'Banktrojans blijven bijna maand actief op volledig beschermde pc'

Ook als een pc een up-to-date antivirusprogramma heeft, kunnen trojaanse paarden die bankgegevens stelen gemiddeld 25 dagen hun werk blijven doen, blijkt uit onderzoek van SurfRight. Als het aanwezige beveiligingspakket niet bijgewerkt is, loopt de actieve duur van de trojans zelfs op tot 81 dagen.

SurfRight heeft een analyse losgelaten op gegevens die het bedrijf tussen oktober 2011 en oktober 2012 ontving van zijn HitmanPro-beveiligingssuite. De data is afkomstig van het scannen van in totaal 2.465.497 systemen van gebruikers in die periode.

HitmanPro rapporteerde onder andere welk trojaans paard werd gevonden, op welke datum dat het zich in het systeem genesteld had en welk antivirusprogramma er al op de computer draaide. Bij de analyse richtte SurfRight zich op de aanwezigheid van de banktrojans Zeus, Citadel, SpyEye and Tinba.

De statistieken zijn afkomstig van computerbezitters die HitmanPro voor de eerste keer gebruikten. Meestal wordt deze software voor een second-opinion ingezet en de gebruiker heeft dan al het vermoeden dat er malware op zijn systeem zit. De cijfers zijn dan ook wellicht wat geflatteerd, geeft Mark Loman van SurfRight toe. "Toch is het een duidelijke indicatie dat de levensduur van een banking trojan flink gekort wordt als een antivirusprogramma volledig bijgewerkt is", schrijft hij. Volgens Loman is de periode van 25 dagen dat de trojans niet ontdekt blijven wel lang, maar stoppen anti-malwareprogramma's de meeste schadelijke software wel, echter simpelweg niet alles.

IT-banen

Reacties (34)

Verwijderd 23 oktober 2012 17:36

Ik snap dan niet waarom een beveiligingsoplossing niet gewoon bepaalde functies whitelist. Zoals het capturen van je toetsaanslagen. Die en die programma's mogen dit en de rest niet tenzij aangegeven door de gebruiker.
Dit soort oplossingen werken prima als de gebruiker zelf moet aangeven wat wel en niet mag(mits ervaren gebruiker).

ebia @Verwijderd • 23 oktober 2012 17:40

Met dergelijke strakke beveiliging krijg je dat het teveel de functionaliteit aantast. Als dat het geval is zijn mensen sterk geneigd de beveiliging helemaal niet te gebruiken c.q. te omzeilen (voor zover mogelijk). Met andere woorden: geen enkele particulier in het beheer van zijn eigen computer zal zoiets installeren. De ervaren gebruikers al helemaal niet, want die hebben vaak een attitude van "het overkomt mij niet".

Daarnaast kan elke (beveiligings)software op zijn beurt weer 'gekraakt' worden waardoor dergelijke beveiligingen weer ongedaan kunnen worden gemaakt.

pe1dnn @Verwijderd • 24 oktober 2012 23:07

Mensen werden al gek van de UAC toestemming in venstertjes in Vista. In Windows 7 is het minder (ook omdat de software zich beter is gaan gedragen) maar ook daar klikt men als Pavlof reactie op "toestaan" zonder gekeken te hebben wat of hoe. En zelfs al kijkt men wel, ook veel legale toepassingen kent men niet en heeft men geen idee of het wel of geen legitiem programma is - en geeft dus maar toestemming, zo van "'t zal wel goed zijn".

Heel veel tweakers, toch niet de minste gebruikers, hebben UAC gewoon uit gezet omdat ze het gedoe zat waren.

Nog meer van dat soort vragen gaat het grote publiek echt niet trekken. Sterker nog, ik trek dat niet eens.

Ik heb bijvoorbeeld een paar jaar CookieSafe gebruikt; die houd alle cookies tegen tenzij je toestemming geeft. Werkte zoals het hoort maar gaf toch een hoop onderhoud. Bij elke website weer uitvogelen welke cookies wel en welke niet toestaan. Ben blij dat er nu Ghostery is die dat automatisch doet aan de hand van lijsten.

Kortom, ik denk niet dat je het hiermee gaat redden...

Verwijderd 23 oktober 2012 17:08

Het is toch gewoon een faal van de anti virus programma's dat die TP 25 dagen door blijven werken?
Ik ben razend benieuwd welke anti virus programma's hierbij gebruikt werden. Want Hitman Pro kan ze blijkbaar wel detecteren en verwijderen.

Misschien ook wel leuk om te noemen is dat Hitman Pro actieve Trojans vond tijdens de Dorifel uitbraak binnen de overheid, zonder dat deze Trojans gedetecteerd werden door AV software.

Misschien gaat de technologie van hackers te snel voor beveiligingsmaatschappijen?

[Reactie gewijzigd door Verwijderd op 26 juli 2024 11:06]

mjtdevries @Verwijderd • 23 oktober 2012 19:05

De conclusies van surfright kloppen van geen kant.

Dat iemand zijn virusscanner up-to-date heeft op het moment dat ze hitmanpro draaien zegt natuurlijk helemaal niet dat die virusscanner up-to-date was toen de malware op de PC kwam.

Sterker nog, hitmanpro word meestal pas gedraaid als iemand een vermoeden heeft dat er een virus op zijn PC staat. En het eerste wat iemand dan doet is zijn virusscanner up-to-date maken.

Het is al verbazingwekkend dat er uberhaupt mensen zijn die hitmanpro draaien zonder hun virusscanner eerst up-to-date te maken.

Verder is het ook algemeen bekend dat een virusscanner het een stuk moeilijker heeft om malware te herkennen als het al op de machine stond, dan wanneer de virusscanner up-to-date is wanneer de malware probeert de machine te infecteren.

Dat is overigens wel iets waar Hitmanpro heel erg in uitblinkt. Zij kunnen vaak de aanwezige malware wel detecteren die AV software niet kan herkennen.
Het is erg jammer dat ze met hun kennis geen real-time protectie tool op de markt brengen.

ebia @Verwijderd • 23 oktober 2012 17:19

Elke keer komen er nieuwe varianten uit van bestaande virussen. Deze worden de makers natuurlijk ook gecontroleerd op detectie door de scanners, en worden gereleased zodra ze 'ondetecteerdbaar' zijn. Dan gaat er dus weer een tijd overheen voordat ze herkent worden en opgeruimt door de scanners.

[Reactie gewijzigd door ebia op 26 juli 2024 11:06]

damnengineer @ebia • 23 oktober 2012 17:38

offtopic: viri is geen meervoud van virus, het meervoud van virus is gewoon virussen. Er is geen meervoud voor virus in het Latijn.

commentator @Verwijderd • 23 oktober 2012 17:46

Dat zeker al zijn er anders ook genoeg mensen die geen of een oud virusscan programma hebben.

Ook moet je hier niet vergeten dat dit programma vaak pas gebruikt wordt als er al t vermoeden van een besmetting is

CMD-Snake @Verwijderd • 23 oktober 2012 18:00

Ik ben wel benieuwd naar de studie. Ik had toch graag een pdf of zoiets gezien op hun blog waarin meer details stonden. Je hebt immers AV scanners en AV scanners.

Trouwens moet je niet alleen op je AV product vertrouwen om veilig te blijven. Je systeem patchen is ook belangrijk. Zorg ervoor dat alle Windows updates geïnstalleerd zijn, werk software als Flash, Adobe Reader, Java etc. allemaal bij. (Alhoewel Java een fail apart is momenteel...)

Sommige van de ergste virusuitbraken (Nimda, Code Red) zijn ontstaan puur omdat men niet tijdig patches installeerden. Beiden virussen misbruikten lekken die al lang gedicht waren. Huidige virussen bedienen zich ook veelal van lekken in oudere software pakketten.

En als je zo nodig een oudere versie van iets moet draaien sloop als het even kan de plugin uit je browser. Verminderd gelijk weer de attack surface van je machine.

biggydeen2 @Verwijderd • 23 oktober 2012 18:02

Dat is ook logisch aangezien hitman pro een combinatie is van verschillende AV en anti malware programma´s

dasiro @Verwijderd • 23 oktober 2012 18:28

er kan nog een inactiviteitsperiode zijn, waarin het virus geen activiteiten vertoond. Pas als het activiteit vertoond kan het gedetecteerd en geanalyseerd worden, waarna een AV-definitie kan worden gebouwd, getest en verspreid.

ThE_En4CeR @Verwijderd • 24 oktober 2012 00:12

Daarom ben ik ook fan van white listing technologie (van bijvoorbeeld Symantec). Dit zorgt ervoor dat geen enkel programma wordt uitgevoerd, zonder dat deze eerst is gewhitelist in hun database. Als een programma erg vaak wordt gebruikt volgens de statistieken, wordt deze helemaal uitgeplozen en OK bevonden. Dit werkt voor 99% van de computergebruikers perfect. Die ene procent gebruikers die vaak vage/erg nieuwe software gebruiken moeten dan wel iets vaker beveiligingswaarschuwingen negeren, maar dat weegt niet op tegen de bescherming die deze manier van beveiliging bied.

watercoolertje @Verwijderd • 23 oktober 2012 17:38

Misschien gaat de technologie van hackers te snel voor beveiligingsmaatschappijen?

Dat is toch logisch. Het is geen kip ei verhaal, eerst is het virus er dan pas de software om dat virus onschadelijk te maken

Andersom zou een beetje erg raar zijn...

[Reactie gewijzigd door watercoolertje op 26 juli 2024 11:06]

goovy75 @watercoolertje • 24 oktober 2012 10:22

Hoeft toch niet altijd?

Bijna alle virussen hebben toch een bepaalde algoritme die op een bepaald manier werken. En het is toch zo dat bij nieuwe virussen dat ze elke keer proberen die algoritmes veranderen.

hardwareaddict @goovy75 • 24 oktober 2012 17:21

Het algoritme verandert nauwelijks hoor.

hardwareaddict @Verwijderd • 24 oktober 2012 17:17

KGB bestaat al heel lang niet meer. De geheime dienst in Rusland heet sinds 1995 dus FSB.

De methodes zijn sindsdien ook een stuk verbeterd; zo vroeg ik tijdje terug zo'n pop wat ze nu met Gary Kasparov gingen doen. Antwoord daarop: "we are nowadays civilized, we put people in prison".

Als het gaat om online spionage en trojans dan moet je dat overigens niet verwarren met gewone criminelen die proberen in te breken bij je bank. Dat is echt pure mafia. Niet zelden door mensen die al gezeten hebben voor heftige zaken. Gewapende overval is soms nog het minste.

Dat heeft verder weinig van doen met de veiligheidsdiensten, terwijl de meeste virusscanners natuurlijk juist ontzettend slecht zijn in software herkennen van diezelfde veiligheidsdiensten - ook niet updates - en dat is vaak geen toeval.

Verwijderd 23 oktober 2012 17:15

Ik kan me haast eigenlijk niet voorstellen dat dit ook geldt voor Kaspersky en BitDefender. Ook ik ben benieuwd om welke virusscanners het dan gaat. Op deze manier lijkt het toch vooral ook een bericht om HitmanPro te verkopen. Ondanks dat wordt de noodzaak om te booten vanaf een goed beveiligde Linux Boot CD of USB op deze manier steeds groter. Bij een ander nieuwsbericht over beveiliging gaf iemand deze link. Iemand een idee of deze versie van Linux beter is dan bijvoorbeeld een standaard Ubuntu? https://www.fortresslinux.org/home.php

mk1311 @Verwijderd • 23 oktober 2012 17:45

Is het veiliger om firefox in de zandbak te draaien of heeft dat hiervoor geen effect ?

verder paar linkjes voor veiliger internet ; ( vind het zelf altijd leuk, linkjes )
http://convergence.io/ ( tegen man in the middle attacks gemaakt door hacker )
http://www.peerblock.com/ ( tegen ongewilde communicatie via internet met van allerlei instanties )
http://www.sandboxie.com/ ( gratis zandbak met hoge rand )

ps is er ook een scanner die je kan instaleren die alle files over virustotaal heen scanned ?

psps is er een bootable usb linux variant met een windows antivirus scanner ? heb avira gebprobeerd icm ubuntu maar die hebben nog geen visuele interface, zou heel graag windows scannen terwijl het niet actief is en dus mogelijk wat dieper

was over gegaan op ubuntu om dit soort onzin te voorkomen maar de laatste versie laat te wensen over, het geven van manuele commando's is ook niet alles.

tnx alvast

R-J_W @mk1311 • 24 oktober 2012 17:16

ps is er ook een scanner die je kan instaleren die alle files over virustotaal heen scanned ?

Niet alle bestanden, dus misschien daarom je vraag.
Maar 'toevallig' doet HitmanPro dit.
ALS je een API-code aanvraagt bij Virustotal.
(Mijn ervaring komt tot, onbekende bestanden worden ook naar Virustotal gestuurd)

Gek genoeg zijn vermeldingen in de changelog het enige wat ik erover vind op hun site.
Dus de precieze implementatie ken ik niet.

HitmanPro 3.6
December 23, 2011
NEW: Added third opinion scan using VirusTotal.
To use this feature you enter your personal VirusTotal Public API Key on the Advanced tab under Settings.

Release v3.6

[Reactie gewijzigd door R-J_W op 26 juli 2024 11:06]

MrBreaker @mk1311 • 23 oktober 2012 18:02

Kaspersky

[Reactie gewijzigd door MrBreaker op 26 juli 2024 11:06]

Frij5fd @mk1311 • 24 oktober 2012 22:37

Probeer ipv Ubuntu een distributie met KDE als basis, zoals OpenSuse, Kubuntu, Fedora of een KDE-versie van Mint. Het went snel, komend vanaf Windows.

ebia @Verwijderd • 23 oktober 2012 17:24

Kan elke virusscanner gebeuren. Zoals je misschien weet kun je op virustotal een verdachte file uploaden om te laten scannen. Dat doen de virusmakers dus ook (en er zijn ook 'underground' varianten op deze site). Zodoende kunnen ze dus de detecteerbaarheid op heel veel scanners tegelijk controleren.

Verwijderd 23 oktober 2012 18:36

Gewoon je bank zaakjes regelen met OpenBSD, zou iedereen moeten doen....

ebia @Verwijderd • 23 oktober 2012 19:48

Je moet op meerdere lagen bescherming bieden tegen allerhande aanvallen. Het OS bepaalt maar tot een zeker niveau wat het security level van een box is. Met een kale OpenBSD installatie ben je wel veilig (heck, er staat nauwelijks wat op), maar zodra ik op die OpenBSD box een brakke versie van X installeer, met een brakke versie van Firefox en een brakke versie van Flash en Java, dan is die OpenBSD bak kwetsbaarder dan mijn helemaal up-to-date Windows machine.

In geval van de banking trojans helpt het in ieder geval al een heleboel als je OS en je browser up-to-date zijn, en je geen gebruik maakt van de vaak kwetsbare plugins als Flash, Acrobat of Java.

Het beste kun je eigenlijk nog een read-only OS gebruiken, met een minder bekende browser zonder plug-ins, zodat de kans op infectie het kleinst is. Een live distributie vanaf cd draaien bijvoorbeeld (in virtuele vorm prima te doen). Booten, direct naar je bank website zonder omwegen, je ding doen en weer uitzetten na afloop.

RoestVrijStaal @Verwijderd • 23 oktober 2012 19:50

nieuws: 'FBI betaalde ontwikkelaars voor achterdeur in OpenBSD-ipsec'
Wil je dat nou echt heel zeker?

hardwareaddict @RoestVrijStaal • 24 oktober 2012 17:27

Nee joh kan niet waar zijn. FBI doet dit niet. Dit is werkgebied van de NSA, die creeren alle achterdeurtjes. Niet de FBI...

RoestVrijStaal @hardwareaddict • 25 oktober 2012 14:57

Wat betreft geheime diensten in de VS begint het een beetje op het Nazi-regime te lijken, met de RSHA, SD, Gestapo, Kripo, RSD, Orpo en de Abwehr die overlappende functies hadden, met een machtstrijd als resultaat.

[Reactie gewijzigd door RoestVrijStaal op 26 juli 2024 11:06]

MykelSilver 23 oktober 2012 17:09

Je moet er eigenlijk min of meer vanuit gaan dat je nooit helemaal zeker bent van dat gegevens op je pc wel of niet naar derden zijn verzonden. Het enige wat je wel kan doen is belangrijke bestanden met GPG of andere encryptie versleuteld bewaren, maar ook het ingeven van een ontsleutelingswachtwoord kan al een keer doorgegeven zijn....

ebia @MykelSilver • 23 oktober 2012 17:23

Encryptie helpt ook niet. Want op bepaalde momenten moet je wel de-crypten (als je met die bestanden wilt werken) en dat biedt natuurlijk kans om dingen onversleuteld van jouw PC vandaan te kopieren. Gelukkig zijn de meeste van die trojans niet zo slim, en zijn ze puur uit op je banklogin en andere truuks om je bankrekening te plunderen.

marcovtjetje 23 oktober 2012 17:54

Prul programma. Alle Delphi console applicaties werden blijkbaar automatisch als trojan aangeduidt (poison/ILK oid). (recente versies van Delphi gooien projects default ergens onder Users\ wat door hitman gescanned wordt).

4 verschillende trojans en malwares, allemaal op console programma's gegenereerd met Delphi 2009 en XE, die verder geen speciale API calls (die heuristics zouden triggeren) doen.

Nogmaals gecompileerd en de gegenereerde programma's zijn binair hetzelfde, op de exe info resource na, dus ze zijn ook niet na compilatie geinfecteerd.

In dezelfde map GUI programma's worden niet als malware gezien, dus blijkbaar is iets aan de RTL mbt console programma's wat de errors triggered.

Zo kom ik ook op alarmerende cijfers.

[Reactie gewijzigd door marcovtjetje op 23 juli 2024 13:22]

hardwareaddict @marcovtjetje • 24 oktober 2012 17:26

"Wij van WC-eend adviseren WC-eend"

R-J_W @marcovtjetje • 24 oktober 2012 17:27

Dat is dus een verbeterpunt voor hen...

Maar dat heeft niets met dit onderzoek te maken.
Tenzij deze programma's als de "banking Trojans Zeus, Citadel, SpyEye and Tinba" worden aangemerkt.
... waar heb je je Delphi pakket vandaan?

How did we measure?
2,465,497 users scanned their computer with HitmanPro between October 2011 and October 2012 (1 year). The above mentioned statistics are not based on a laboratory research but are derived from real-world computers. The HitmanPro agent reported back the date the banking Trojan was installed on the computer, including which antivirus program the user was using (including its status) before HitmanPro removed the banking Trojan. The specific banking Trojans we counted for this statistic were Zeus, Citadel, SpyEye and Tinba.

Artikel op hitmanpro.wordpress.com

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (34)

Sorteer op:

Weergave: