Twee Britten gearresteerd wegens wereldwijde datadiefstal met Zbot-trojan

De Britse politie heeft twee mensen aangehouden op verdenking van het verspreiden van malware en het stelen van persoonlijke gegevens. Ze zouden hiervoor gebruik gemaakt hebben van een trojan die Zeus of Zbot genoemd wordt.

Volgens deskundigen is Zbot een van de meest geavanceerde trojans die ooit zijn gemaakt. Nadat het programma op een computer is geïnstalleerd kan het spam versturen, persoonlijke gegevens stelen of helpen bij een ddos-aanval. Zbot is erg lastig te detecteren en wordt door de makers verkocht inclusief een toolkit om er een eigen variant van te maken.

Volgens de politie hadden de twee gearresteerde Britten het programma op duizenden pc's weten te installeren. Zij hadden het geconfigureerd om er gegevens voor online bankieren, creditcardnummers en inloggegevens voor sociale netwerksites mee te stelen. Volgens de rechercheurs had deze actie hen een aanzienlijke winst en de slachtoffers dus een groot verlies kunnen bezorgen.

De arrestaties maken deel uit van een breder onderzoek naar de verspreiding en het gebruik van ZBot. Volgens de politie horen de arrestaties bij de eerste in de strijd tegen de trojan. De twee Britten zijn na verhoor op borgtocht vrijgelaten terwijl het onderzoek verder gaat, zo meldt Reuters.

Door Arie Jan Stapel

Nieuwsposter / PowerMod

Feedback • 19-11-2009 14:4333

19-11-2009 • 14:43

33 Linkedin

Lees meer

Hackers strooiden usb-sticks met spionagesoftware bij DSM Nieuws van 9 juli 2012
'Anonymousleden werden slachtoffer van besmette ddos-tool' Nieuws van 4 maart 2012
Broncode Zeus-malwarebouwpakket lekt uit Nieuws van 11 mei 2011
Bankrekening-plunderende Zeus-trojan keert verbeterd terug Nieuws van 7 maart 2011
FBI rolt Zeus-bende op mede dankzij Nederlandse hulp Nieuws van 4 oktober 2010
Programmeur VS zette botnet in tegen negatieve publiciteit Nieuws van 24 september 2010
'Microsoft al maanden geleden geïnformeerd over lekken' Nieuws van 24 augustus 2010
Onderzoeker: bugs in malware-kits geven kans op tegenaanval Nieuws van 20 juni 2010
Opta deelt waarschuwingen uit aan spammers Nieuws van 25 maart 2010
Microsoft: IE8 blokkeert meer malware dan andere browsers Nieuws van 8 maart 2010
Onderzoekers vinden filtermethode tegen spam-botnets Nieuws van 26 januari 2010
'Gevangen' botnet biedt blik op verzamelde gegevens Nieuws van 17 maart 2009
BBC bemachtigt botnet van twintigduizend pc's Nieuws van 12 maart 2009
Nationale Recherche pakt tiener uit Sneek bij verkoop botnet Nieuws van 1 augustus 2008
Onderzoekers strooien zand in motor Storm-botnet Nieuws van 25 april 2008
'Botmaster' tot vijf jaar cel veroordeeld Nieuws van 9 mei 2006
Platleggen ziekenhuis doet botnet-eigenaar das om Nieuws van 15 februari 2006
Meer producten en artikelen
Privacy Malware Verenigd koninkrijk

Reacties (33)

-Moderatie-faq
33
31
23
1
0
2
Wijzig sortering
Robino
19 november 2009 14:48
Zbot is erg lastig te detecteren en wordt door de makers verkocht inclusief een toolkit om er een eigen variant van te maken.
Bij het lezen van deze regel vroeg ik mij meteen af hoe het dan wel te detecteren valt. Ik heb het even opgezocht voor de geïnteresseerden :)
File System Changes

Creates these files:
• %windir%\system32\wsnpoem

Modified these files:
• %windir%\system32\ntos.exe

Registry Modifications
Sets these values:
• HKLM\software\microsoft\windows nt\currentversion\winlogon userinit = C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\ntos.exe
Bron: F-Secure

[Reactie gewijzigd door Robino op 19 november 2009 14:49]

BRAINLESS01
@Robino19 november 2009 14:57
Niet bijzonder moeilijk te detecteren dus, als je het mij vraagt... misschien is het wel lastig te verwijderen.
Facer
@BRAINLESS0119 november 2009 15:07
Het detecteren of de trojan is geinstalleerd ziet er eenvoudig uit.
Maar misschien dat de trojan op netwerk niveau moeilijk te detecteren is. Als er dan een paar duizend computers in het bedrijfsnetwerk draaien dan dien je toegang te hebben tot elk van deze PC om te controleren of de Trojan is geinstalleerd. Op netwerk niveau kan je controleren of de trojan zowiezo wel actief is binnen je netwerk.
the_stickie
@Facer19 november 2009 15:30
in dergelijke omgevingen (duizenden computers) heeft men vaak/meestal/altijd een gedistrubeerde antivirus die lokaal kan scannen en dus kan detecteren en centraal kan loggen.
Als die scanner niet meer werkt door de infectie zou er sowieso een belletje moeten gaan rinkelen.

Imho zijn dergelijke bedrijfscomputers slechts een klein deel van de geinfecteerde machines. Veel erger is het bij kmo's (mkb's) en thuisgebruikers, waar niémand met basiskennis beheer een oogje in het zeil houdt.
Xenan
@Facer19 november 2009 16:30
Maar misschien dat de trojan op netwerk niveau moeilijk te detecteren is. Als er dan een paar duizend computers in het bedrijfsnetwerk draaien dan dien je toegang te hebben tot elk van deze PC om te controleren of de Trojan is geinstalleerd
Wat is daar moeilijk aan dan? Als ik weet waar ik op moet letten dan zet ik zo een programmaatje in elkaar die in enkele minuten 1000 PC's kan scannen.

Enige voorwaarde is een domain admin acount (of in ieder geval een account met voldoende rechten). Enige beperking is dat de Window Client IP stack niet zoveel connecties tegelijkertijd kan of wil opbouwen, dus ik rem het af tot max 5 connecties per seconden. Zoals je mischien begrijpt heb ik dit al eens vaker gedaan.
YopY
@Robino19 november 2009 15:08
Dat neemt aan dat je weet dat je hem al hebt - misschien bedoelen ze detecteren mbt of je doorhebt dat je hem hebt?
JoJo_nl
@YopY19 november 2009 17:05
het probleem is ook vaak dat het al draaid voordat het gedetecteerd word helaas.
Anoniem: 298637
19 november 2009 14:55
"Nadat het programma op een computer is geïnstalleerd.."

Zolang de leek onbekende programma's blijft installeren/openen zullen trojans e.d. nooit verdwijnen.
En inderdaad vreemd dat ze de verdachten op borgtocht vrij laten, nu kunnen ze de gegevens (blijven?) verkopen en zo eventuele boetes makkelijk betalen. (Denk aan het nieuwsbericht van de belgen die 'maar' €5.000 hoefden te betalen na het verkopen van miljoenen gegevens).
sonicred
@Anoniem: 29863719 november 2009 14:58
"Zolang de leek onbekende programma's blijft installeren/openen zullen trojans e.d. nooit verdwijnen.
das onzin... een van speciale versie's van zeus heeft drive-by exploit..
zoals lek in java. wanneer je pagina open met oudere versie van java, zal de trojan gewoon geïnstalleerd worden zonder dat de gebruiker iets van weet of merkt..
kokx
@sonicred19 november 2009 15:49
Dat is helemaal geen onzin, een trojan is niets anders dan een programma dat zich anders voordoet dan het is. En er zullen altijd mensen zijn die programma's downloaden die je niet zou moeten vertrouwen.
Bonez0r
@kokx19 november 2009 17:56
Lees nou wat sonicred zegt.. Je kan al een trojan oplopen door alleen maar een website te bezoeken. Dus niks downloaden van programma's, dit gebeurt zonder dat de gebruiker iets ziet of eraan kan doen.
donny007
@Bonez0r20 november 2009 11:20
Er zijn zat gebruikers die in sites als "torrentreactor" of "freedownloadcenter" trappen, of van die fake "virus scanner 2008 professional" dingen gaan installeren puur uit domheid

Dat vlezige ding tussen de stoel en het toetsenbord is het grootste veiligheidsprobleem ter wereld!
Sefyu
@Anoniem: 29863719 november 2009 15:24
Uit je reactie blijkt dat je totaal geen kennis van zaken hebt m.b.t. de verspreiding van trojans.

Zelfs de meeste gemiddelde Tweakers kunnen gemakkelijke besmet raken met een trojan als ze pech hebben, er bestaat een grote variëteit aan binders en crypters die de trojans kunnen koppelen aan willekeurige andere bestanden en deze vervolgens 100% ondetecteerbaar kunnen maken.

De gemiddelde pc gebruiker download inderdaad wat makkelijker programma's van vage bronnen, maar niet al te lang geleden was een webserver van een producent geïnfecteerd geraakt en werden de installatiebestanden besmet met een trojan. Of je besmet raakt is zeker een kwestie van voorzichtig zijn, maar pech hebben speelt ook een rol.
iPims
19 november 2009 14:52
En ze worden ook zo weer vrijgelaten op borgtocht :o
Zouden ze nog meer pc's kunnen besmetten, als ze bij een pc weten te komen :o
Vind het raar dat je zo weer 'vrij' kunt zijn :S
robin1979
@iPims19 november 2009 14:55
Onschuldig tot het tegendeel is bewezen wellicht?

Er is geen concreet gevaar voor de samenleving om deze mannen langer in hechtenis te houden.
pcgek
@robin197919 november 2009 18:42
Onschuldig tot het tegendeel is bewezen wellicht?
Ik neem aan dat er genoeg bewijsmateriaal,en/of verklaringen zijn om ze te veroordelen, dus onschuldig kun je al niet meer van spreken.
Er is geen concreet gevaar voor de samenleving om deze mannen langer in hechtenis te houden.
En als blijkt dat de kans op herhaling nihil is, ligt meestal wel aan hoe zwaar die feiten zijn, mogen ze een eventuele rechtzaak gewoon thuis afwachten.
Ze moeten wel ten alle tijde beschikbaar zijn voor justitie.
XplodingForce
@pcgek19 november 2009 23:43
Genoeg materiaal om een zaak te kunnen starten, genoeg materiaal om ze verdacht te maken dus. Dan zijn ze nog wel degelijk onschuldig!
def1987
@iPims19 november 2009 14:54
of ze wissen hun eigen file .. met een eigen gemodificeerde versie van hun zbot 8)7
sonicred
19 november 2009 14:53
ddos-aanval met zeus?.. zeus is daar helemaal niet voor geschikt.

de jonge en de meid waren alle twee 20jaar...

zeus (is door een rus gemaakt, omdat die een mercedes mclaren wilde rijden)..


zeus is alleen geschikt voor te oosten. vaak zie je dan ook dat er voor 14k logs 400-500 dollar betaald...


ik vraag me af... een bekende site gm is vorige week down gehaald, waar zo'n soort services stonden. zou het hier iets mee te maken hebben..
Sefyu
@sonicred19 november 2009 15:30
14k logs voor 500 dollar? Je loopt achter, maat :+ Er is hevige concurrentie, voor $50 kom je al een heel eind, het is ronduit belachelijk hoe weinig persoonsgegevens waard zijn op dat soort fora, om een indicatie te geven hier een quote:
hello!

im here to offer my spreading service

u will get like 200 logs a day!

price : 15$ per week! PayPal

PD:I WILL NOT CRYPT UR SERVER, IF U WANNA IT CRYPTED, IT COST 5$ MORE

PD2: WILL GO FIRST ONLY ON VERIFIED MEMBERS

__________________________________________________ ________________

also, im offering my "****** Setup" service

yes, i will setup ur ****** 5.0 MOD PHP Logger, and give u the tools to make the server , and a crypter (not private)

Price: 25$ Paypal

PD: if u wanna my spread method, it cost 10$ more

thanks!
Deze kerel bied aan om een stealer programma(steelt wachtwoorden en financiele gegevens) te verspreiden en garandeert 200 individuele login gegevens per week...
Er worden vaak nieuwsberichten gepubliceerd dat er weer criminelen zijn opgepakt wegens financiele fraude of virussen/trojans/etc, maar dat is echt een zeer klein percentage van de totale hoeveelheid cybercriminaliteit.
sonicred
@Sefyu19 november 2009 15:35
als je met hem in zee gaat. ben je echt het haasje.. ;) vooral paypal betalen lol

en ik bedoel 14k aan regels met info ;)

[Reactie gewijzigd door sonicred op 19 november 2009 15:36]

Sefyu
19 november 2009 14:55
Die gegevens zijn nutteloos omdat er talloze versies van Zeus zijn, en de source code is te vinden als je goed zoekt. Tevens krijg je van verkopers van Zeus vaak een garantie dat hij zeker weten minimaal 15 dagen ondetecteerbaar is voor alle virusscanners.

Antivirusbedrijven lopen altijd achter de feiten aan, dat is hoe het werkt.
Anoniem: 326835
@Sefyu19 november 2009 15:10
Met de huidige opzet van besturingssystemen wel ja, die grote lompe monolitische kernels ook!
Zed_no1
19 november 2009 14:49
Hmm vreemd dan dat ze deze gegevens dan niet zijn gaan gebruiken.. of begrijp ik het dan verkeerd?
sonicred
19 november 2009 15:41
ben er achter... hij heeft als bij naam snapper en was een hoster van het form gm(ga niet vol uit schrijven).

blijkbaar is dit een groot onderzoek geweest. opdracht kwam van de fbi zelf..
Anoniem: 236509
19 november 2009 18:43
Meeste mensen geraken besmet dankzij nieuwe pc met voorgeinstalleerde antivirus software en dit is meestal een tryout. Na de proefperiode zoeken ze op het net naar een gratis alternatief. Klanten gehad met superantivirus 2010 en andere valse software. Elk systeem bouwer zouden een gratis alternatief verplicht moeten aanbieden om dit te voorkomen.
Graviton12
19 november 2009 14:51
Het zal nog lang duren dat de overheid/bedrijven achter de feiten aanlopen als het gaat over beveiliging van pc/internet/netwerk.
Ze zetten wel stappen in de goede richting.
Anoniem: 297778
20 november 2009 08:12
Ja ja Valeska het is egt hun eigen schuld ja
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee