Trojans verspreid via downloadmanager

Hackers hebben via de gratis downloadmanager Flashget malware verspreid. Door enkele bestanden van het programma aan te passen, werden automatisch trojans gedownload en op het systeem van gebruikers geïnstalleerd.

De hackers hebben toegang weten te krijgen tot de server van Flashget, zo meldt Viruslist. Op de server hebben ze niet alleen enkele installatiebestanden van Flashget aangepast, maar ook trojans neergezet. De trojans werden door de aangepaste installatiebestanden automatisch en zonder medeweten van de gebruiker gedownload en geïnstalleerd.

Volgens Viruslist hebben de trojans van 29 februari tot en met 9 maart op de server van Flashget gestaan. Diverse gebruikers van Flashget maakten op het forum van de downloadmanager melding dat hun antivirusprogramma een geïnfecteerd programma had gevonden, maar de ontwikkelaars hebben tot op heden niet gereageerd. Wel zijn de installatiebestanden van Flashget op de server weer in originele staat teruggezet en is het lek in de server gedicht.

Reacties (47)

Petervanakelyen 15 maart 2008 16:33

Wel spijtig, als je alle reacties in het forum leest lijkt het alsof iedereen nu van FlashGet af wil , terwijl FlashGet zelf geen virus is...

wildhagen

Malware
Beveiliging

@Petervanakelyen • 15 maart 2008 16:43

Op zich niet zo raar... als ze security op hun website kennelijk niet erg belangrijk vinden, kan je je afvragen of ze dat in hun programma dan wel een hogere prioriteit gegeven hebben. En je loopt als klant dan dus wel een risico als er ook een gat in hun software blijkt te zitten en jouw PC dus ook vulnerable word door hun software.

Temeer omdat er kennelijk ook nog eens geen integriteits-controles worden uitgevoerd binnen het bedrijf, want een site gehacked is nog tot daaraantoe, maar dat dat 10 dagen lang onopgemerkt blijft (door het bedrijf) is nu niet bepaald vertrouwenwekkend.

En dan het feit dat er van de ontwikkelaars dus 0,0 reactie is. Kennelijk vind men een goede relatie met hun klanten totaal onbelangrijk daar.

Al met al zou ik hun software ook liever niet op mijn PC hebben als ik dit allemaal bij elkaar op tel, het is gewoonweg niet acceptabel dat een leverancier zo schandalig met zijn gebruikers/klanten omgaat.

[Reactie gewijzigd door wildhagen op 23 juli 2024 04:53]

Verwijderd @wildhagen • 16 maart 2008 01:38

Het bedrijf had het vast nooit opgemerkt, als z'n klanten/gebruikers het nooit hadden opgemerkt. Wat de reactiesnelheid betreft via fora: Er zijn maar weinig bedrijven die hun fora gebruiken om met de klant te communiceren. Het is meer een ruimte waar gebruikers onderling kunnen ouwehoeren over het wel en wee van een programma of dienst.

The Zep Man

Netwerk en systeembeheer
Beveiliging
Malware

@Petervanakelyen • 15 maart 2008 16:56

Wel spijtig, als je alle reacties in het forum leest lijkt het alsof iedereen nu van FlashGet af wil , terwijl FlashGet zelf geen virus is...

Flashget heeft kennelijk de mogelijkheid om uitvoerbare code mee te sturen via hun ingebouwde advertentiesysteem. Zo'n downloadmanager zou ik uberhaupt niet vertrouwen.

Twee soorten beveiligingslekken zijn misbruikt: op hun eigen server en ook nog eens in hun software.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 04:53]

SuperDre @The Zep Man • 15 maart 2008 17:38

Hoe weet je dat het daar om zou gaan? het kan ook gewoon zijn dat er bepaalde dll's vervangen zijn door dll's waarin de trojan zich bevindt, en dat het update programma van flashget het gewoon bijwerkt..

Het is dus geen beveiligingslek in jouw software als iemand jouw software vervangt door andere, daar kan niemand wat tegen doen.. Het beveiligingslek van de server is iets anders, maarja ook daar is het natuurlijk twijfelachtig want het is tegenwoordig zo ingewikkeld om je webserver goed te beveiligen, dat is gewoon een dagtaak apart.. Misschien dat zij dus gewoon webruimte huren dan kunnen zij er zowiezo niet echt iets aan doen behalve hun leverancier hiervoor verantwoordelijk stellen..
Het is allemaal dus helemaal niet zo simpel als dat jij het nu voorstelt..

bush @SuperDre • 16 maart 2008 09:17

Daar kan jou programma wel iets aan doen.

Een programma die "automatisch" downloads accepteerd moet op z'n minst alleen files accepteren die getekend zijn met een vertrouwd certificaat.
Dit alleen had deze "aanval" kunnen voorkomen.

Veel programmeurs vinden onderekenen van hun binaries lastig en overbodig, maar het kan veel ellende voorkomen.

Sakkesa @bush • 16 maart 2008 14:30

Ze hebben echter de installatiebestanden van Flashget aangepast, waarschijnlijk zal de orginele versie dus de trojans niet automatisch installeren, maar de door de hackers aangepaste versie wel.
Om het dan op de programmeurs van FlashGet te steken vind ik niet terecht, het gaat namelijk om een door derden aangepaste installatiebestanden die aangepast worden om misbruikt te worden.

BlackOwl @Petervanakelyen • 16 maart 2008 02:42

De viezigheid is dat je via FlashGet wel virussen binnenkrijgt.
Ook al is.FlashGet zelf geen virus zo een ingang voor een virus om binnen te komen zou ik ook graag zo snel mogelijk dumpen.

Patriot @Petervanakelyen • 15 maart 2008 16:38

Natuurlijk is FlashGet niet het virus, maar het moge duidelijk zijn dat het vertrouwen in het programma behoorlijk veel schade heeft opgelopen.

Verwijderd @Patriot • 17 maart 2008 07:35

Bij mij is dat inderdaad het geval. Niet door de besmetting maar door de houding van de programmeurs. Ik schat dat het twee weken geleden is dat ik tegen de besmette bestanden aanliep. Heb het gemeld maar heb verder geen reactie gehad; noch email terug, noch iets op de site (ben na een week gestopt met kijken). Een vals alarm is altijd mogelijk maar ik zou als site meteen reageren, al was het maar in de geest van "Bedankt, we checken het even". Kleine moeite IMHO.
Ik heb na de melding een back-up terug gezet en de automatische update uitgeschakeld. Ik bezin mij nog of ik op een ander programma overstap.

Verwijderd 15 maart 2008 17:21

blijkbaar is het gebruik van checksums bij het downloaden van software geen overbodige luxe!
Dan had je meteen gezien dat er geknoeid is geweest met het programma.
de open source gemeenschap maakt er veelvuldig gebruik van.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 04:53]

Acheron @Verwijderd • 15 maart 2008 17:32

Voor Windows bestaat er ook de mogelijkheid je software digitaal te ondertekenen. In Windows Vista wordt je als je software download in ieder geval erop gewezen. Voor systeembeheerders is er ook de mogelijkheid om Windows zo in te stellen dat alleen software met een geldig certificaat mag worden uitgevoerd.

SuperDre @Acheron • 15 maart 2008 17:41

Dan draait er ineens een hoop software niet meer.. Heeeeeeeel veel software is niet digitaal ondertekend, tja vindt je het vreemd, weet je hoe duur het is om software digitaal te laten ondertekenen..

Nijn @SuperDre • 15 maart 2008 17:50

Dan draait er ineens een hoop software niet meer.. Heeeeeeeel veel software is niet digitaal ondertekend, tja vindt je het vreemd, weet je hoe duur het is om software digitaal te laten ondertekenen..

Een certificaat om software te ondertekenen is niet eens zo gek duur. Driver signing is heel iets anders natuurlijk.

Sterker nog, je kunt ook gewoon met een zelf gegenereerd certificaat software signen. Voordeel daarvan is dat de gebruiker het ziet als de signature afwijkt van het bestand zelf. (Al kun je daar natuurlijk wel omheen door als virus zelf een signature te maken of de signature te verwijderen)

Verwijderd @Nijn • 15 maart 2008 19:50

Geen waterdichte optie. De beste optie is een reglogger bij een installer ernaast te laten lopen en zelf kijken wat deze installer doet met je systeem. Is het niet pluis? Rol je een image terug of een herstelpunt. Een virusscanner ziet echt niet alles en een optie in een installer met een keurige MZ ingang in de EXE (Een exe bestand begint sinds dos 1 met MZ in de binairies. De initialen van de uitvinder van de executable.

Kijk ntoskrnl.exe pak je niet vlug want dan is Windows over de zeik, maar user.dll is een piece of cake.

Nijn @Verwijderd • 15 maart 2008 21:19

Een grote fout binnen de IT is dan ook de 100% drang. Nee, het is geen 100% oplossing, maar het meeste houd je hiermee buiten. Een oplossing hoeft niet persé fout te zijn omdat hij niet 100% is. Door simpelweg je bestanden te signeren houd je het simpelste gespuis buiten. Signeer je met een certificaat van bijvoorbeeld Verisign, dan kom je nog een stuk verder, omdat mensen dan de uitgever kunnen bevestigen. Iedere wijziging aan het bestand laat WIndows dan gillen en krijzen.

Een reglogger is leuk, maar ik zie m'n tante daar niet mee werken. Waar ik haar wel mee zie werken is Internet en een download manager.

SuperDre @Verwijderd • 15 maart 2008 17:39

Maarja als je software op een server kunt vervangen dan is het toevoegen van een nieuwe checksum dus helemaal niet zo moeilijk.. En als jij dat als enige middel zou gebruiken (bij oss) om te kijken of het correcte bestand is dan ben je toch behoorlijk naive..

Verwijderd @Verwijderd • 15 maart 2008 17:32

Maar als iemand toch bij die server kan, dan kan die er best ook een nieuwe checksum op zetten (toch? net als bij een patch?).

Correct me if I'm wrong.

w3rd 15 maart 2008 16:34

Ik gebruik het ook, maar snel even scanner eroverheen halen en FlashGet direct eraf gehaald. Lijkt er tevens op dat er zelf niets bij mij is geinstalleerd, versie 1.9.0.1012

n0valyfe 15 maart 2008 17:33

Ik heb op 9 maart geprobeerd FlashGet te downloaden van hun officiele site en deze was toen een half uur onbereikbaar en daarna weer we, ik neem aan dat ik net te ''laat'' het gedownload heb en dus niet geinfecteerd ben.

Verwijderd 15 maart 2008 19:30

Eigenlijk is het makkelijk spel want ben zelf een hacker.

->Je breekt in op een server (hoe, vertel ik niet)
->Je kijkt naar de hash van bestanden en injecteerd je eigen programma in de main executable zoals een installer en laat de hash zoveel mogelijk overeenkomen zodat bij een hashcheck vaak naar de hardware gewezen wordt omdat 1 byte afwijkt in de reeks (ook daar zijn tools voor, ja). Een hash is uniek en kan theoretisch niet nagemaakt worden door een injection. Daar zou je het op kunnen tracen als je het weet. Veel mensen hebben nog nooit van een hash gehoort

De metadata op NTFS verraden ook meer dan je lief is over je files. Deze zou je ook even kunnen editen.
->Mensjes gaan downloaden (is eenmaal hip) en downloaden een leuke MP3, installer van iets of een mooie verjaardagskaart in flash en hoppa, botnetwerk weer een botpc rijker.

PS: Vista bied hier geen verdere bescherming tegen, waarom niet?
Zodra UAC vraagt om de main executable uit te voeren voer je gelijk ook de bot uit die in de header aangeroepen wordt in een bestand en done.
(NOTE: Dit is NIET de schuld van Vista)

Een echt destructieve bot is zo gemaakt dat hij bij de detectie zijn payload al heeft afgegeven.

Een bestand van 40 MB gooi je niet door Jottie heen en daarom is het van belang om Hijackthis en spyboit in huis te hebben want met TEA timer van spybot krijgen bots het al stukke benauwder. Virusscanner is theoretisch gezien dan niet eens nodig. Gedragsanalyze is genoeg en van een installer verwacht je dat hij WIndows bijwerkt. Met een reglogger kun je elk programma/installer perfect nalopen

Even opscheppen

Ben vanaf 2001 niet meer besmet geweest met iets

De ultieme bot die volgend jaar verwacht wordt heeft de mogelijkheid om de manier van het berekenen van een hash te manipuleren zodat perfect gehashde bestanden alsnog destructief kunnen zijn.
Als jij een optie in de installer inbouwd met de vraag "wilt U deze optie installeren voor extra support" dan klikken de meeste mensen keurig op "Yes"of "Ok"

Geloof maar dat de crimescene op digitaal gebied zijn hoogconjuctuur nog moeten bereiken.
Wees beducht, maar niet bang. Met een goede dosis verstand kun je een hoop ellende voorkomen en ook als je geen computerexpert bent kun je veel voorkomen. 100% garantie heb je nooit, maar je weet dat downloaden illegaal is en daarom is het toch je eigen schuld als je besmet raakt. Ik weet wel een manier om alle downloaders van illegale content in een tekstbestand te loggen, maar ik maak slapende honden niet wakker

Ik vind .torrent toch fijner en betrouwbaarder.

TIP voor iedereen!
Schakel in TCP/IP opties TCP/IP filtering in bij de tab advanced bij TCP/IP instellingen zelf. Het is even zoeken, maar hij staat er hoe dan ook bij. Hierin kun je ook nog zelf poorten toevoegen of toestaan (net zoals bij een nat-router) en veel mensen weten niet eens dat de meest gedoodverfte firewall van Windows XP heel wat opties in huis heeft die louter via gpedit.msc zijn aan te roepen. Dat heet configuren $_/-\o_$

[Reactie gewijzigd door Verwijderd op 23 juli 2024 04:53]

Verwijderd @Verwijderd • 15 maart 2008 21:43

Mwa, hackers lopen daar meestal niet te koop mee.. over wat ze wel of niet kunnen..
dat kan je alleen maar in problemen brengen.

Mizitras

Systeem- en netwerkutility's

@Verwijderd • 16 maart 2008 00:56

"Ik heb bij bank X binnengebroken en dit en dat gedaan, [OPTIONEEL] en ook op deze manier!"

Dat zijn idd lulkoek verhaaltjes.

"Te koop mee lopen".... je bedoelt pochen als het om goedaardige zaken gaat; zulke informatie en de wijze waarop, delen niet ter goedertrouw, is logisch dat je dat niet zo rondverspreid en ook maar in beperkt geschelschap zou delen.

Heel wat 'hackers' zijn nog geen netwerkspecialisten, en andersom is niet elke netwerkspecialist een hacker. Zei ik trouwens dat het per se iets met netwerken hoeft te maken? Programma X werkt niet zoals ik dacht dat het zou werken, zoals het op de doos stond geadverteerd, ik pas het programma hier en daar aan, en voila... Dat is ook een vorm van hacken.

Google een keertje op Black hat hacker, en White hat hacker. Naast het verschil tussen de 'IT crimineel' en 'brave IT specialist' ga je (hopelijk) ook merken dat het gebied dat hacking beslaagt, niet enkel fysische netwerken zijn, maar ook menselijk netwerken, bestaande software manipuleren, nieuwe software schrijven, exploits tevoorschijn toveren, is en zoveel meer.

Een poort-scanner downloaden en los laten in een schoolnetwerkje of wat sniffen met MSN-gerichte sniffers, ... dat is gewoon 'afluisteren' en spelen. Echt techniek of wijsheid schuilt daar ook niet achter, en ik zie het wel vaker gebeuren dat mensen dit aan de relatief grote klok dan hangen, aangezien geeneens insiders ervan te weten komen.

TeXiCiTy @Verwijderd • 15 maart 2008 23:14

maar je weet dat downloaden illegaal is en daarom is het toch je eigen schuld als je besmet raakt

De "klokkenluider"hackers gaan nog wel, maar het betreft hier vrij te downloaden software die volkomen legaal is. Dat onschuldige gebruikers de dupe worden is en blijft toch naar. Hopelijk is het een hacker die het om de kick gaat en worden er geen bankrekeningen geplunderd.
Alles wat een mens nodig heeft is een password voor de server van de site. Google geeft je in no time links naar binders en trojans. Een kind kan de was doen.
Ik vraag me af of FlashGet op de een of andere manier hulp gaat verlenen aan de gebruikers van de besmette versies (via update oid) of "wijzelijk" zijn mond houdt.
Edit:Thnx voor de tip, was even zoeken maar heb een mooi menutje gevonden. Werkt die TCP-IP filtering in 2 richtingen of ook alleen voor verzenden zoals menig routertje?

[Reactie gewijzigd door TeXiCiTy op 23 juli 2024 04:53]

Verwijderd @Verwijderd • 16 maart 2008 01:47

Dan moet je 'm wel even echt configureren, en niet op "Alles toestaan" laten staan, wanneer je het vinkje (schakel tcp/ip filteren in) aanklikt. Dat is veel werk voor (zelfs meer dan) de gemiddelde gebruiker. De meesten weten echt niet of willen niet alle poorten nalopen die hun progs gebruiken. Daarnaast zou iedereen nog steeds via de niet gesloten poorten evengoed naar binnen komen. Trojan hier, trojan daar, en je bent klaar.

Edit:
Een lerende prog is wel veel beter. En werkt de WinXP firewall niet standaard als een lerende prog? Net als Zonealarm etc. Ik zie iig genoeg blocks in/uit in m'n windows firewall logfile.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 04:53]

Nielzie 15 maart 2008 21:26

De website van een populaire downloadmanager hacken en vervolgens een aangepaste versie neerzetten, die automatisch jouw trojans download en verspreid. Ze zijn wel erg sluw en listig te werk te gaan zeg. En toch begrijp ik niet dat er mensen met een intellect om dergelijke praktijken te bedenken zich met zo'n actie bezig houden. Is hier werkelijk zo veel geld mee te verdienen? Hoe dan?

Verwijderd @Nielzie • 15 maart 2008 21:45

Hoe? > is inmiddels te lezen in de quotes van voorgaande berichten..

Maar ik vind het wel erg toevallig.. in die tien dagen hadden ze al lang door moeten hebben dat de hash van hun installatiebestand niet meer klopte

..it smells fishy..

Mizitras

Systeem- en netwerkutility's

@Nielzie • 16 maart 2008 00:59

Nou, er waren al tig precedenten hoor. Dus nieuw en sluw gevonden ... niet echt. Geld mee te verdienen, hoe? Simpel voorbeeldje:
- Alle besmette pc's sturen random junk naar je ISP, die ligt weken lang lam, de concurrentie boert erop vooruit. Stom vb, maar je snapt het zo meteen.
- Alle besmette pc's gaan automatisch software downloaden, of luisteren al naar bepaalde user-input. Wat denk je van wachtwoorden? Paypal?

joopv 17 maart 2008 07:49

Ik vind dat de beheerders van zo'n site justitieel en financieel aangesproken moeten kunnen worden op de schade die ze aangericht hebben, door hun wanbeleid.

Als ze een fikse boete krijgen dan zullen de beheerders een andere policy gaan aanhouden vwb updates en beveiliging.

En wat mij betreft geldt dat ook voor thuisgebruikers die hun pc laten infecteren. Van internet afsluiten en een flinke boete geven. Op die manier krijg je vanzelf een betere beveiligings cultuur.

jc_hans 17 maart 2008 08:33

Heb zowiezo het niet echt op Download managers. Ik heb liever gewoon een venster met Save as... / Open / Cancel. En dan nog kijk ik 2x voor dat ik daadwerkelijk wat aanklik. Ok het artikel staat dat ook op de 'consument' gedeelte van Tweakers maar toch, ik neem aan dat gebruikers al wat slimmer zijn.

Maar hoe dan ook enigste download manager die ik gebruik is af en toe van FilePlanet. Maar hoe dan ook geef mij maar de directe download vensters.

Trasos

15 maart 2008 16:32

Ik snap sowieso eigenlijk nooit hoe die mensen op het idee komen om een server binnen te breken en om daar aangepaste software op te zetten. Wat is daar de lol van?

xdcx @Trasos • 15 maart 2008 16:33

Een botnet kan heel veel geld opleveren?

wildhagen

Malware
Beveiliging

@Trasos • 15 maart 2008 16:35

Op die manier kan je een botnet opzetten door bezoekers van die site te besmetten met een trojan.

En dat botnet kan je weer op ontelbare manieren gebruiken, bijvoorbeeld voor het versturen van spam, het hacken van andere PC's, DoS-attacks, stelen van informatie (passwords, creditcard-nummers, etc), enzovoorts.

Patriot @Trasos • 15 maart 2008 16:37

Het gaat natuurlijk niet om de lol. Als je malware installeert op een computer krijg je zoveel mogelijkheden om daar misbruik van te maken. Zo kun je bankgegevens stelen van iemand die aan internetbankieren doet, of je kunt accountgegevens van bijvoorbeeld Paypal stelen.

Dat is informatie waar je veel geld mee kunt stelen.

EDIT: Spuit 11, dat krijg je als je het scherm even open laat staan voor je reageert.

[Reactie gewijzigd door Patriot op 23 juli 2024 04:53]

retanik @Trasos • 15 maart 2008 16:34

het kunnen...

maar tis iig niet erg goede reclame voor flashget.
kheb zowieso niet erg van de download managers

Bitage @retanik • 15 maart 2008 17:36

Ik ook niet, maar ze kunnen soms nog wel eens verdomd handig zijn. Veel kunnen de downspeed aanzienlijk verhogen, zodat je sneller van sites als Download.com bestanden binnen kan trekken. Zulke sites hebben namelijk een download cap van zo rond de 30-40KB/s. Met een downloadmanager haal je deze met veel hogere snelheid binnen.
Ook wil het downloaden van zeer grote bestanden (denk aan ISO's van Linux distro's) niet altijd even soepel verlopen via een browser.

The Underminer @Bitage • 16 maart 2008 13:47

Download.com is idd een zeer goed voorbeeld. Wat downloadmanagers doen is meerdere verbindingen met de server leggen, waarmee elke verbinding een stukje van een bestand download. Als alle stukjes klaar zijn wordt daarmee het complete bestand weer geconstrueerd (net zoals met usenet). In het ideale geval(download.com) is de totale snelheid #stukjes * max snelheid per verbinding.
Zo kan ik Met Free Download Manager met 240kbps downloaden (8 stukjes) terwijl dat met firefox op 30 blijft steken

Verwijderd @Bitage • 15 maart 2008 17:46

en denk maar aan rapidshare, zo'n bestand van 4Gb binnenhalen is anders mensonwaardig veel werk :-D

Op dit item kan niet meer gereageerd worden.

Trojans verspreid via downloadmanager

Lees meer

Reacties (47)

Sorteer op:

Weergave: