Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 123 reacties
Submitter: Slurpgeit

Microsoft lijkt een trojaans paard te hebben verspreid via Windows Update. De malware zat verstopt in een driver voor een usb-acculader. De trojan werd vanaf 2007 via de fabrikant verspreid en is toen blijkbaar door Microsoft opgenomen.

Energizer Duo

Aryeh Goretsky, onderzoeker bij beveiligingsbedrijf Eset, heeft de verspreiding op het forum bevestigd en Microsoft ingelicht. Inmiddels wordt de malware niet meer via Windows Update verspreid. De verspreiding kwam aan het licht door gebruiker SmackyTheFrog, die vertelde hoe iemand in zijn bedrijf updates binnenhengelde via download.windowsupdate.com, waarna zijn systeem alarm sloeg. Het bleek om een driver voor een usb-acculader te gaan; hierin zou de Arurizer-trojan zitten.

Symantec maakte een jaar geleden melding van de backdoor, die bij het product Energizer Duo als downloadbare driver werd verspreid door de fabrikant. De backdoor werd alleen bij de Windows-versie geleverd en startte iedere keer samen met het OS op. Kwaadwillenden konden via de backdoor onder andere nieuwe malware een systeem binnensmokkelen en bestanden draaien. Symantec schatte dat de corrupte driver al sinds 2007 verspreid werd.

Sinds de ontdekking kunnen de meeste av-suites de trojan detecteren. Ook bij Microsoft is Arurizer geen onbekende. Hoe het kan dat de malware in de database is blijven staan, is niet bekend. Microsoft kon hiervoor vrijdag tegenover Tweakers.net nog geen verklaring geven.

Name	Threat	Action	Information
http://download.windowsupdate.com/msdownload/update/driver/drvs/2008/08/20069747_61412dc9aba9cacfad12955f8049fc57bf505137.cab multiple threats connection terminated - quarantined Threat was detected upon access to web by the application: C:\Windows\System32\svchost.exe.
http://download.windowsupdate.com/msdownload/update/driver/drvs/2008/08/20069747_61412dc9aba9cacfad12955f8049fc57bf505137.cab » CAB » UsbCharger setup V1.1.1.exe multiple threats
http://download.windowsupdate.com/msdownload/update/driver/drvs/2008/08/20069747_61412dc9aba9cacfad12955f8049fc57bf505137.cab » CAB » UsbCharger setup V1.1.1.exe » INNO » file0000.bin probably a variant of Win32/Agent.LQHLSWT trojan
http://download.windowsupdate.com/msdownload/update/driver/drvs/2008/08/20069747_61412dc9aba9cacfad12955f8049fc57bf505137.cab » CAB » UsbCharger setup V1.1.1.exe » INNO » file0010.bin Win32/Arurizer.A trojan
http://download.windowsupdate.com/msdownload/update/driver/drvs/2008/08/20069747_61412dc9aba9cacfad12955f8049fc57bf505137.cab » CAB » UsbCharger setup V1.1.1.rar multiple threats
http://download.windowsupdate.com/msdownload/update/driver/drvs/2008/08/20069747_61412dc9aba9cacfad12955f8049fc57bf505137.cab » CAB » UsbCharger setup V1.1.1.rar » RAR » UsbCharger setup V1.1.1.exe multiple threats
http://download.windowsupdate.com/msdownload/update/driver/drvs/2008/08/20069747_61412dc9aba9cacfad12955f8049fc57bf505137.cab » CAB » UsbCharger setup V1.1.1.rar » RAR » UsbCharger setup V1.1.1.exe » INNO » file0000.bin probably a variant of Win32/Agent.LQHLSWT trojan
http://download.windowsupdate.com/msdownload/update/driver/drvs/2008/08/20069747_61412dc9aba9cacfad12955f8049fc57bf505137.cab » CAB » UsbCharger setup V1.1.1.rar » RAR » UsbCharger setup V1.1.1.exe » INNO » file0010.bin Win32/Arurizer.A trojan
Moderatie-faq Wijzig weergave

Reacties (123)

Dit is op zijn zachtst gezegd slordig, maar eigenlijk gewoon en kolossale blunder voor een bedrijf dat o.a. 'veiligheid' propageert met zijn Windows.
Het probleem zit hem niet in Windows, maar in een 3rd-party produkt (de driver is immers door de fabrikant van die hardware geschreven, niet door MS zelf).

Overigens installeer ik nooit een driver via WindowsUpdate, dat zijn meestal toch (veel) oudere versies. Ik download hem wel bij de fabrikant zelf, meestal veel nieuwer.

[Reactie gewijzigd door wildhagen op 4 februari 2011 16:14]

Probleem zit hem wel in Windows, of liever gezegd bij Microsoft.
Alle drivers voordat ze vrijgegeven worden, en helemaal als ze bij Microsoft Update vrijgegeven worden, krijgen een signature. Dit betekent dat de driver door de WHQL test is gekomen, en daar hebben ze dus schijnbaar nooit gezien dat de driver een trojan bevatte.En DAT is een slechte zaak, hierdoor is WHQL (Windows Hardware Quality Labs) dus ook een enorm stuk minder betrouwbaar.
WHQL is een driver test, geen package integriteitstest. Het betekent dat de driver volgens de MS richtlijnen is geprogrammeerd en door MS is getest, maar voorkomt niet dat er later op de download server aan de installer package nog een extra trojan installer aan toegevoegd kan worden.
Als het door MS gedistribueerd word, via Microsoft Update dus, betekent het dat juist.
De WHQL certificatie geldt voor de .dll (de driver), niet voor de .msi/.cab (de install package/script). Dat is gewoon een script, en daarin kan je als kwaadwillende gewoon een trojan toevoegen zonder de driver ooit te veranderen.

Dit is de oudste truc van de wereld, dit is ook al eerder gedaan met oa de besmette iLife 09 distributie: aan het .mpkg install script werd gewoon een regel toegevoegd die naast de bonafide iLife apps (die zelf allemaal netjes aan hun integriteitschecks voldoen) ook een trojan installeerde.

[Reactie gewijzigd door Dreamvoid op 5 februari 2011 00:20]

Enige manier om dat te analyseren is naar de Source-Code kijken. Heb je enig idee hoeveel werk dat is om de Source code van alles dat word aangeleverd door 3rd party te gaan doorneuzen?
incorrect, het word via een microsoft site/programma aangeboden, dan is microsoft er verantwoordelijk voor de het tenminste virusvrij is.
Het probleem zit hem niet in Windows, maar in een 3rd-party produkt (de driver is immers door de fabrikant van die hardware geschreven, niet door MS zelf).
Microsoft loopt toch zo mooi te pronken met hun Microsoft Windows Hardware Quality Labs? Dit had volgens de WHQL-regels nooit mogen gebeuren! :+

Als je Windows 7 x64 hebt en je probeert er een niet-WHQL driver in te stoppen zegt ie gewoon keihard van niet. Het feit dat deze driver in Windows Update terecht is gekomen wil al zeggen dat ie wél WHQL-certified is, en er dus in de 'uitgebreide testprocedure' van Microsoft toch echt iets mis is.

Volgens mij bewijst dit dat gewoon iedereen een WHQL certificaat kan kopen zolang je maar aan Microsoft betaalt, zonder dat ze er zelf ook maar een minuut aan testcode op loslaten. Want anders had er bij MS wel een virusscanner alarm geslagen.
met de 'uitgebreide testprocedure' is waarschijnlijk niks mis. waar er wel wat mis mee is is de controle van al reeds gecertificeerde drivers. dat gebeurd dus blijkbaar niet of nauwelijks(virus is een jaar bekend, driver 3 jaar oud)
WHQL is eigenlijk geen testprocedure. WHQL is een handig truukje van MS om meer geld uit de zakken van hardware leveranciers te persen. Jammer dat ze dat allemaal maar zomaar tolereren. Zonder 3rd party hardware ondersteuning was dat hele Windows allang al verdwenen...
Ja, want iedereen wil natuurlijk voor z'n drivers tig websites langs gaan. Iedereen wil uren bezig zijn om z'n systeem opnieuw te installeren. Dat jij daar het geduld voor hebt, leuk voor jou, maar 99% pakt z'n drivers gewoon van windowsupdate.
Overigens denk ik dat de verspreiding wel mee valt. Het klinkt niet als een driver voor een product wat je nou overal tegen komt.

Grappig trouwens, dat het onder Windows getolereerd wordt dat je bergen websites langs moet voor allerlei drivers en los geïnstalleerde tools, maar het downloaden van een nvidia driver onder linux ineens door Windows fanboys wordt gebruikt als voorbeeld waarom Windows veeeel gebruiksvriendelijker is. De wereld is krom :+
Het ongebruikersvriendelijke van Linux zit hem erin dat je bestaande nVidia driver bij elke update breekt en je weer op zoek moet naar een nieuwe driver. De gebrekkige ondersteuning van closed source drivers in Linux is gewoon een probleem. Voor open source software werkt het update systeem van Linux echter vrij goed.

Daarnaast vergelijkt je nu appels met peren.
1. Zowel windows als Linux hebben geintegreerde update systemen (waarbij die van windows applicatie specifiek zijn terwijl Linux veel Open Source programma's meeneemt (maar niet alles) )
2. Bij zowel Windows als Linux kun je echter je driver zelf downloaden van de fabrikant.
3. Je kunt er zelfs (zowel onder windows als Linux) voor kiezen om de source code van open source te downloaden en zelf de applicatie te compilen.

Je kan wat zeggen over de relatieve gebruikersvriendelijkheid van vergelijkbare zaken maar het is onzinnig om de gebruikersvriendelijkheid van fundamenteel andere update methodes te vergelijken en dan te stellen dat Windows of Linux gebruikersvriendelijker is. Als iemand alle drivers voor linux als source code download. compileert en installeert is het een tijdrovende manier om je linux systeem te updaten maar dat betekent niet dat iedereen veel tijd kwijt is met het updaten van Linux. Sommige mensen kiezen voor de ene optie, anderen voor een andere. Zowel onder Linux als onder windows.
Bij kernel updates bedoel je. De rest doet echt niks met die driver
Al is dat ook relatief. Onder ubuntu krijg ik genoeg kernel-updates zonder dat de nvidia-driver problemen geeft
Dan moet je natuurlijk wel weer vertrouwen dat er aan de versie die je bij de fabrikant ophaalt niet geknoeid is.
Het is duidelijk wat je bedoelt, maar... als je "nooit geen" WindowsUpdate driver gebruikt, betekent dhet dat je altijd windows update drivers gebruikt :P vind het altijd curieus wanneer mensen zich op de 'nooit geen' manier uitdrukken!
Nee:
Symantec maakte een jaar geleden melding van de backdoor, die bij het product Energizer Duo als downloadbare driver werd verspreid door de fabrikant.
Wel slecht dat ze die driver blijkbaar zonder uitvoerig scannen gewoon in de WU-repository hebben geknald.
Die driver is al in 2007 de WU-repository ingegaan. Het virus wordt pas sinds een jaar herkent door Antivirus software.
Dat het de repository ingegaan is is dus niet zo verwonderlijk en kun je Microsoft slechts gedeeltelijk kwalijk nemen.

Wel zeer kwalijk is het dat de WU-repository blijkbaar nooit gecontroleerd wordt. Anders hadden ze het namelijk een jaar geleden al gevonden.
Ik bedoel maar, hoe moeilijk kan het zijn om elke dag alle files een keer te scannen met de nieuwste Antivirus software ?
Elke dag antivirus software draaien ben je mal man. Maar alle software die de deur uit gaat moet altijd door de scanner. zelfs als je 100% zeker bent dat er geen virus op zit. kan de virus scan software daar anders over denken. Toch lullig als er een valse virus popup krijgt als men je software gebruikt.

Wat ik mij tijdens tikken allemaal af vraag, Microsoft doet toch wel een test met de software die de Windows update in gaat? En draait op al die test omgevingen geen virus scanner? Hoe klant specifiek testen is dit?
Anti virus software loopt altijd achter de feiten aan. Je kan pas een anti-middel maken op het moment dat een virus bestaat welke het huidige algoritme niet kan herkennen. Hierdoor kan het geen kwaad file systems met regelmaat te scannen op virussen, omdat eventuele verborgen virussen met later virus definities wel te ontdekken zijn.

Of dit opgaat in deze case is een andere vraag. Windows updates zijn updates welke met regelmaat systeembestanden aanpassen en kunnen daarom makkelijker worden aangezien als virus. Microsoft raad niet voor niets af de software distributie map van de updates uit te sluiten op de virus scanner (http://support.microsoft.com/kb/822158).

Al met al een geval wat eigenlijk niet voor mag komen. Dat dit echter pas na zo lange tijd wordt ontdekt zegt ook veel. Het is makkelijk Microsoft hier op aan te allen en nogmaals het had niet mogen gebeuren, maar het is niet zo simpel dit te voorkomen als je zou zeggen na het lezen van de titel van het bericht.
Ja, maar we hebben het inmiddels over bijna 4 jaar...?

In dit geval zou Microsoft door de overheid (maakt me niet uit welke, al zijn ze het allemaal) aansprakelijk moeten worden gesteld vanwege dat ze de gebruiker hebben blootgesteld aan potentieel gevaarlijke software. Zoals in het bericht stond:
Kwaadwillenden konden via de backdoor onder andere nieuwe malware een systeem binnensmokkelen en bestanden draaien.
Dat houd in dat heel gevoelige informatie in ene open en bloot op straat kon komen te liggen.

Nu ben ik ook geen leek en weet ik ook wel dat niet de eerste de beste jodokus daartoe in staat is, maar de jodokus die het wel kan zit er dan vrij simpel in.

Rest alleen nog de vragen: Hoe had de fabrikant dit niet kunnen weten? Of anders, zou de fabrikant zelf deze trojan hebben willen utiliseren voor het verrijken van zijn bestand en eindklanten BEWUST hebben blootgesteld aan het gevaar 'gehackt' te worden?
Dit is op zijn zachtst gezegd slordig, maar eigenlijk gewoon en kolossale blunder voor een bedrijf dat o.a. 'veiligheid' propageert met zijn Windows.
Nee hoor, de driver wordt nog altijd geleverd door de fabrikant.
(Maar wordt idd, tot 8x gecontroleerd door Microsoft WHQL Labs)
Dus beiden zijn hier fout, en slordig - heel slordig!
Bij de driver van het bedrijf zelf zit deze malware niet, alleen de windows update versie bevat deze. Een fout van M$ dus.
En dat laatste klopt dus niet. De driver (incl malware, kennelijk...) word aangeleverd door de fabrikant, Microsoft (M$ is nogal kinderachtig) zet hem alleen op de site, niet meer, niet minder.

Ze gaan echt dat ding niet zelf lopen aanpassen ofzo. Daar hebben ze helemaal geen belang bij namelijk.

De enige fout die MS maakt is dat het zolang op de site heeft gestaan, meer niet.

[Reactie gewijzigd door wildhagen op 4 februari 2011 16:04]

Microsoft nam de driver op in hun gepushte updates.
Dat is toch even iets anders dan gewoon op de site zetten.

Of microsoft hier belang bij heeft of niet is niet duidelijk.
Mischien is dit met opzet gedaan onder dwang van een overheidsinstantie o.i.d.
Je weet het niet.
Het is bijvoorbeeld wel bekend dat microsoft voor bepaalde overheidsinstanties backdoors inbouwt in hun producten.
In ieder geval wel opmerkelijk dat ze het drie a vier jaar lang hebben verspreid (terwijl microsoft natuurlijk zelf ook virusscanners gebruikt).

[Reactie gewijzigd door koelpasta op 4 februari 2011 18:07]

Dat impliceert dat Microsoft op dat moment aansprakelijk wordt voor de software, aangezien de meesten er niet bewust voor kiezen dit te downloaden, maar het meekomt via de update.

Om meteen even het vergelijk weg te halen: In een winkel koop je bewust de software, en is de winkelier dus niet aansprakelijk voor het verspreiden.
Windows Live Care :+
Microsoft (M$ is nogal kinderachtig) zet hem alleen op de site, niet meer, niet minder.
Juist...
De enige fout die MS maakt is dat het zolang op de site heeft gestaan, meer niet.
Niet juist. Zodra Microsoft hem op hun site zet, is het hun taak om ervoor te zorgen dat er geen virussen in zitten. Wel degelijk hun probleem... Waarom? omdat ZIJ een Microsoft Windows Update site onderhouden, dus zijn ZIJ verantwoordelijk voor de content die ze erop plaatsen, en zijn ZIJ dus verantwoordelijk voor de verspreiding van het virus.

Kijk naar een blog, zelfs de beheerders een blog zijn verantwoordelijk voor de reacties die anderen daarop plaatsen... Die verantwoordelijkheid krijg je op het moment dat je de blog beheert. Waarom zou dat voor een Windows update site anders zijn?
Tja maar de afkorting MS staat bij veel mensen weer bekend als een spierziekte.
offtopic:
Maken we er toch standaard M$ van. Maar moeten we't daar nu over hebben? We zitten hier toch immers op een tweakers-forum voor computerliefhebbers (en gadgets en en... :) ). Die moeten weten waar het voor staat en vooral ook waar het NIET voor staat.
Hopelijk leert Microsoft hiervan, voortaan drivers dus eerst door een virusscanner voordat deze gepusht worden.

Aan de andere kant vraag ik me wel af: waarm heeft een usb- acculader een driver nodig? Het hoeft toch alleen stroom van de usb poort nodig en verder niks?
Hopelijk leert Microsoft hiervan, voortaan drivers dus eerst door een virusscanner voordat deze gepusht worden.
Denk dat dat ook wel gebeurd hoor, maar je moet dan natuurlijk wel het geluk hebben dat de virusdefinities het virus kunnen herkennen op dat moment.

Als ik de informatie over Arurizer goed zie is deze pas sinds maart 2010 bekend, terwijl deze driver al in 2007 (of 2008 volgens andere bronnen) werd verspreid. Dan zal een virusscanner hem dus ook niet opmerken...
Klinkt logisch, en als ze bij Microsoft dan ook nog zoiets hebben dat de driver op het moment van certificatie 'virusvrij' verklaard werd, deze op een server te zetten die puur is bedoeld voor het uitrollen van updates waarop geen virusscanner draait.
Dat laatste is slordig te noemen, maar als er behalve dus de 'veilige' software niets de server opgaat, is dit vanuit performance oogpunt wel begrijpelijk.
Ik neem aan dat er in de acculader ook moet worden geregistreerd hoe vol de accu is; of deze bijna vol is e.d.. Als dit via de computer moet gebeuren met een programma-tje dan zijn er natuurlijk drivers voor nodig!
"The directory structure indicates that this cab is from 2008"
Bizar dat het zolang duurde voordat deze trojan gevonden werd.
Als nooit iemand het/deze driver gebruikt ja dan kan het wel eens langer duren. Het feit dat hij er uberhaupt al in zat is nog veel vervelender. Aan de andere kant als hij al zolang niet ontdekt is, hoe groot is dan deze bedreiging ??
Tsja, dat is het nadeel van het hosten van andermans drivers (of apps): je krijgt direct de schuld als er een rotte appel tussen blijkt te zitten. Terecht ook IMO - hoge bomen, veel wind enzo. Sourceforge en andere repositories (tot aan dingen als de App Store/Android Market/Zune Marketplace toe) hebben in feite hetzelfde risico, en hoe groter het wordt, hoe moeilijker het wordt om alle hosted content na te pluizen.

[Reactie gewijzigd door Dreamvoid op 4 februari 2011 15:58]

daarentegen neemt sourceforge neemt geen verantwoordelijkheid en dat kan ook niet he...
te gewoon een hostingsite van applicaties etc... sourceforge creeert zelf geen software of een OS
Maar deze update kom je dan toch alleen tegen als je ook software/hardware hebt, die deze driver nodig heeft?
Klopt. Als je dit specifieke device niet hebt, zal WindowsUpdate de driver ervoor ook niet aanbieden, en krijg je hem dus ook niet binnen.
Dit is precies wat ik me afvroeg, bedankt voor het antwoord.
Verstuurde Windows in 2007 al drivers van derden via Windows Update?

Zelfs anno 2011 kom ik eigenlijk nooit drivers van derden tegen. Paar maanden geleden was voor mij pas voor de eerste keer nadat ik voor het eerst Windows 7 op mijn laptop had gezet. Was een driver voor mijn grafische kaart en een driver voor mijn printer. Ik weet nog dat ik dit opmerkelijk vond omdat ik het normaal altijd zelf moest downloaden van websites van derden.
Verstuurde Windows in 2007 al drivers van derden via Windows Update?
Ja hoor, dat doen ze al sinds bijna het begin van Windows Update.

Er word zeker wel gebruik van gemaakt door fabrikanten, zij het niet op enorm grote schaal. De reden daarvoor is vrij simpel: de drivers die via WU aangeboden worden moeten het WHQL-certificeringstraject doorlopen voor ze toegelaten worden. En dat traject kost geld. Ok, niet veel geld (vrij klein bedrag), maar toch.
Ik schrok me het apezuur bij het zien van de titel. :o
Valt gelukkig weer mee en lijkt betrekking te hebben op maar één product.

Vraag me nu wel af of Microsoft ooit binnenkomende drivers van fabrikanten scant, en of MS die periodiek door een up-to-date virus/malware scanner haalt.
Ik ook voor die enkele keer er een windows pc aanstaat in me huis,

Ja wie controleert dat eigenlijk wat er wel door kan en wat niet ?, is daar meer over te vinden misschien.
Ja wie controleert dat eigenlijk wat er wel door kan en wat niet ?, is daar meer over te vinden misschien.
De testprocedure van WHQL is nergens te vinden. Ik heb een donkerbruin vermoeden dat die er ook gewoon niet is, en je maar aan Microsoft een berg licentiekosten mag dokken om een WHQL-sticker te krijgen. Zo niet, dan kun je mooi 'dag' zeggen tegen alle Windows 7 x64-users.
Hier hebben maar weinig mensen last van gehad lijkt me?
Kan me niet voorstellen dat er veel mensen zo'n USB-Acculader hebben dus dan zou windows update ook die driver niet downloaden.

Wel raar dat het zo lang heeft geduurd voordat dit opgemerkt werd.
Niet zo lang geleden was er al gewaarschuwd voor usb data/charcher exploit mogenlijkheden
/taps nose

Dit zou suggereren dat er geen scanner op de Windows update server zou zitten, anders was er immers toch een alarm belletje gaan rinkelen?
Velen zeggen, slordig... maar ik weet niet of het slordig is van Microsoft, misschien was deze trojan op het moment dat de binaries aangeleverd werden nog niet als dusdanig bekend. Maar goed, als een trojan of een ander virus bekend wordt ... dan mogen ze preventief alle drivers er wel op scannen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True