Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 61 reacties

Het Nederlandse bedrijf SurfRight heeft een gratis te gebruiken tool onder de naam HitManPro Alert 2-tool uitgebracht. De beveiligingssoftware kan een aantal populaire browsers op Windows-systemen continu controleren op mogelijke malwarebesmettingen.

De HitManPro Alert 2-scantool is volgens SurfRight geschikt voor de browsers Internet Explorer, Chrome, Firefox, Opera en Maxthon. De tool draait op zowel 32bit- als 64bit-versies van Windows, en vereist minimaal Windows XP. Als de gebruiker een browsersessie opent, zal HitManPro Alert 2-tool de browseromgeving scannen op eventuele malware.

Volgens SurfRight is zijn scantool vooral geschikt om onlangs in omloop gebrachte malware op te sporen, veelal malware die nog niet door virusscanners wordt opgemerkt en door criminelen gebruikt wordt voor bijvoorbeeld het afvangen van inloggevens. De scanner zou bovendien probleemloos naast bestaande antivirussoftware op Windows gedraaid kunnen worden.

Veel malware die zich in browsers nestelt, weet door technieken als binary obfuscation en cloaking onzichtbaar te blijven voor antivirussoftware. De HitManPro Alert 2-scanner zou hierop inspelen door malware, via 'vaccinatie' van de browser, het idee te geven dat deze in een automatisch gegenereerde sandbox van een testomgeving draait. Hierdoor zou veel malware zichzelf uitschakelen.

Waarschuwing voor malware via HitManPro Alert 2

Reacties (61)

Reactiefilter:-161061+139+26+30
Moderatie-faq Wijzig weergave
De tool doet inderdaad niets meer dan wat in het artikel staat (Het laten denken dat de browser in een VM draait) of er gaat bij mij toch echt iets fout.
Heb er 2 test virussen op los gelaten (Echte samples) met het volgende resultaat.

Voor nu laat ik hem dan ook maar even links liggen.
HitmanPro.Alert alarmeert bij banking trojans en niet bij fake AVs (zoals in je screenshot).

Als je een Citadel, Zeus, Caberp, Ice-IX, Sinowal (Torpig), Shylock of Tinba sample probeert (malware die daadwerkelijk wachtwoorden, transacties en certificaten probeert te stelen) zul je zien dat HitmanPro.Alert een waarschuwing geeft.
Ik snap dat het ontwikkeld is om bestaande banking trojans aan te pakken.
Maar aangezien dit zou moeten voorkomen dat malware in je browser hooked is het natuurlijk kwalijk dat een vorm van malware dit lukt (ik heb begrepen dat dit future proof is en niet via definities werkt).
Het is slechts een kwestie van tijd voor de banking trojans dit ook lukt op dezelfde manier.

[Reactie gewijzigd door henk717 op 4 juli 2013 10:53]

I.i.g. grote klasse dat jullie dit soort dingen maken, hulde.
HitmanPro.Alert controleert of Windows API's omgeleid zijn naar malware die zich in de browser heeft genesteld. Via de omleidingen (hooks) kan de malware gegevens in de browser stelen en/of aanpassen (denk aan wachtwoorden stelen en/of transacties wijzigen) voordat het versleuteld de lijn overgaat.

HitmanPro.Alert scant dus of de API's nog origineel zijn. Zijn ze niet origineel dan geeft het een waarschuwing.

Het maakt geen gebruik van cloud maar is puur een statische detectie of alles in je browser nog origineel is. Het heeft dus ook geen definities nodig.

[Reactie gewijzigd door erikloman op 3 juli 2013 15:15]

De vraag is dan of het foolproof is. Er zijn manieren om API-functies te hooken die moeilijk te detecteren zijn. Eén daarvan is bijvoorbeeld deze: IAT Hooking Revisited. Er zijn ook principes als Detours, maar ik vermoed dat die niet zo snel in een proces geforceerd kunnen worden.
Het zijn juist die detours die veel toegepast worden (ook wel inline hooks genoemd) en daar controleert HitmanPro.Alert dan ook op. Met name Citadel en andere Zeus gebaseerde malware (banking trojans) maken veelvuldig gebruik van inline hooks. Zie ook bijlage 1 in ons Pobelka rapport voor een overzicht van API's die door Citadel omgeleid worden om wachtwoorden en certificaten te stelen.
Op 64-bit Windows zien we dat rootkits (o.a. Cridex) gebruikt maakt van EAT hooking.

Edit: typo

[Reactie gewijzigd door erikloman op 3 juli 2013 15:44]

Erik, werkt dit voor alle browsers; in mijn geval Nightly x64, is die ook supported ??!
Het werkt browseronafhankelijk. Maar de lijst die we getest hebben is:
  • Internet Explorer 6 t/m 11
  • Google Chrome
  • Firefox
  • Opera (incl. versie 15)
  • Pale Moon (64-bit Firefox)
  • Maxthon
  • TorBrowser (Firefox based)
Zowel 32-bit als 64-bit versies worden ondersteund.
Ok bedankt Erik, ik test zelf wel Nightly x64.. ;)

(Ook Firefox based trouwens)
Werkt dit net als hun andere producten via de cloud?
1) Defineer dat eens, "de cloud".
2) Hoe moet een programma als dit via een/de cloud werken?

Misschien is je vraag of het stukje software communiceert met een server op het internet. In dat geval is het antwoord ja, anders blijft het niet uptodate.

Cloud is een nutteloze marketing term. Vroeger hadden ze ook al servers en clients, en client webinterfaces. De hele gebruikservaring vooral mbt dat laatste is wat men tegenwoordig de cloud noemt.
Misschien even iets verdiepen in de werking van Hitman voordat je van leer trekt over hoe loos de marketingterm "in de cloud" is. Het mag dan wel een enorm marketing buzzword zijn, de volledige versie van Hitman Pro (dus niet deze Hitman Pro.Alert, maar Hitman Pro zelf) is wel degelijk een applicatie die resultaten matcht met een database in de cloud.
Hij downloadt geen database updates, hij vergelijkt hashes (of iets in die trend, weet niet de details) van je bestanden met een online database om te verifiëren of ze verdacht zijn of niet.
Aangezien hij dus continu in verbinding moet staan om te werken, en matcht aan online resultaten kun je dus inderdaad wel degelijk spreken van "in de cloud", hoe loos die marketingterm ook mag wezen.

[Reactie gewijzigd door TheKmork op 3 juli 2013 15:29]

Hij bedoelt dat ze voor de sitecom routers de mogelijkheid bieden om op port 80 via de cloud je webverkeer te scannen. Zo wordt al het webverkeer gecontrolleerd op malware.
Hoe werkt Sitecom Cloud Security?

Na activering werkt de router samen met een aantal krachtige servers via Internet (de "Cloud"). De gebruiker hoeft niets te installeren. Gevaarlijke websites worden door de servers herkend en vervolgens door de (modem) router tegengehouden. Dit geldt ook voor ongewenste advertenties. Ook wordt de gebruiker beschermd tegen het downloaden van bestanden die virussen, spyware en andere malware bevatten, en worden frauduleuze websites die proberen persoonlijke gegevens te achterhalen (phishing) geblokkeerd. Sitecom Cloud Security is voor een groot deel gebaseerd op de bewezen cloud security technologie van Hitman Pro dat reeds door ruim 2 miljoen consumenten en organisaties gebruikt wordt
Je internetverkeer gaat niet door de cloud. Je router maakt slechts kleine vingerafdrukken (hashes) van pakketjes (= snelle operatie) en die hashes worden geverifieerd bij de cloud (waar meerder AVs draaien). Het verkeer van deze hash-controle is kleiner dan DNS aanvragen.
Dat snap ik natuurlijk ook wel, leg het alleen globaal uit.
Je bent blijkbaar niet op de hoogte hoe HitManPro van SurfRight normaal gesproken werkt. Bij dit programma worden bepaalde bestanden geüpload naar zoals SurfRight dat noemt de scanwolk en vervolgens worden bestanden met verschillende virusscanners gecontroleerd in de 'cloud'. Dit is anders dan bij andere virusscanners waarbij bestanden direct op jouw computer worden gescand met vooraf gedownloade virusdefinities.
Als het het browsen niet teveel vertraagt kan ik alleen maar zeggen handig. Zeker omdat je vaak niks in de gaten hebt als ze het doen en virusscanner maar eens in de zoveel tijd checkt.

En "dat soort sites bezoek ik niet", dat kan ook een keer per ongeluk via een zoekresultaat wat je dan aanklikt :)
Of via advertenties op wel 'betrouwbare' sites, dat is via nu.nl nu al 2 keer gebeurd...
Installeer dan Ad Block Plus..

Voor Chrome hier
Voor FireFox hier
Kan deze ook het "police virus" tegenhouden? Ik heb dit nu al 3 keer opgelopen terwijl ik zocht naar voorbeeld code voor arduino :?
Daar is Hitman Pro Kickstart weer voor...
Het programma is maar 1.699 KByte en bestaat uit 1 file welke zich nestelt als service.

Het heeft geen online-verbindingen met het internet en benut geen (expliciete) database.

Zou dit programma dus never-the-nooit niet hoeven worden ge-update ?

Edit: @Rass, dat vroeg ik mezelf dus ook af...

[Reactie gewijzigd door BitBooster op 3 juli 2013 16:06]

Er zit ook een hmpalert.dll in je browser om het geheugen van je browser te controleren op API omleidingen. Via deze hmpalert.dll werkt hij zich bij.

[Reactie gewijzigd door erikloman op 3 juli 2013 16:07]

Ik heb het ook geinstallleerd, maar browsen is er niet meer bij.
Iedere keer als ik de browser opstart, killed hitman het.
Verwijderen via -extoff werkt niet, want dan is het ook nog actief.

Meer mensen hier hinder van?


Update:
Nadat ik de browser heb gedeinstalleerd, en daarna weer geinstalleerd, doet ie ut weer, incl hitman

[Reactie gewijzigd door TheDragonNL op 3 juli 2013 18:25]

Nee, bij mij werkt het gewoon :o
Merk helemaal geen performance issues of wat dan ook. (Chrome 27)
Na installatie je browser herstarten geeft het aan ;)
Gelijk gedownload ben benieuwd ;)

Mijn AVAST vind al 30 virussen maandelijks bij mij en meeste kreeg ik binnen via browsen (internetten)
Niet op kinderachtig te doen ofzo maar als je 30+ per maand vind /tegen komt doe je toch wat fout.
Ben ik niet met je eens. Vaak wordt er door gelinkt naar onbetrouwbare sites. Of als je b.v. op oude drivers of win 7 drivers voor oude hardware wordt je ook naar de meest onmogelijke sites gestuurd. Sites waar foto's, plaatjes en filmpjes worden gehost...
Of, en dan zit je idd op het randtje, serial keys en keygens.
Vandaar ook dat internetters enorm bedreven moeten zijn in het beoordelen van wat ze voor zich hebben. Het internet zoals het nu ingericht is, is voor leken bijna niet 100% veilig te gebruiken. Banners die er exact zo uitzien als een downloadknop, popups die je maar een fractie van een seconde ziet voordat ze naar de achtergrond gaan, takeovers die de hele achtergrond van een website aanklikbaar maken; allemaal erg lastig voor niet technische surfers. En inderdaad: de zoektocht naar bijvoorbeeld een driver kan voor niet-Tweakers vreemde wendingen aannemen.

Deze complexiteit van het internet (of onkunde van de gebruiker, net hoe je het wilt zien) is dan ook een grote oorzaak van malware, virussen, tracking cookies, enz.

[Reactie gewijzigd door geert1 op 3 juli 2013 16:26]

pron-sites bezoeken fout?
Ligt eraan welke websites je bezoekt denk ik :+ Maar 30 per maand is wel belachelijk veel. De virussen die ik op jaarbasis binnen krijg zijn op een hand te tellen en vaak zijn het van ongevaarlijke dingetjes.
Ja 30 per maand is wel overdreven veel dan weet ik niet wat je allemaal download of bezoekt, maar lijkt erop dat je zeker niet oplet dan wat je binnenhaalt.
Bij mij is het ook wat ik per jaar krijg denk ik op 1 hand te tellen.
Weet je zeker dat het virussen zijn en geen tracking cookies. Ik krijg bij het scannen alleen maar tracking cookies en nooit virussen. De enige virussen die ik ben tegengekomen kwamen van cracks en keygens.

Als het echt virussen zijn, wordt het eens tijd dat je je pc volledig gaat scannen met HitmanPro en Spybot. Je kan de pc ff niet gebruiken maar dat weet je zeker dat er geen rare dingen gaan komen.
Ik gebruik google chrome.

En jah ik download veel maar ik krijg het meestal gewoon als ik een website bezoek zoals nu.nl of dergelijke andere websites.

Maarjah ik heb mijn internet security van AVAST ook hoog ingesteld.

maar bij mijn ouders zie ik het ook terug die krijgen ook regelmatig virussen binnen moest laatst nog heel hun computer opnieuw installeren.
Niet elke melding in je virusscanner is een virus; het gaat zeer waarschijnlijk inderdaad om tracking cookies zoals hierboven genoemd. Die zijn niet schadelijk voor je computer, maar eventueel wel voor je privacy. Van nu.nl krijg je geen 30 virussen per maand. Gelukkig maar :D
Nee hoor. Maar wel risicovol als je niet weet wat je doet. :P Geld trouwens voor veel sites. Gedrag is nog de beste virus filter die er is :D
Browsen met IE(7)?
Denk dat hij tracking cookies meetelt...
Hoe kom je in vredesnaam aan 30 virussen per maand?

anyways, het programma verbruikt niet zoveel resources.
Begint bij een 9,5MB RAM of iets dergelijks en per extra tab (in chrome) komt er 0,1MB bij en de cpu status ervan bleef altijd op 0% staan.

[Reactie gewijzigd door SmokingCrop op 3 juli 2013 15:16]

Hoe kom je in vredesnaam aan 30 virussen per maand?
Misschien heeftie een DNS verkeerd staan. Heb ik ook ooit een keer gehad, nadat ik wou testen mijn browser en mijn virusscanner waren opgewassen tegen zo'n MSN virus. Niet dus... M'n hele virusscanner werd gek tijdens het browsen, omdat hij de gehele tijd trojans naar binnen haalde }:O .
Naar een tijdje zoeken, kwam ik achter het euvel.... (de DNS) Tegenwoordig heb ik nooit geen virussen meer. Je moet gewoon weten waar je wel en niet op moet klikken. Zelfs wanneer wanneer je sexuele educatie aan het kijken bent. Natuurlijk zorgt Adblocker er ook voor dat je minder snel op de verkeerde dingen klikt.
anyways, het programma verbruikt niet zoveel resources.
Begint bij een 9,5MB RAM of iets dergelijks en per extra tab (in chrome) komt er 0,1MB bij en de cpu status ervan bleef altijd op 0% staan.
Niet alleen de grootte van het programme is klein, maar uitermate snel omdat het alles uitvoert via de cloud. Hitman pro scant niet alle bestanden, maar alleen de directories op bekende naamgevingen van virussen. (als ik me niet vergis)
Combo van foute sites bezoeken en een anti-virus programma gebruiken wat zo lek als een mandje is :p
Je kunt dan misschien nog beter in een virtuele omgeving surfen (bijvoorbeeld via Sandboxie of Shadow Defender).
Dan wil ik niet weten welke websites jij allemaal bezoekt...
ik zou dat best willen weten.
dan kunnen die meteen op mijn blacklist
Ik heb de Alert-tool na een dag weer verwijderd. Die opdringerige groene balk die iedere keer rechtsboven in beeld kwam (en over de "Bladwijzers knop bleef zweven) zat me te irriteren. Dat mogen ze van mij wel wat subtieler verwerken voordat ik die software weer ga installeren.
Geinstalleerd eens zien of het effect heeft, net weer 2 PC's moeten repareren welke allebij het System Care Antivirus virus hadden. en allebij via de browser geinfecteerd.
Ik weet niet of de mensen van SurfRight hier ook lezen, maar taalinstellingen zouden handig zijn. Net geinstalleerd op de bak van mijn vrouw, waar een NL windows op staat. (Kwam bij de pc.) En dus staat dit ook in het Nederlands.
Maar het draait, weegt niets, en geeft een stukje extra veiligheid.

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True