag gewoon de volgende dag teruggezet. Geld dat wordt afgehaald wordt natuurlijk niet vergoed, maar je kan geen 10 miljoen cashen aan de automaat ;-)

Voila, al die shit opgelost, alle criminelen een groot probleem.

Waarom werkt bankfraude nu? Omdat de fraudeurs Western Union, Russische, Zwitserse of Bermudase bankrekeningen gebruiken. En die weten natuurlijk van niets als er 10 miljoen euro bij komt.

Wie heeft er last van deze maatregelen? Multimiljonairs die frauderen en fraudeurs.
99,99% van de Tweakers.net? Neen. All vote yes please. Vote passed :-)
Bij de ING krijg je het bedrag te zien in je SMSje met de TAN code. Klopt dat niet? Dan is er zeker iets mis.

Hoe zit dat bij de Rabobank? Vast ook wel toch?
Alleen veel bedrijven werken niet met SMSjes bij ING, maar met een TAN-code lijst. Die zijn nog altijd kwetsbaar.
Maar in je sms zie je toch ook het bedrag wat je overboekt? Dit vind ik we een voordeel van de ING, in tegenstelling to de rabo
Rabobank is qua beveiliging veiliger dan ING,
Dit is al meerdere malen getest en bewezen.
Rabobank werkt ook al veel langer met digitaal betalen dan ING
(heb zelf bij een bedrijf gewerkt die dit soort processen moest controleren)
kom maar op met je bronnen dan!
op 1 of andere manier begin ik dit toch lichtelijk verontrustend te vinden.... (niet dat er wat op mn rekening staan :+ )...
Beste beveilig, gewoon zorgen dat er niks te halen. :D
Gewoon weer gaan betalen met geeikte munten van goun, zilver en of een ander edelmetaal (koper stijgt sterk in prijs (koperdiefstal) dus wordt ook steeds interessanter hiervoor).
Ik vindt de nieuwe generatie trojans toch wel hoogstaande stukjes programmeer werk.
Niet dat ik voor trojans/virussen ben natuurlijk, maar de huidige technieken die worden toegepast in dit soort trojans vind ik toch wel bewonderingswaardig. :)

Benieuwd wat voor gedragswijzigingen de trojan met zich mee brengt in de virtuele omgeving. Zo kan hij misschien wel hele andere paden gaan volgen, en misschien zelfs onderzoekers op een dwaalspoor zetten. Of denk ik nu te ver door? :+

[Reactie gewijzigd door KirovAir op 7 maart 2011 12:08]

Dat is idd precies wat een trojan doet als deze in een VM draait. Ook hebben ze vaak een update mechanisme zodat (bijv.) een gekraakte key vrijwel direct vervangen kan worden. Pesky stukje software is het.
Naast een versie met dubbele versleuteling hebben de onderzoekers ook een Zeus-variant gevonden die kan detecteren of de code draait binnen virtuele machines van VMware. Deze software wordt door antivirusfirma's veelvuldig toegepast om het gedrag van malware te onderzoeken. Volgens Kaspersky Lab is dit een unieke eigenschap die nog niet eerder in malware is gevonden.
Ik zou zweren dat dat er toch allang was? Evenals detectie van bepaalde API hooks die virusscanners gebruiken?
Klopt, ik heb eerder een nieuwsbericht oid langs zien komen over virussen/malware die wisten of ze in een virtuele omgeving draaiden.
Het is inderdaad al lang zo dat virussen gecodeerd zijn, en detectie van virtuele machines toepassen. Misschien dat de gebruikte techniek echter vernieuwend is. Verschillende voorbeelden van dergelijke virussen zijn te vinden in het bekende boek "The Art Of Computer Virus Research And Defense" door Peter Szor. Echter de complexiteit waarmee detectie van debuggers/virtuele machines gebeurt kan varieren. Uit mijn hoofd kun je bijvoorbeeld low-level debuggen dmv bepaalde bits op het i86 debug register aan te zetten. Veel virussen testen dus eerst of debug modus is geactiveerd door simpelweg dit register uit te lezen. Er zijn tal van technieken voor een virus om te detecteren of ze worden gedebuged, of ze in een virtuele omgeving draaien etc. Enkele kun je terug vinden in de paper "Detecting honeypots and other suspicious environments" geschreven door Holz en Raynal.
Om te voorkomen dat een virus detecteert dat iemand probeert te analyzeren hoe het virus werkt, maken veel antivirus-producenten gebruik van zo realistisch mogelijke omgevingen. De meeste testsystemen hebben dan ook emulatoren voor de meest elementaire functies van een (windows) computer. Zo wordt bijvoorbeeld een internetverbinding gesimuleerd waardoor het lijkt alsof een 'echte' internetverbinding op het systeem aanwezig is. Een echte internetverbinding is natuurlijk niet wenselijk; als anti-virusmaker wil je niet dat één van jouw testsystemen het virus zelf kan verspreiden.
De techniek voor virusanalyse beschreven in dit artikel wordt ook wel aangeduid als 'actief'. Je kunt ook een virus passief analyseren. Hiervoor wordt het virus niet uitgevoerd maar simpelweg door een assembly debugger als IDA PRO bekeken. Deze techniek is veelal sneller in de zin dat je niet een gespecialiseerde omgeving moet aanroepen die het virus kan uitvoeren. Het grote probleem is wel dat je zoals in het tweakers artikel is beschreven, eerst het virus moet kunnen decoderen alvorens je uberhaupt naar de assembly code kunt gaan kijken. Daarom loont het vaak om het virus stapsgewijs uit te voeren tot het moment dat het zichzelf heeft gedecodeerd. Dit blijkt in de praktijk echter lastig. Je ziet dan ook veel dat er een combinatie van passieve en actieve detectiemethodes wordt gebruikt. Zie o.a. "Malware Detection through Call Graphs" door J. Kinable, O. Kostakis.
En als hij ziet dat hij in een VMware achtige omgeving draait, wat gebeurd er dan?

Als hij zichzelf dan verwijderd onder het mom van "Hier kan ik toch niks..., dus beter wegwezen." dan kan je virusscanner toch gewoon doen alsof je een VMware omgeving draait?
lijkt me dat dat ook niet is wat hij dan doet, eerder gewoon iets anders om te verhullen wat hij normaal zou doen.
Dan gebeurt er niets, omdat ze de antivirus bedrijven dwars willen zitten die het gedrag van de trojan willen onderzoeken.
En een virusscanner kan niet zomaar "gewoon doen" alsof je in een virtuele machine draait, dan zou deze je complete systeem moeten manipuleren. Nou nee dank je.

Je kunt natuurlijk wel zelf een virtuele machine (sandbox) starten voor je betaaltransacties, nogal omslachtig maar wel relatief veilig.
Vergeet dat 'alleen maar up2date zijn' maar. Heb vooral ervaring met McAfee, maar dit geldt voor alle virusbedrijven, het duurt soms 2 a 3 weken voor er een patch voor een bepaald dreiging beschikbaar is. Dit betekent dat zo'n Trojan 2 a 3 weken de tijd heeft om zijn werk te doen en dat is ruim voldoende om een aantal bankrekeningen te plunderen.
Gelukkig update mijn ESET Smart Security 4 meerdere malen per dag...
Updates zeggen niks. Als de benodigde data voor bescherming pas 2 weken later wordt meegegeven aan de updatedefinities, dan kan je wel leuk updates krijgen maar heeft het nog geen bescherming tegen een bepaalde trojan/virus.
Gelukkig bevat het ook nog Threatsense.net en een uitgebreide programma code scanner zodat het meestal toch nog word opgepakt.
Tevreden gebruiker van NOD32/Smart Security sinds 2005 en heb nog nooit problemen gehad op PC's waarop het geinstalleerd is die virus gerelateerd waren.
Gisteren voor de gein zelf eens een Trojan in elkaar gezet.
Vervolgens gescand op http://virscan.org/

Geen van de 37 virusscanners vond 'm. Ja, als ik een packer met dropper gebruikte vonden ze dat verdacht, maar verder niet. (Oplossing - geen packer/dropper gebruiken :))
Ik zou niet te veel vertrouwen op heuristische scanners :)

[Reactie gewijzigd door LDenninger op 7 maart 2011 14:16]

ThreatSense is net zo perfect als de updates zelf. Niet dus. Wat ThreatSense doet is kijken naar bepaalde vooraf gedefinieerde signalen of gedragingen van code, of patronen in het RAM geheugen. Het kan niet vinden waar het niet naar op zoek is.

Er zit behoorlijke zwakheid in; een beetje trojan schrijver gebruikt het verzoek van ThreatSense om potentieel gevaarlijke bestanden op te sturen voor analyze, om uit te zoeken wanneer ThreatSense nou net *niet* reageert.

Ik ben zelf ook een zeer tevreden gebruiker van NOD32, maar ik zie vaak genoeg dat het steken laat vallen als het gaat om detectie van nieuwe trojans. Net zoals ALLE concurrenten, overigens. Mijn favoriete protectiepakket is om die reden aangevuld met HijackThis en MalwareBytes AntiMalware. Omdat één product alleen het niet altijd alleen af kan.
Klopt, mijn pakket is ook ESET Smart Security 4 en Malwarebytes, waarbij ESS4 vooral als realtime dient en MB als on demand.
Verder weet ik niet wat jij allemaal doet waardoor het steken laat vallen want ik heb er nog nooit last van gehad en dat terwijl ik toch zeker over het hele internet heen strompel.
Ik heb vroeger jarenlang geen enkele virusscanner gebruikt en geen problemen gehad. Volgens jouw logica zou "geen enkele virusscanner" dus ook een prima product zijn.
Met andere woorden, je kunt wel tevreden zijn met een product op basis van je eigen ervaringen, maar het geeft absoluut geen garanties over hoe veilig je bent.
En een viruscanner geeft wel garantie? O-)
Misschien draait hij geen microsoft OS
HoCr zegt ook niet dat McAfee om de 2 a 3 weken updates uitbrengt, maar dat het vervaardigen van een dergelijke patch 2 tot 3 weken kan duren. Dat kan voor ESET wel 3 maanden zijn, ondanks dat ze meerdere malen per dag updates uitbrengen.
Dat betekent niet dat er niet bijvoorbeeld een of meerdere weken gewerkt is aan een van de nieuwe 'virusdefinities' die met de update meekomen.
Nu noem je wel ongeveer het slechtste A/V-bedrijf op dat er is (mijn persoonlijk ervaring met verschillende producten waaronder McAfee). Dus ik betwijfel of je mag stellen dat alle antivirusbedrijven er 2 á 3 weken over doen om hun patch uit te brengen. Maarja, enige 'lag' vanuit de A/V ten opzichte van de malware/virussen/trojans zal je altijd houden, aangezien ze dan reactief werken. Hoewel het ook zo is dat ze tegenwoordig al redelijk wat middelen tegen nieuwe bedreigingen hebben, dus dat beperkt ook het risico wanneer er nog geen patch is.
In dit geval is er een nieuwere methode gebruikt om A/V producten te omzeilen en gaat de vlieger niet op, en is de kans groot dat er rekeningen geplunderd kunnen worden. Blijft een kwestie van opletten en alles goed controleren bij het internetbankieren.
Een paar jaar geleden was er een test door het blad Ct waarbij de snelheid van updaten bij het bekend worden van een nieuwe bedreiging was bijgehouden. Ze hadden dat, als ik me het goed herinner ongeveer een half jaar bijgehouden.

De Amerikaanse virusmakers (McAffee, Norton, e.d.) scoorden allemaal slecht tot zeer slecht (gemiddeld twee weken) terwijl de Israëlische, Oost-Europese (Kaspersky, Bitdefender) en IJslandse makers goed tot zeer goed (gemiddeld 2 uur) scoorden.
Gratis versies van Avira, AVG en Avast scoorde toen in de middenmoot, met een uurtje of 8).

Let wel, die test was wel al een paar jaar geleden, dus sommigen kunnen in de tussentijd hun werkwijze hebben aangepast (verbeterd/verslechterd).

edit:
@mjtdevries
Bovenstaande is alleen wat die er toen naar aanleiding van die test is gepubliceert. In hoeverre bv heuristisch scannen is meegenomen weet ik niet meer. In ieder geval maten ze de tijd tussen het uitkomen van een nieuw virus en het in de detectie-signatures opnemen van dat virus, en dat lijkt me veelzeggend. Veel virussen zijn varianten van oudere versies en dus kan het zijn dat een nieuwe variant met de (meer specifieke) signature van de ene scanner niet en met de (meer generieke) signature van een andere scanner wel gedetecteerd wordt. Dat verklaart ook jouw verschil.

Andersom lijkt met dat heuristische scanmethode potentieel superieur zijn aan signature-scans, maar dat er toch praktische problemen zijn (o.a. betrouwbaarheid) anders zouden niet alle virusscanners voornamelijk op signatures werken. (Thunderbyte antivirus had 20 jaar geleden al heuristiche methodes). Al kan het natuurlijk te maken hebben met de lucrativiteit van het verplicht updaten, en dus abonnementen-verkoop.

[Reactie gewijzigd door BeosBeing op 7 maart 2011 20:43]

Ligt er wel aan hoe je dat meet.

Wat als een nieuwe dreiging al door heuristic scanning tegen word gehouden? Wat is dan de tijd score? 0 seconden?

Ik in een enterprise omgeving met McAfee nooit een issue gehad met lange update tijden. Zodra er een echt gevaarlijk stuk malware in het wild kwam was er binnen een dag een update.
Ook een paar keer meegmeaakt dat andere antivirus vendors een update moesten maken terwijl het bij McAfee al met een update van een jaar geleden gedetecteerd kon worden. (en verwijderd)
De patch voor "cleanen" duurde wel langer, maar dat vind ik totaal niet boeiend.
Niet als er op gedrag gescand wordt, oftewel Heuristische beveiliging. ESET NOD32, of ESET Smart Security doet dat bijvoorbeeld. Zodra zij een verdachte handeling detecteren zetten ze het bestand in quarantaine en sturen zijn een sample naar het ESET ThreatLab. Daar wordt het geanalyseerd. Nu zal je denken dat dit veel zogeheten false positives met zich mee brengt (bestanden die vastgehouden worden terwijl ze goedaardig zijn), maar dit is nihil. Binnen gemiddeld 4 uur komt er meestal een signature vrij (3 of 4 weken heb ik nog nooit meegemaakt, zelfs niet bij het hardnekkige confickervirus van 2009, die zorgde voor 2,5 miljoen besmette pc's wereldwijd, dit is al te behalen binnen een aantal dagen aangezien alles en iedereen tegenwoordig toch wel aangesloten is op internet).

Maar met heuristische scanning ben je beveiligd tegen 99% van de zero-day outbreaks. (Heuristisch scannen is ook weer een zeer breed begrip, dit kan ook op verschillende manieren, met verschillende technieken onder de motorkap).... Voor meer inzicht kan je VB100 raadplegen. Zij testen voornamelijk op zero-day response en een AV fabrikant krijgt pas een award als zij alle zero-day challenges behalen.
Zie mijn post boven... De trojan die ik gisteren voor de lol in elkaar heb gezet wordt door de 37 bekende virusscanners niet gedetecteerd, zonder dat ik bijzonder veel moeite heb gedaan om detectie te voorkomen.
Heuristische detectie geeft mensen imho een false sense of security.
En doet je trojan dan ook iets spannends?

Want als ie alleen maar vrij onschuldige acties doet, dan is dat wellicht de reden waarom ie niet als gevaar herkend word.
Niet veel bijzonders of geavanceerds, desalniettemin schadelijk genoeg.
IAuth/Explorer/Opera/Firefox/Windows/Outlook passwords decrypten en opsturen, irc-aangestuurd reverse-connecten om complete toegang te geven.
Ik zou zelf toegang tot mijn PC en het stelen van mijn wachtwoorden toch wel als "gevaarlijk" bestempelen :P
Heb een paar keer meegemaakt (jaar of 5 terug) dat ik een trojan/virus tegenkwam die door AV software nog niet herkend werd. Mailtje met attachment gestuurd naar verschillende AV bedrijven te weten McAfee, Norton en Kaspersky.

Van Kaspersky kreeg ik binnen 2 tot 4 uur een reactie met de mededeling om te updaten omdat ze betreffende trojan/virus hadden toegevoegd aan hun databases.

McAfee duurde 3 tot 4 dagen en kreeg een 'losse' update voor de virusscanner, de virus/trojan zou bij de volgende update herkent worden (welke toen wekelijks was).

Van Norton kreeg ik pas na 1 tot 1,5 week bericht...

Twee tot drie weken is dus wel *erg* traag, maar er waren inderdaad bedrijven die niet echt bepaald snel up to date waren... Hoe dat nu gesteld is weet ik echter niet, mag hopen dat sommigen wel wat sneller zijn gaan werken.

[Reactie gewijzigd door ironx op 7 maart 2011 12:39]

Naast een versie met dubbele versleuteling hebben de onderzoekers ook een Zeus-variant gevonden die kan detecteren of de code draait binnen virtuele machines van VMware. Deze software wordt door antivirusfirma's veelvuldig toegepast om het gedrag van malware te onderzoeken. Volgens Kaspersky Lab is dit een unieke eigenschap die nog niet eerder in malware is gevonden.
De mogelijkheid om het geheugen van een PC op een externe manier uit te lezen (om zo encryptiesleutels te kunnen vinden) is belangrijk en VM's zijn hierom gewenst. Een nadeel (in dit geval) van VM's is dat ze nooit 100% ge-emuleerd zijn, waardoor vanuit de VM te concluderen is dat deze virtueel is.

Nu bekend is dat dit wordt misbruikt, kan er wat tegen gedaan worden: ervoor zorgen dat testomgevingen virtuele machines bevatten die alle schijn hebben van fysieke machines. Dus geen gespecialiseerde virtuele hardware om de snelheid te bevorderen, geen strings in de BIOS die verraden dat het om een virtuele machine gaat, etc.

De volgende stap die virusschrijvers dan gaan toepassen is het uitzoeken of virtuele hardware gebaseerd op echte hardware ergens verschilt (bijvoorbeeld in timings) om op die manier alsnog te kunnen detecteren of de huidige machine een virtuele of fysieke machine is.

Een alternatief voor de anti-virusbakkers is fysieke debug-PC gebruiken, waarbij het geheugen extern uitgelezen kan worden om zo de gewenste informatie uit de besmette omgeving te verkrijgen. Een stuk duurder, maar is van 'binnenuit' moeilijker of misschien zelfs onmogelijk om te detecteren.

[Reactie gewijzigd door The Zep Man op 7 maart 2011 12:19]

Vroeger wel eens met een Philips TriMedia PCI kaart geprogrammeerd. TriMedia was een snelle processor, kon je het hele PC geheugen mee lezen. Heeft heel wat blauwe schermen opgeleverd, want je kon er ook mee in het geheugen schrijven. Ik weet niet of that tegenwoordig nog kan met PCIe. Als het nog kan dan hoeft het niet duur te zijn om het geheugen uit te lezen.
Dan kan inderdaad met PCIe, de functie heet DMA (Direct Memory Access) en is fundamenteel om snelle hardware te krijgen. Met name disks hebben dergelijke snelheden nodig. PIO Mode 6 was de laatste IDE mode die zonder DMA werkte, en die bleef hangen op 25 MB/s. Alle SATA controllers gebruiken DMA.

Een nog grappigere mogelijkheid biedt Firewire. Die interface is ook bedoeld voor disks, en vanwege een implementatiedetail is de DMA daar zichtbaar op interface nivo. Je kunt dus van buiten het hele geheugen lezen en schrijven.

[Reactie gewijzigd door MSalters op 7 maart 2011 13:14]

voor zo begrijp wordtt zeug door kleine exclusieve groep vip-users ontwikkeld. de 'hackers' zijn d'r achter dat je beter paar goed betalende (tevrede) users hebt, dan op grote schaal (wat sneller opgepikt wordt). zeus lag tijdje stil, maar recentelijk zijn 'oude zeus' installaties geupgrade naar dit nieuwere systeem
Net alsof het detecteren of software in VMware draait zo moeilijk is... Gewoon een blik op Apparaatbeheer is voldoende om tot die conclusie te kunnen komen...
Kaspersky geeft ook niet aan dat het moeilijk is maar dat het een eigenschap is die nog niet eerder in malware is gevonden.
En daar is Joanna Rutkowska het niet mee eens denk ik :)
Loop je dan eigenlijk risico als je bijvoorbeeld bij de Rabo zit met een random reader? Of zijn alleen password, username, geboortedata inlogmethodes gevoelig? (Spaarbeleg methode)

[Reactie gewijzigd door XLR8Rcarbon op 7 maart 2011 14:27]

Ik denk dat je met Rabo behoorlijk veilig zit. Ik snap ook niet dat andere banken simpele wachtwoorden gebruiken.
Volgens mij zijn er in Nederland geen banken waar je alleen met username/password combinatie geld kunt overboeken naar een externe rekening... Daarvoor zijn altijd veiliger signeermethodes noodzakelijk.

Als ik mij niet vergis is dit zelfs een verplichting vanuit de Nederlandse bank.!
Klopt wel, maar bv Postbank is erg kwetsbaar.

Als je een android telefoon geroot hebt, lijkt het me niet onmogelijk dat deze trojan daar ook voor verschijnt, en dan ben je kwetsbaar:
- laatste seconde wordt er een extra transactie toegevoegd aan het verzendlijstje
- je smsjes worden gelezen / aangepast, zodat jij het "totaalbedrag" als gewoon ziet, zonder de extra transactie
- je type je tan in, en voila..
erg kwetsbaar is wat overdreven..
voornamelijk door die "als" en "lijkt mij" in je zin..
je gaat namelijk van 3 dingen uit:
1) de postbank bezitter moet een android toestel hebben
2) het toestel moet geroot zijn
3) de tan codes moeten per sms binnenkomen...

3 voorwaardes, als er 1 niet overeenkomt, dan werkt het al niet meer...
En de persoon die de man in de middle attack opzet moeten weten dat die telefoon bij die gebruiker hoort, dit is eventueel wel uit te vinden maar 2 van die systemen koppelen lijkt me niet echt eenvoudig, er zijn teveel onzekere variabelen om dat te doen.
Het is iig goedkoper om banken te overvallen.
4) de telefoon moet besmet zijn.

Die laatste lijkt me nog het belangrijkste, en het moeilijkste punt.
5) Het virus moet uit de Java sandbox weten te komen van Android.
Android ondersteunt naast de Dalvik sandbox ook 'native' applicaties die niet in zo'n sandbox zitten.
In theorie heb je gelijk. Het lijkt mij kwetsbaar om vanaf een telefoon een overboeking te doen via het TAN-per-SMS systeem van de ING/Postbank. Dat zou ik zelf dus ook niet doen. Gewoon de overboeking doen via je PC, en de TAN via je mobiel krijgen. Dat is wel behoorlijk veilig, omdat ik de kans dat ik geinfecteerd wordt door twee trojans (een op mijn PC, en een op mijn smartphone) die ook nog eens samen kunnen werken om te interfereren met mijn transactie niet groot acht.

Edit: wat ik overigens veel gevaarlijker vindt, is dat de ING tegenwoordig een nieuw wachtwoord toe stuurt via SMS! Als je laptop waarmee je je internetbankieren doet (en waarop dus vaak je login naam opgeslagen staat), en je telefoon tegelijk buitgemaakt worden (niet ondenkbaar), dan heeft de dief dus 100% access tot je rekening zolang de telefoon of rekening niet geblokkeerd is. Dat kan zomaar een paar uur of meer zijn; meer dan voldoende om je rekening 100% te plunderen.

[Reactie gewijzigd door ATS op 7 maart 2011 14:09]

wat ik overigens veel gevaarlijker vindt, is dat de ING tegenwoordig een nieuw wachtwoord toe stuurt via SMS! Als je laptop waarmee je je internetbankieren doet (en waarop dus vaak je login naam opgeslagen staat), en je telefoon tegelijk buitgemaakt worden (niet ondenkbaar), dan heeft de dief dus 100% access tot je rekening zolang de telefoon of rekening niet geblokkeerd is. Dat kan zomaar een paar uur of meer zijn; meer dan voldoende om je rekening 100% te plunderen.
Dát is inderdaad wel een risico. Wel is het natuurlijk zo dat ze geen geld kunnen pinnen, alleen maar overschrijven. En dan is er dus een tegenrekening bekend.
nope.. spaarrekeningen bij spaarbeleg/aegonbank vereisen een login met gebruikersnaam/wachtwoord/geboortedatum. Daarna kun je een "incidentele" overboeking naar een andere dan de normale tegenrekening doen.
Ja, maar die incidentele overboekingen kunnen niet zomaar, de laatste keer dat ik dat gedaan heb moest dat schriftelijk bevestigd. Daarom is bij hen alleen een username/wachtwoord acceptabel.
Als de trojan je intenet browser manipuleerd zodat jij andere bedragen ziet dan werkelijk verzonden wordt, ofdat gedeelte van de order onzichtbaar wordt gemaakt. dan is het nogsteeds lastig.

Denk echter niet dat dit al haalbaar is voor een trojan.
Dit is hoe die dingen werken. Telkens geavanceerder. Zodat de gebruiker steeds beter moet opletten dat er iets niet goed is. Het is ook niet alleen de trojan maar een heel netwerk van infecteerde servers en zo. Het verschil tussen een Worm/trojan en Virus is de manier van infectie. Heeft niet veel te maken met de payload dat wordt uit gevoerd na de infectie. En veel exploits hebben verschillende manieren van infecteren. dus kan zowel een worm als virus als trojan zich voortplanten.

Hoe ze bij abn-amro inbraken was door telkens de ingevoerde sleutel van je key. Als onjuist terug te rapporteren aan de gebruiker. 3 keer een "foute" sleutel in tikken en de trojan heeft zich aangemeld (login 1) een groot bedrag aangegeven om over te maken. (login 2) en de transactie voltooit. (login 3)

[Reactie gewijzigd door daft_dutch op 7 maart 2011 13:53]

De vorige versie van Zeus was voornamelijk in de UK actief (waar het ook miljoenen heeft buitgemaakt). Daar is de beveiliging van het internetbankieren minder goed dan hier.
In principe is Zeus niets meer dan een keylogger. Online bankieren is in NL redelijk goed daartegen beveiligd. Maar zeus wordt bv. ook gebruikt om Facebook of Hotmail wachtwoorden te harvesten.

Dingen als Paypal en Creditcard gegevens zijn meestal het meest gevoelig voor zulke trojans. Gelukkig ben je met een Creditcard over het algemeen automatisch verzekerd hiervoor.

Op dit item kan niet meer gereageerd worden.