Botnet zuigt Windows-computers leeg

Een botnet dat Windows-computers infecteert steelt op grote schaal bestanden van besmette machines. Het gaat om het Travnet-botnet dat mogelijk onderdeel van een gerichte spionagecampagne is. Slachtoffers krijgen een kwaadaardig Excel- of Word-bestand toegestuurd dat van een beveiligingslek uit 2010 misbruik maakt. Eenmaal geopend wordt de Travnet-malware geïnstalleerd.

Die steelt naast vertrouwelijk informatie van de computer ook allerlei documentbestanden. Door middel van datacompressie en coderingsmethoden zou Travnet een gigantische hoeveelheid data, waaronder grote bestanden, kunnen stelen. Dat zegt McAfee-analist Umesh Wanve.

Datadief

Eerst verzamelt de malware gevoelige informatie over de computer, zoals computernaam, IP-adres, gebruikersnaam, besturingssysteem, lijst van draaiende processen, IP config details en informatie over verschillende accounts op het systeem. De malware maakt het bestand system_t.dll aan waar de informatie in platte tekst wordt opgeslagen.

De data in dit bestand kan volgens Wanve gigantisch zijn, afhankelijk van de actieve processen en IP config details. Door middel van datacompressie wordt de omvang van het bestand beperkt.

Documenten

Vervolgens wordt er op de computer naar documentbestanden gezocht met doc, docx, xls, txt, rtf en pdf extensies. Vervolgens worden ook alle bestanden van de desktop van het slachtoffer buitgemaakt. Al deze gegevens worden naar een remote server gestuurd, waarna de Travnet-bot in slaapstand gaat en op nadere opdrachten wacht.

McAfee vermoedt dat de aanvallers de initiële computergegevens gebruiken om gevoelige gegevens van een bepaalde groep te stelen. Daarnaast zou alle informatie die naar de remote server wordt gestuurd actief door de aanvallers worden gemonitord.

Bron: Security.nl

Internetbankieren Filipijnen evenaart Nederland

Internetbankieren is niet alleen in Nederland erg populair, ook in de Filipijnen wordt het massaal door de bevolking gebruikt. Driekwart van de Filipino’s doet bijna alle bankzaken vanaf computer, tablet of smartphone. Slechts een kwart gaat nog naar een kantoor, meestal voor afspraken met bank- of accountmanagers, zo blijkt uit onderzoek van Citi Bank.

Van alle Filipino’s die aan het onderzoek meededen had 9% nog nooit aan internetbankieren gedaan. Internetbankieren en mobiel bankieren groeit explosief in Azië, aldus de bank. Inmiddels zou 98% van alle transacties buiten een kantoor plaatsvinden. In veel gevallen wordt daarbij gebruik gemaakt van mobiel bankieren. Citi Bank heeft inmiddels in Azië 1 miljoen mensen die de mobiel bankieren app gebruiken.

Het Centraal Bureau voor de Statistiek (CBS) stelde vorig jaar dat 79% van de Nederlanders aan internetbankieren doet. Een onderzoek eerder dit jaar van comScore houdt het op 66%.

Bron: Security.nl

Nep-virusscanner belaagt Android-gebruikers

Net als met Windows en Mac OS X worden ook gebruikers van het Android-platform verleid tot het downloaden en installeren van nep-virusscanners. Er is een nieuwe campagne gaande waarbij verschillende Android-apps advertenties tonen waarin de gebruiker wordt gevraagd om zijn tablet of smartphone op virussen en spyware te laten scannen.

Kosten

Vervolgens verschijnt er een grote waarschuwing die meldt dat er malware is aangetroffen en vraagt de gebruiker of hij een virusscanner wil downloaden en uitvoeren. In werkelijkheid is het een Trojaans paard dat de gebruiker geld probeert af te troggelen. Om de zogenaamd gevonden malware te verwijderen moet de gebruiker ‘Armor for Android’ activeren, wat geld kost.

Naast waarschuwingen in het hoofdmenu laat de nep-virusscanner ook berichten in net ‘notification panel’ zien. Volgens het Russische anti-virusbedrijf Dr. Web zou deze familie van nep-virusscanners voor Android sinds oktober 2012 actief zijn.

Daarom raadt Antivirus Webshop “ESET Mobile Security” aan!

Bron: Security.nl

Botnet bestookte WordPress-blogs met miljoenen logins

Het botnet dat vorige week op grote schaal WordPress-blogs scande probeerde alleen op donderdag al meer dan een miljoen keer in te loggen. Hostingbedrijf HostGator zag dat 90.000 verschillende IP-adressen veelgebruikte gebruikersnamen en wachtwoorden probeerden om toegang tot de blogs en websites van klanten te krijgen.

Ook hostingbedrijf LiquidWeb werd door de aanvallen getroffen, wat ervoor zorgde dat sommige servers onbereikbaar waren. Volgens beveiligingsbedrijf Sucuri krijgen WordPress-blogs dagelijks 30.000 scans te verduren. In april steeg dit naar 100.000 scans, met een piek op donderdag 11 april. Toen werden meer dan 1 miljoen scans waargenomen.

Aanval

“Wat als een bovengemiddelde brute force-aanval begon, is naar een grootschalige aanval uitgegroeid”, zegt Daniel Cid, CTO van Sucuri. Hij merkt op dat de intenties van de aanvallers nog steeds niet duidelijk zijn. “Wat we wel weten is dat de aanval echt is en afneemt. Wat we ook weten is dat het botnet geen complexe gebruikersnamen en wachtwoordlijsten probeert.

Alleen met de gebruikersnaam ‘admin’ werd al 1,8 miljoen keer geprobeerd in te loggen. WordPress-beheerders krijgen het advies om twee-factor authenticatie te gebruiken en een whitelist in te stellen van wie er toegang tot het beheerdersgedeelte heeft.

Het was trouwens niet de eerste keer dat WordPress-blogs op deze grootschalige manier worden aangevallen. In oktober 2012 werden 15.000 websites op een soortgelijke manier gehackt.

Bron: Security.nl

Meldpunt Cybercrime verhuisd naar politie.nl

Het Meldpunt Cybercrime, waar internetgebruikers zaken als kinderporno, kindersekstoerisme en terrorisme kunnen rapporteren, is geen apart meldpunt meer. Jaarlijks kwamen er honderden meldingen bij het meldpunt binnen, dat via de website meldpuntcybercrime.nl te vinden was. Dit naast meldingen die via andere kanalen, zoals bijvoorbeeld aan de balie of via een wijkagent, bij de politie terecht kwamen.

Daarom is besloten het Meldpunt Cybercrime onder te brengen bij de website van de politie, politie.nl. De politiesite biedt burgers meer meldmogelijkheden om via internet aangifte te doen of zaken te rapporteren. Naast de al bestaande mogelijkheden voor transportcriminaliteit, klachten en aangiftes zijn daar nu kinderporno, kindersekstoerisme en terrorisme bijgekomen.

De politie is van plan het generieke meldpunt op de website verder uit te breiden en het ook mogelijk te maken om van internetoplichting aangifte te doen of dit te melden.

Bron: Security.nl

Android-malware infecteert 60.000 smartphones

Een Android-app die zich voordoet als een theme of upgrade van het luxemerk Vertu, heeft in Korea en Japan tussen de 50.000 en 60.000 toestellen geïnfecteerd. Tijdens de installatie toont de Smsilence-malware een laadscherm, terwijl in de achtergrond het telefoonnummer van het toestel bij een externe server wordt gemeld. Daarna stelt de malware een internetfilter op het toestel in.

Dit filter zorgt ervoor dat berichten eerst door de malware worden verwerkt, die ze naar dezelfde server doorstuurt waar ook het telefoonnummer naar toe ging. Anti-virusbedrijf McAfee wist toegang tot de server te krijgen waarmee de besmette toestellen worden bestuurd.

Google Play

Daar werd verder ontdekt dat de dreiging meerdere domeinen en apps gebruikt om zich te verspreiden. Onder andere een zogenaamde anti-virus app die op Google Play werd aangeboden en inmiddels is verwijderd. Er werden zo 20 valse apps van andere bekende merken aangetroffen.

In eerste instantie waren alleen Zuid-Koreaanse Android-gebruikers het doelwit, maar daar zijn nu ook Japanse gebruikers bijgekomen. Naast het versturen van informatie kan Smsilence ook aanvullende spyware downloaden.

Beveiliging

Door het protocol dat Japanse telecomaanbieders voor sms-berichten gebruiken is het volgens analist Irfan Asrar zeer lastig om een mobiel botnet van buiten Japan te besturen. Hij vraagt zich dan ook af of de malwaremakers een lokale handlanger hebben die bij de verspreiding van de malware of het besturen van besmette toestellen heeft geholpen.

Daarom raadt Antivirus Webshop “ESET Mobile Security” aan!

Bron: Security.nl

Microsoft verwacht meer Windows XP infecties in 2014

Microsoft verwacht dat meer Windows XP computers met malware besmet zullen raken als op 8 april 2014 de ondersteuning stopt. Wereldwijd zijn er nog zo’n 600 miljoen computers die het besturingssysteem gebruiken dat elf jaar geleden op 25 oktober 2001 verscheen. Volgend jaar om deze tijd wordt Windows XP niet meer ondersteund en dat heeft gevolgen voor de veiligheid van gebruikers.

“Dit betekent dat nieuw ontdekte beveiligingslekken in Windows XP niet door nieuwe beveiligingsupdates van Microsoft worden verholpen”, zegt Tim Rains, directeur Trustworthy Computing. Dit maakt het volgens Rains eenvoudiger voor aanvallers om Windows XP-computers te kapen via exploits voor ongepatchte lekken.

“In dit scenario zijn virusscanners en andere beveiligingsoplossingen in het nadeel en zullen naarmate de tijd verstrijkt steeds minder in staat zijn om het Windows XP platform te beschermen.”

Infecties

Rains wijst naar Windows XP met Service Pack 2 als voorbeeld van wat er kan gaan gebeuren. De ondersteuning van computers met Windows XP SP2 eindigde op 13 juli 2010. Het besturingssysteem heeft op dit moment met meer infecties te maken dan Windows XP met SP3 of de nieuwere Windows-versies zoals Vista, Windows 7 en Windows 8.

Met een geschatte 1,5 miljard computers en een marktaandeel van 39% zou dit betekenen dat er zo’n 600 miljoen computers nog op Windows XP draaien. Vooral in bedrijven is het besturingssysteem nog altijd erg populair. In Nederland wordt XP door nog 2,7 miljoen mensen gebruikt.

Bron: Security.nl

Microsoft en Panda laten meeste malware door

Microsoft Security Essentials en Panda Cloud Antivirus laten de meeste malware door, aldus een test van c’t magazine. Het computertijdschrift bestookte 16 antivirusprogramma’s met 248 trojans en ander ‘online gespuis’, die deels zelf waren ontworpen. Volgens het blad een unieke testmethode, omdat de programma’s hierdoor naast de bestaande virussen ook werden getest op bescherming tegen nieuwe bedreigingen.

De systemen waarop werd getest waren met opzet niet optimaal beveiligd. “We wilden immers de beveiligingsfuncties van de AV-programma’s testen en niet de inventiviteit van de virusmakers bij het omzeilen van recente beveiligingsconcepten van het besturingssysteem en de applicaties”, zo laat het blad weten.

Test

Als basis werd daarom Windows XP SP3 gebruikt, waarbij de gebruiker als beheerder was aangemerkt. De test werd uitgevoerd in samenwerking met het Oostenrijkse testorgaan AV-Comparatives. De malware was afkomstig van e-mails die c’t zelf ontving, het NixSpam project en via Usenet gedownloade bestanden.

Avira en Avira Free zetten met slechts één doorgelaten exemplaar de beste score neer, gevolgd door McAfee met drie exemplaren. AVG (65), AVG Free (66,5), Microsoft Security Essentials (70) en Panda (78) laten de meeste malware door.

In het geval van het halve punt bij AVG Free werd deze gegeven omdat de virusscanner de beslissing in één geval aan de gebruiker overliet. “De beveiliging van AVG, Microsoft Security Essentials en Panda Cloud Antivirus, dat eveneens gratis is, is gewoonweg catastrofaal te noemen”, concludeert c’t.

Uitspraak

Toch waarschuwt het blad dat op basis van de resultaten van deze test er absoluut geen algemene uitspraken mogen worden gedaan. Het is bijvoorbeeld onduidelijk hoe goed de scanners tegen exploits en drive-by downloads beschermen.

Daarnaast is aantal testexemplaren te klein om een representatief beeld te krijgen en waren de gebruikte Trojaanse paarden onderdeel van een vrij beperkt aantal malwarefamilies. De volledige test is te lezen in de nieuwste editie van het tijdschrift dat vanaf vandaag in de winkel ligt.

Bron: Security.nl

Windows Defender schiet ernstig tekort op Windows 8

Windows 8 beschikt over een ingebouwde virusscanner van Microsoft, maar de beveiligingssoftware laat ernstig te wensen over, zo blijkt uit onderzoek van het Duitse AV-Test.org. In totaal vergeleek het testorgaan tijdens de eerste test op Windows 8 26 virusscanners, zowel betaald als gratis, waarbij het ingebouwde Windows Defender als basislijn werd genomen.

“De verwachting is dat als een product minder ‘waarde’ dan de basislijn biedt, installatie en gebruik zorgvuldig moet worden overwogen”, zegt Andreas Marx van AV-Test.org tegenover Security.NL. Werd vroeger ook nog het verwijderen van malware getest, dat onderdeel is nu naar een aparte test verplaatst, om zo beter de huidige malware-situatie weer te geven.

Test

De beveiligingspakketten werden vergeleken op bescherming, bruikbaarheid en als nieuw toegevoegd onderdeel prestaties. In totaal konden de 26 virusscanners voor elke categorie 6 punten scoren, oftewel 18 punten in totaal. Voor de bescherming werd gekeken naar de bescherming tegen zero-day malware-aanvallen en detectie van malware uit de laatste vier weken.

De ‘Performance’ test bestond uit de impact van de virusscanner op de werking van de computer, bijvoorbeeld bij het bezoeken van websites, het downloaden, installeren en draaien van software en het kopiëren van data. Als laatste werd de bruikbaarheid beoordeeld, zoals het onterecht waarschuwen voor legitieme software en websites.

Uitslag

Om door AV-Test gecertificeerd te worden moesten de virusscanners minimaal 10 punten scoren, en 1 punt in elke categorie hebben gehaald. AhnLab’s V3 Internet Security en Comodo Internet Security Premium komen met 10 punten het slechtst uit de bus, gevolgd door Microsoft Windows Defender dat 11,5 punten scoort.

BitDefender is met 17 punten de beste virusscanner op Windows 8, met BullGuard Internet Security (16,5) een goede tweede. Kaspersky Lab Internet Security maakt met 16 punten de Top 3 compleet.

Detectie

Wordt er echter naar de verschillende onderdelen gekeken, dan blijkt dat Windows Defender ernstig tekort schiet als het om de detectie van malware gaat. Toch de voornaamste functie van een virusscanner. Windows Defender zet met een 2 de laagste score neer als het gaat om de detectie van malware. Alleen AhnLab scoort even erbarmelijk.

Met name in de detectie van ‘zero-day malware’ laat Windows Defender grote gaten vallen. De virusscanner scoort hier slechts 81% en 82%. De Top 3 virusscanners scoren hier 98% en 100%. Bijna alle geteste producten scoren in deze categorie boven de 90%. AV-Test benadrukt dat het hier om ‘real-world’ testing gaat.

False positives

Dat Windows Defender toch een voldoende scoort dankt het vooral aan de 6 punten voor bruikbaarheid. Geen enkele keer gaf het een vals alarm, beter bekend als ‘false positive’. Het niet detecteren van schone bestanden als malware is een categorie waar Microsoft traditioneel zeer sterk in is. Toch is dit niet voldoende om zich van de rest te onderscheiden. Negen virusscanners halen de maximale 6 punten op dit onderdeel.

Wat betreft prestaties eindigt Windows Defender met een 3,5 in de middenmoot. Alleen Webroot SecureAnywhere Complete weet op dit onderdeel 6 punten te scoren. De uitslag komt voor veel experts niet als een verrassing, die al voor de lancering van Windows 8 waarschuwden dat de ingebouwde virusscanner alleen de meest basale bescherming zou bieden.

Daarom raadt Antivirus Webshop “ESET Smart Security Premium aan!

Bron: Security.nl

Wie is verantwoordelijk bij internetfraude?

Kassa besteedde vorig najaar aandacht aan de aangescherpte voorwaarden van banken bij internetfraude. Rabobank en ABN AMRO vinden dat klanten zelf beter op moeten letten. Mensen die in de ogen van de bank onzorgvuldig omgaan met hun gegevens of adviezen niet opvolgen, krijgen hun schade niet vergoed.

ABN AMRO weigert vergoeding

We kijken vandaag terug op de zaak van Michel Moret. Hij was te gast in de uitzending in oktober. Hij werd in april slachtoffer van internetcriminelen die de rekening van zijn koeriersbedrijf voor bijna €10.000 plunderden. Dat gebeurde een week nadat een eerdere poging door de ABN AMRO ternauwernood was voorkomen. De bank had Moret na dat eerste voorval geadviseerd zijn computer op te schonen, omdat er een virus op zat. Moret liet dat doen door een IT-specialist, maar toch ging het kort daarna mis. ABN AMRO weigert de schade te vergoeden, omdat ze er niet van overtuigd is dat de computer ook echt (adequaat) opgeschoond is en het bewuste virus is verwijderd.

Omgekeerde bewijslast

In haar afwijzingsbrief schrijft ABN AMRO dat ‘we onvoldoende inzicht hebben of uw computer afdoende is geschoond’. Volgens Moret heeft zijn IT-specialist een verklaring afgelegd dat de computer is opgeschoond en virusvrij was, maar gelooft de bank dat niet. Volgens hoogleraar internetveiligheid Michel Van Eeten keert ABN AMRO de bewijslast om. “Deze meneer moet aantonen dat hij te goeder trouw is en alles goed heeft gedaan. Dat is de omgekeerde wereld. ABN AMRO moet zelf haar verdenking hard maken.”

Bank betaalt ‘uit coulance’

ABN AMRO was onvermurwbaar en Michel Moret kreeg zijn geld niet terug. Hij liet het er niet bij zitten en schreef de bank nogmaals aan. In de uitzending van vandaag vertelt hij over het resultaat: Moret krijgt zijn geld tóch terug van de bank, maar alleen omdat de procedure te lang heeft geduurd. De bank vindt nog steeds dat Moret zijn computer niet goed genoeg beveiligde – en daarom zelf aansprakelijk is voor de schade die hij daardoor leed.

Recente aanpassingen

Let op! Per 1 januari 2013 paste de bank de betaalvoorwaarden voor particuliere klanten aan. De paragraaf over veiligheid is fors uitgebreid. Zo worden klanten er op gewezen dat ze, naast de pincode, ook nooit de beveiligingscodes van hun e.dentifier mogen doorgeven. Daarnaast staan in de nieuwe voorwaarden ook eisen aan de computer waarmee mensen thuis bankieren. Klanten moeten zorgen voor beveiligingssoftware, zoals een anti-virusprogramma en een firewall. Ook moeten ze programma’s regelmatig updaten.

Daarom raadt Antivirus Webshop “ESET Smart Security Premium” aan!