Trojan gevonden die MS AntiSpyware uitschakelt - Update

Trojan horse Antivirusexperts bij Sophos hebben het eerste stuk malware ontdekt dat het onder andere voorzien heeft op Microsofts nieuwe antispywaretool. De Troj/BankAsh-A-trojan is ontwikkeld om ongemerkt wachtwoorden van bijvoorbeeld bankaccounts te ontfutselen van Windows-gebruikers. Verder schakelt het Trojaanse paard Microsoft AntiSpyware uit en worden alle bestanden van de applicatie uit de programmadirectory verwijderd. Volgens Graham Cluley, senior technologieconsultant bij Sophos, is dit de eerste keer dat malware zich tegen Microsofts antispywaresoftware richt. Hij verwacht echter dat in de nabije toekomst meer malware hetzelfde zal doen, vooral omdat steeds meer gebruikers deze software zullen gebruiken om hun computer schoon te houden van malware.

Update: Het feit dat dit de eerste malware zou zijn die zich tegen Microsoft AntiSpyware richt, valt overigens te betwijfelen. Zoals bekend kocht Microsoft voor dit programma het bedrijf Giant op en is de huidige AntiSpyware-applicatie nog bijna onveranderd in vergelijking met Giants software. Er waren in het verleden bovendien al trojans en andere malware die probeerden Giant AntiSpyware te elimineren en aangezien zelfs de bestandsnamen van het programma nog identiek zijn, viel het dus te verwachten dat malwareschrijvers zich ook op Microsoft AntiSpyware zouden gaan richten. Bovendien bestaat er ook malware die zich op concurrenten Ad-Aware van Lavasoft en Spybot Search & Destroy richt. Ook dit kan als een aanwijzing beschouwd worden dat nieuwkomers in de markt zich tegen een aanval zullen moeten wapenen.

Reacties (53)

DriesA 10 februari 2005 20:00

MS Antispyware downloadt automatisch updates op regelmatige basis, ik krijg hier toch wekelijks zo'n popup met een succesvolle update-melding.

Kan MS deze trojan niet in zijn spyware-definities plaatsen als een soort zelfverdediging? Dan is er toch geen probleem?

Verwijderd @DriesA • 11 februari 2005 00:16

Die definities komen natuurlijk pas nadat de trojan het levenslicht heeft gezien en de wereld bewust heeft gemaakt van zijn bestaan.. een probleem zal het dus altijd zijn.

Tenshi818 10 februari 2005 20:13

ms anti spyware zit nog in beta dus niet zo vreemd dat er nog bugs in zitten. Vind ms anti spyware niet eens zo slecht ik werk in een computer winkel waar reperaties worden uitgevoerd enzo maar ik zie vaak dat virussen en spyware een hele machine overhoop halen. En met ms anti spyware heb ik all een aantal keren spyware gevonden en verweiderd die niet door hitman werdt opgeruimt.

Ik kan iedereen aanraden om meer dan 1 anti spyware tool te gebruiken kan zelf "hitman Pro" aan iedereen aanraden daar zitten verschillende bekenden spyware programma's in. Deze kan hier gevonden worden: http://www.hitmanpro.nl/

Verwijderd @Tenshi818 • 10 februari 2005 20:38

MS Anti Spy heeft het label beta, maar dat is het niet. Het is gewoon het programma van Giant, wat al tijden prima heeft gedraaid. De enige echte verandering die ik tot nu toe op heb gemerkt is dat ze een search and replace hebben gedaan op giant->microsoft. Voor de rest is er niet veel veranderd.

En het blijft zo ongeveer het beste progsel wat er is

Rembert @Verwijderd • 10 februari 2005 21:32

Dat was mij ook opgevallen, en ze hebben er even snel het logo van Microsoft ingeplakt, want echt netjes staat het er niet in. Ook de hele interface is niet 'des microsofts' maar ongetwijfeld gaat Microsoft die interface op termijn helemaal ombakken tot hun eigen standaard, net zoals ze bv. Frontpage volkomen vernaggeld hebben nadat ze het hebben overgenomen.

Cybergamer @Tenshi818 • 11 februari 2005 15:23

Ik kan iedereen aanraden om meer dan 1 anti spyware tool te gebruiken kan zelf "hitman Pro" aan iedereen aanraden daar zitten verschillende bekenden spyware programma's in. Deze kan hier gevonden worden: http://www.hitmanpro.nl/

Idd ! Hitman Pro werkt super, keb het nu zelf 2 weken draaien. Inmiddels ook al installed bij verschillende familie leden en vrienden. Echt een must-have !

Verwijderd 10 februari 2005 23:01

@memphis. Er blijft een verschil tussen virussen en spyware, een met virussen besmette PC zendt virussen uit.
Een met spyware besmette PC zendt geen spyware uit.

assembler @Verwijderd • 11 februari 2005 08:40

Het begint er ander wel op te lijken!

en worden alle bestanden van de applicatie ... verwijderd

sus 10 februari 2005 20:11

...is dit de eerste keer dat malware zich tegen Microsofts antispywaresoftware richt...

Vind ik niet gek, het is net op de markt. Nu al een trojan die dit voor elkaar krijgt, terwijl er niet eens een lampje gaat branden. Zegt dit iets over de kwaliteit van de AV-tool of van de trojan.

Ik ben blij dat ik de overstap heb kunnen maken naar Linux, waar ik veel minder kans heb op dit soort dingen. (En dit is niet als flame op MS bedoeld, ik werd gewoon scheitziek van alle virussen en andere zooi die steeds ongewild op mijn pc kwamen)

Jaap-Jan @sus • 10 februari 2005 21:32

Ja, Linux is geweldig, maar dat terzijde

.

Je mag je reactie wel eens wat kritisch bekijken, Microsoft Antispyware is spy- en malware cleaner, en geen Antivirustool. Dus de kwaliteit van voornoemd product is absoluut niet af te lezen aan de hand hiervan.

Laten we wel hopen dat Microsoft met de aankoop van Sybari er wel voor zorgt dat Microsoft Antispywarevirussen buiten de deur gehouden worden

.

Ik denk ook niet dat er niet op alle computers niet direct een lampje gaat branden. Vandaag of morgen zullen de grote antivirustools wel een update klaarhebben van de definities.

Verwijderd @Jaap-Jan • 10 februari 2005 22:29

[quote] Laten we wel hopen dat Microsoft met de aankoop van Sybari er wel voor zorgt dat Microsoft Antispywarevirussen buiten de deur gehouden worden {quote]

Sybari produceerde toch meer antivirus producten voor servers (exchange)??

Volgens mij komt er niet echt iets van Sybari (nu dan Microsoft) dat die antispyware virussen buiten de deur houdt.

Jaap-Jan @Verwijderd • 10 februari 2005 22:56

Sybari is inderdaad bekend van hun antivirus voor exchange en Lotus Notes, maar uit het nieuwsbericht van tweakers haal ik: "Sybari is de producent van antivirus-, antispam- en e-mailfiltersoftware voor de grotere bedrijven." Deze term lees ik ook uit andere nieuwsberichten. Mij is het dus nog niet duidelijk welke kant Microsoft uit wil met deze software en ook van andere websites weet ik niet wat Microsoft van plan is. Niet eens speculaties.

Maar je hebt gelijk, het kan zijn dat Microsoft zich niet gaat richten op de desktop.

HardinxCore @sus • 10 februari 2005 22:50

"Ongewild op je pc"?? Wat een onzin! Ik heb m'n pc al meer dan een jaar draaien, zonder spyware bescherming.
ik zit elke dag zo een 4uur ermee op het internet. En echt niet alleen op nu.nl of tweakers.net. vandaag gescand op spyware, en niet één!() infectie gevonden!
Dus het licht echt wel aan de gebruiker. Op m'n werk maak ik het ook dagelijks mee dat de gebruikers zogenaamt nooit er iets aan kunnen doen.

maar ondertussen... Met een beetje gezond verstand hou je die rommel zelf met gemak tegen.

Verwijderd @HardinxCore • 11 februari 2005 09:03

je gaat mij niet vertellen dat er zelfs geen alexia gevonden werd

sus @HardinxCore • 11 februari 2005 00:42

Ik had in die tijd ook weinig tot geen last van virussen en andere zooi, maar degene die er zo af en toe waren (vooral spyware) heb ik nooit een oorzaak van kunnen acherhalen.

Je mag je reactie wel eens wat kritisch bekijken, Microsoft Antispyware is spy- en malware cleaner, en geen Antivirustool. Dus de kwaliteit van voornoemd product is absoluut niet af te lezen aan de hand hiervan.

Je hebt 100% gelijk. Ik dacht ff dat het over MS-AntiVirus ging. Verkeerd gelezen. Maar dan nog, er mag best een klein lampje gaan branden vind ik dan...

Mick @sus • 11 februari 2005 02:25

Ik ben blij dat ik de overstap heb kunnen maken naar Linux, waar ik veel minder kans heb op dit soort dingen.

Is het voor Linux/Unix eigenlijk ook inherent moeilijker om dit soort virussen/spyware te schrijven?

De rechten zijn beter geregeld, het zit standaard meer dichtgetimmerd (als je tenminste niet steeds als root inlogt), dus ik zou me voor kunnen stellen van wel. Maar wellicht kom je daar als malware-bakker toch makkelijker langs dan ik zo in eerste instantie denk.

Dit dus afgezien van het feit dat Linux door de mindere gebruikersomvang minder interessant is als doelwit.

Sfynx @Mick • 11 februari 2005 03:46

Het ligt niet zozeer aan het OS. Het ligt aan dat root-verhaal en dus aan een zeker persoon tussen de stoel en het beeldscherm. Ik zie iedereen om me heen alleen maar inloggen als Administrator onder Windows en als ik zeg dat dat gevaarlijk kan zijn, kijken ze me aan alsof ze water zien branden. Nooit als Administrator inloggen als het niet nodig is, never! Met een User of Power User account kan je prima werken in Windows XP. En dan heeft eventuele prut die je binnenhaalt gewoon de rechten niet om iets in een programmadirectory te verwijderen/veranderen.

Programma's die per se hun configuratie in de programmadirectory (of nog erger: de Windows-directory) willen opslaan, zullen dan niet meer werken... maar die rommel mijd ik dan ook als de pest.

Het wordt trouwens ook eens tijd dat Microsoft het 16-bit subsystem en alle andere compatibility-zooi uit Windows sloopt... als ik ouwe meuk wil draaien installeer ik wel een oude Pentium ofzo.

Daventry @Sfynx • 11 februari 2005 10:20

Helaas zou de gemiddelde linux gebruiker maar al te graag een root paswoord ingeven wanneer ie een attachment britneynude aankrijgt

Tijd om na het rijbewijs ook het internetbewijs in te voeren

Verwijderd @Sfynx • 11 februari 2005 13:47

@Daventry: Ik heb nog nooit een wachtwoord voor een attachement hoeven in te voeren. Om een wachtwoord in te voeren moet er code worden uitgevoerd en linux programma's slaan de attachments niet uitvoerbaar op. Wel kan je een .sh extentie koppelen aan bash maar als je dat dan uitvoerd moet er toch een lampje gaan branden dat er iets niet klopt.

Daarbij komt dat de gemiddelde linuxgebruiker juist niet het rootwachtwoord invoert. Omdat de gemiddelde linux gebruiker op het moment waarschijnlijk geen n00bje is. In de toekomst kan dit veranderen als linux meer voet krijgt bij de thuisgebruikers/desktopmarkt.

Flax @Mick • 11 februari 2005 07:55

Binnen Linux/Unix zijn zowel ontwikkelaars / gebruikers zich ervan bewust dat applicaties niet moeten draaien als Administrator (root), sterker nog, er zijn programma's die zelfs een foutmelding geven wanneer je dit doet

.

Binnen de Windows wereld is dit niet zo gebruikelijk, want je ziet dat een hele hoop mensen gewoon als Administrator applicaties draaien. Het is zelfs zo dat wanneer er applicaties niet draaien zonder dat ze Administrator rechten hebben, de ontwikkelaars zeggen dat je het programma -natuurlijk-wel- als administrator moet draaien (wat de klant blijkbaar ook nog accepteerd)

Verder heeft linux meer de neiging om wat spartaanser te zijn, waarddoor automatische scripting en dat soort dingen minder standaard wordt aangeboden (maar dat ik hard aan het veranderen)

Ikke_Niels @sus • 11 februari 2005 09:37

Naar mijn mening zegt dat niet iets over de AV-tool. Suspicious. Het programma is niet verweven in het systeem ofwel gewoon te verwijderen. Laten we zo zeggen als ze dir naam veranderen in de trojan kan in principe elk programma verwijderen. Iig het is te verwachten M$ krijgt altijd de pik op zich

Ach hitmanpro

s006110 10 februari 2005 20:33

gebruik zelf ms anityspy icm met adwatch en werkt perfect!!! krijg bijne geen troep meer binnen en de troep die binnen komt word verwijdert door hitmanpro!

Kolky1 @s006110 • 10 februari 2005 21:28

Of je zorgt ervoor dat je geen Spyware krijgt

Gewoon geen pr0n sites bezoeken

hehe...

Maar idd ms AntiSpyware werkt uitstekend.

Kurgan @Kolky1 • 10 februari 2005 22:37

Gewoon geen pr0n sites bezoeken hehe...

Shit dan kunnen we 70% van het internet dus wel gedag zeggen...

s006110 @Kolky1 • 10 februari 2005 21:54

okee maar wat denk je van russische warez sites??
hebben ze mooi spul alleen super veel spyware. En als je wat download geven ze gelijk een virus mee....
maar KASPERSKY RULEZZ haal t er alles uit!!

Verwijderd @s006110 • 12 februari 2005 14:29

Uhh, die Ad-Watch waar jij het over hebt is een onderdeel van Ad-Aware Pro. Als je het netjes doet moet je hiervoor betalen. (Al doen de meeste tweakers hierwel alsof ze zo netjes zijn... NOT!) De tool van Microsoft is (voorlopig) freeware. Gezegd moet worden dat dit gewoon de tool van Giant is. Geef ze ook eens de kans om te bewijzen dat ze (MS) wel de goede kant op willen. Zelf gebruik ik ook nog Spy-Sweeper van Webroot, als aanvulling.

Btw, iemand al hun nieuwste tooltje in gebruik? Phish-Net, tegen Phishing?

memphis 10 februari 2005 20:30

Wordt het toch tijd dat men spyware als een virus gaan zien, kan het wettelijk veel harder aangepakt worden....

Interstice 10 februari 2005 23:02

Hmmm dit is toch niets nieuws ? virussen die anti virus proberen te verneuken ?? Okee dit is dan geen anti virus tool maargoed malware die anti malware probeert uit te schakelen? Ik heb zelf vroeger nog wel meegemaakt dat een virus heel norton platlegde.. feest was dat maargoed dit is dus niets nieuws behalve dat het goed is om te weten dat het kan natuurlijk....

Freee!!

11 februari 2005 03:19

Is het toeval, of heeft de maker van dit "fraaie" werk het opzettelijk direct na de maandelijkse update van Microsoft losgelaten (zoals ik al een keer voorspelde)

LightYears @junkchaser • 10 februari 2005 20:18

Vergeet niet dat microsoft producten worden aangevallen omdat het microsoft is. Zo kán een veel gebruikt niet microsoft product zo lek als een mandje zijn terwijl het microsoft variant ervan erg vaak wordt gepatched om aanvallen te voorkomen.

Uiteindelijk zal juist het microsoft product dus veiliger worden omdat die meer "getest" wordt.

Pietervs @LightYears • 11 februari 2005 15:09

Uiteindelijk zal juist het microsoft product dus veiliger worden omdat die meer "getest" wordt.
Pardon? Dit valt zo'n beetje in de categorie: "het is geen bug, maar een feature"... Onzin dus. Microsoft producten worden keer op keer op keer als onveilig aangemerkt, ook door onafhankelijke bronnen. Zodra het ene lek gedicht is, komt het andere lek naar voren. En MS is niet bepaald de snelste met het dichten van lekken.
Begrijp me niet verkeerd: ik gebruik zelf ook (veel) MS producten. Maar ik scan mijn PC dan ook regelmatig, met meerdere producten, op zowel virussen als spyware.
Maar kreten zoals die van "Light Year" laten zien dat er toch een bepaalde naïviteit heerst m.b.t. de veiligheid van MS!

Verwijderd 11 februari 2005 10:32

Ik vraag me echt af of er wel programma's bestaan die bestand zijn tegen spyware. ik heb er al zoveel gebruikt maar er is altijd wel spyware die ik niet van mn pc af krijg.
( coolwebsearch bijvoorbeeld) en daar helpt CWShredder, adaware, spyboy, spyware doktor en Giant of MS antispyware ook niet tegen. Het enige dat helpt is formatteren en hopen dat je die troep niet opnieuw op je pc krijgt. Is er een wonderdokter in de zaal?
Hoe dan ook, ik hoop dat er in de toekomst iets komt dat echt bestand is en blijft tegen spyware

Daventry @Verwijderd • 11 februari 2005 11:38

is CWShredder niet juist speciaal gemaakt om CoolWebSearch er af te flikkeren

LiGHtNiNG! @Verwijderd • 11 februari 2005 13:55

Een infectie met CoolWebSearch heb je in 99,9% van de gevallen toch echt aan jezelf te danken.
Heeft voornamelijk relaties met vage KeyGen's en van die webpagina's waar voornamelijk skin te zien is en die graag vanalles willen installeren.

Doktersadvies: get a girlfriend en koop je software.

blorf @LiGHtNiNG! • 11 februari 2005 16:40

Daar ben ik het niet mee eens. Je kunt niet van doorsnee gebruikers verwachten dat ze weten naar welke sites ze niet moeten gaan. Bovendien is CoolWebSearch al geinstalleerd voordat je uberhaupt op Ok of Cancel of X hebt geklikt. IE is dit ook voor een groot deel te verwijten. Het is toch eigenlijk te gek voor woorden dat een programma zich kan installeren zonder toestemming van de gebruiker! Dat noem ik geen beveiligingsprobleempje, maar een zwaar mankement.

LiGHtNiNG! @blorf • 11 februari 2005 17:39

Als je XP SP2 hebt met normale (standaard) beveiligingsinstellingen voor je internet zone moet je toch echt wel bewust akties ondernemen of op executables gaan klikken om het aktief te krijgen.
Je kunt wel degelijk van een doorsnee gebruiker gaan verwachten dat ie weet dat hack/crack/porno sites de numero-uno bron zijn van dit soort bende.
Tegen domme gebruikers is geen stuk enkel antispyware/antivirus programma of beveiligings instelling bestand.

Tuurlijk er zijn situaties waar zelfs een geoefende gebruiker intrapt of weinig tegen kan doen bij zeer recente exploits maar dat is MEESTAL niet de oorzaak. Met gewoon een beetje nadenken kom je een heel eind. nitwit of niet.

Ik vind het meestal kwalijker dat op betreffende sites heel netjes uitgelegd wordt hoe je beveilingsniveau terug te schroeven en betreffende zeer nodige (not) plugin of whatever te installeren. DAAR gaat het fout, ook wel social engineering genoemd. Werkt nog veel beter als een hole wat MS zelf achterlaat door een bufferoverflow hier of daar.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (53)

Sorteer op:

Weergave: