Microsoft en Panda laten meeste malware door

Microsoft Security Essentials en Panda Cloud Antivirus laten de meeste malware door, aldus een test van c’t magazine. Het computertijdschrift bestookte 16 antivirusprogramma’s met 248 trojans en ander ‘online gespuis’, die deels zelf waren ontworpen. Volgens het blad een unieke testmethode, omdat de programma’s hierdoor naast de bestaande virussen ook werden getest op bescherming tegen nieuwe bedreigingen.

De systemen waarop werd getest waren met opzet niet optimaal beveiligd. “We wilden immers de beveiligingsfuncties van de AV-programma’s testen en niet de inventiviteit van de virusmakers bij het omzeilen van recente beveiligingsconcepten van het besturingssysteem en de applicaties”, zo laat het blad weten.

Test

Als basis werd daarom Windows XP SP3 gebruikt, waarbij de gebruiker als beheerder was aangemerkt. De test werd uitgevoerd in samenwerking met het Oostenrijkse testorgaan AV-Comparatives. De malware was afkomstig van e-mails die c’t zelf ontving, het NixSpam project en via Usenet gedownloade bestanden.

Avira en Avira Free zetten met slechts één doorgelaten exemplaar de beste score neer, gevolgd door McAfee met drie exemplaren. AVG (65), AVG Free (66,5), Microsoft Security Essentials (70) en Panda (78) laten de meeste malware door.

In het geval van het halve punt bij AVG Free werd deze gegeven omdat de virusscanner de beslissing in één geval aan de gebruiker overliet. “De beveiliging van AVG, Microsoft Security Essentials en Panda Cloud Antivirus, dat eveneens gratis is, is gewoonweg catastrofaal te noemen”, concludeert c’t.

Uitspraak

Toch waarschuwt het blad dat op basis van de resultaten van deze test er absoluut geen algemene uitspraken mogen worden gedaan. Het is bijvoorbeeld onduidelijk hoe goed de scanners tegen exploits en drive-by downloads beschermen.

Daarnaast is aantal testexemplaren te klein om een representatief beeld te krijgen en waren de gebruikte Trojaanse paarden onderdeel van een vrij beperkt aantal malwarefamilies. De volledige test is te lezen in de nieuwste editie van het tijdschrift dat vanaf vandaag in de winkel ligt.

Bron: Security.nl

Windows Defender schiet ernstig tekort op Windows 8

Windows 8 beschikt over een ingebouwde virusscanner van Microsoft, maar de beveiligingssoftware laat ernstig te wensen over, zo blijkt uit onderzoek van het Duitse AV-Test.org. In totaal vergeleek het testorgaan tijdens de eerste test op Windows 8 26 virusscanners, zowel betaald als gratis, waarbij het ingebouwde Windows Defender als basislijn werd genomen.

“De verwachting is dat als een product minder ‘waarde’ dan de basislijn biedt, installatie en gebruik zorgvuldig moet worden overwogen”, zegt Andreas Marx van AV-Test.org tegenover Security.NL. Werd vroeger ook nog het verwijderen van malware getest, dat onderdeel is nu naar een aparte test verplaatst, om zo beter de huidige malware-situatie weer te geven.

Test

De beveiligingspakketten werden vergeleken op bescherming, bruikbaarheid en als nieuw toegevoegd onderdeel prestaties. In totaal konden de 26 virusscanners voor elke categorie 6 punten scoren, oftewel 18 punten in totaal. Voor de bescherming werd gekeken naar de bescherming tegen zero-day malware-aanvallen en detectie van malware uit de laatste vier weken.

De ‘Performance’ test bestond uit de impact van de virusscanner op de werking van de computer, bijvoorbeeld bij het bezoeken van websites, het downloaden, installeren en draaien van software en het kopiëren van data. Als laatste werd de bruikbaarheid beoordeeld, zoals het onterecht waarschuwen voor legitieme software en websites.

Uitslag

Om door AV-Test gecertificeerd te worden moesten de virusscanners minimaal 10 punten scoren, en 1 punt in elke categorie hebben gehaald. AhnLab’s V3 Internet Security en Comodo Internet Security Premium komen met 10 punten het slechtst uit de bus, gevolgd door Microsoft Windows Defender dat 11,5 punten scoort.

BitDefender is met 17 punten de beste virusscanner op Windows 8, met BullGuard Internet Security (16,5) een goede tweede. Kaspersky Lab Internet Security maakt met 16 punten de Top 3 compleet.

Detectie

Wordt er echter naar de verschillende onderdelen gekeken, dan blijkt dat Windows Defender ernstig tekort schiet als het om de detectie van malware gaat. Toch de voornaamste functie van een virusscanner. Windows Defender zet met een 2 de laagste score neer als het gaat om de detectie van malware. Alleen AhnLab scoort even erbarmelijk.

Met name in de detectie van ‘zero-day malware’ laat Windows Defender grote gaten vallen. De virusscanner scoort hier slechts 81% en 82%. De Top 3 virusscanners scoren hier 98% en 100%. Bijna alle geteste producten scoren in deze categorie boven de 90%. AV-Test benadrukt dat het hier om ‘real-world’ testing gaat.

False positives

Dat Windows Defender toch een voldoende scoort dankt het vooral aan de 6 punten voor bruikbaarheid. Geen enkele keer gaf het een vals alarm, beter bekend als ‘false positive’. Het niet detecteren van schone bestanden als malware is een categorie waar Microsoft traditioneel zeer sterk in is. Toch is dit niet voldoende om zich van de rest te onderscheiden. Negen virusscanners halen de maximale 6 punten op dit onderdeel.

Wat betreft prestaties eindigt Windows Defender met een 3,5 in de middenmoot. Alleen Webroot SecureAnywhere Complete weet op dit onderdeel 6 punten te scoren. De uitslag komt voor veel experts niet als een verrassing, die al voor de lancering van Windows 8 waarschuwden dat de ingebouwde virusscanner alleen de meest basale bescherming zou bieden.

Daarom raadt Antivirus Webshop “ESET Smart Security Premium aan!

Bron: Security.nl

Wie is verantwoordelijk bij internetfraude?

Kassa besteedde vorig najaar aandacht aan de aangescherpte voorwaarden van banken bij internetfraude. Rabobank en ABN AMRO vinden dat klanten zelf beter op moeten letten. Mensen die in de ogen van de bank onzorgvuldig omgaan met hun gegevens of adviezen niet opvolgen, krijgen hun schade niet vergoed.

ABN AMRO weigert vergoeding

We kijken vandaag terug op de zaak van Michel Moret. Hij was te gast in de uitzending in oktober. Hij werd in april slachtoffer van internetcriminelen die de rekening van zijn koeriersbedrijf voor bijna €10.000 plunderden. Dat gebeurde een week nadat een eerdere poging door de ABN AMRO ternauwernood was voorkomen. De bank had Moret na dat eerste voorval geadviseerd zijn computer op te schonen, omdat er een virus op zat. Moret liet dat doen door een IT-specialist, maar toch ging het kort daarna mis. ABN AMRO weigert de schade te vergoeden, omdat ze er niet van overtuigd is dat de computer ook echt (adequaat) opgeschoond is en het bewuste virus is verwijderd.

Omgekeerde bewijslast

In haar afwijzingsbrief schrijft ABN AMRO dat ‘we onvoldoende inzicht hebben of uw computer afdoende is geschoond’. Volgens Moret heeft zijn IT-specialist een verklaring afgelegd dat de computer is opgeschoond en virusvrij was, maar gelooft de bank dat niet. Volgens hoogleraar internetveiligheid Michel Van Eeten keert ABN AMRO de bewijslast om. “Deze meneer moet aantonen dat hij te goeder trouw is en alles goed heeft gedaan. Dat is de omgekeerde wereld. ABN AMRO moet zelf haar verdenking hard maken.”

Bank betaalt ‘uit coulance’

ABN AMRO was onvermurwbaar en Michel Moret kreeg zijn geld niet terug. Hij liet het er niet bij zitten en schreef de bank nogmaals aan. In de uitzending van vandaag vertelt hij over het resultaat: Moret krijgt zijn geld tóch terug van de bank, maar alleen omdat de procedure te lang heeft geduurd. De bank vindt nog steeds dat Moret zijn computer niet goed genoeg beveiligde – en daarom zelf aansprakelijk is voor de schade die hij daardoor leed.

Recente aanpassingen

Let op! Per 1 januari 2013 paste de bank de betaalvoorwaarden voor particuliere klanten aan. De paragraaf over veiligheid is fors uitgebreid. Zo worden klanten er op gewezen dat ze, naast de pincode, ook nooit de beveiligingscodes van hun e.dentifier mogen doorgeven. Daarnaast staan in de nieuwe voorwaarden ook eisen aan de computer waarmee mensen thuis bankieren. Klanten moeten zorgen voor beveiligingssoftware, zoals een anti-virusprogramma en een firewall. Ook moeten ze programma’s regelmatig updaten.

Daarom raadt Antivirus Webshop “ESET Smart Security Premium” aan!

Malware infecteert grote hoeveelheid websites op Apache-servers

Mogelijk twintigduizend websites die gehost worden op Apache-servers zijn de afgelopen maanden geïnfecteerd met malware. De toolkit genaamd Darkleech is nog steeds actief en onderzoekers hebben moeite de exacte werking te achterhalen.

Dit meldt Ars Technica op basis van een rondgang bij verschillende beveiligingsexperts. De eerste meldingen van de malware dateren al van augustus vorig jaar en onder andere het blog van Seagate en de site van The Los Angeles Times werden getroffen. Na besmetting van de Apache-server wordt code in websites op de systemen geïnjecteerd. De browser van bezoekers van die websites, opent vervolgens heimelijk een verbinding met andere websites, die malware serveren.

Door de complexiteit van het programma is er echter nog steeds veel onduidelijk rondom Darkleech, onderzoekers weten bijvoorbeeld niet hoe de kwaadaardige software zich op servers nestelt. Het zou via kwetsbaarheden in Plesk of Cpanel kunnen gaan, maar ook wordt social engineering, het kraken van wachtwoorden of het uitbuiten van andere kwetsbaarheden niet uitgesloten. Onderzoekers van Cisco troffen bij een analyse de malware aan op meer dan tweeduizend webservers en schatten op basis daarvan, met de voorzichtige aanname dat zo’n server gemiddeld tien sites host, het totaal aantal geïnfecteerde sites op minstens twintigduizend.

Het onderzoek naar de malware wordt bemoeilijkt doordat niet makkelijk is vast te stellen hoeveel en welke sites er precies geïnfecteerd zijn. Darkleech serveert namelijk niet aan alle bezoekers kwaadaardige links. De malware lijkt ip-adressen te filteren en adressen afkomstig van hostingbedrijven en beveiligingsfirma’s zijn geen doelwit. Ook bezoekers die recentelijk het slachtoffer van een aanval waren of op de betreffende website kwamen via specifieke zoekopdrachten lijken niet getroffen te worden. Darkleech is daarnaast in staat om unieke links die het bezoekers serveert, te genereren.

Het verwijderen van de malware blijkt ook lastig. De malware wijzigt onder andere na besmetting de ssh-binaries op servers. Hierdoor kunnen ze op afstand de authenticatie van de systemen omzeilen en ook bestaande authenticaties onderscheppen. Daarnaast slagen aanvallers er mogelijk in om hun toegang te herstellen na het verwijderen van de kwaadaardige modules via backdoors en rootkits. Overigens is de Darkleech-module zelf niet nieuw: eind september werd hier al melding van gemaakt en toen was de claim al dat de software al twee jaar oud was.

Bron: Tweakers.nl

Virusscanner onmisbaar voor Android-toestellen

Gezond verstand alleen is niet meer genoeg voor eigenaren van een Android-toestel, nu het besturingssysteem steeds meer op Windows begint te lijken, aldus een virusexpert. Stephen Cobb van het Slowaakse anti-virusbedrijf ESET maakte onlangs nog de vergelijking tussen Windows en Android. Het gaat dan niet om de gebruikte architectuur, maar het veroverde marktaandeel.

Daardoor is Android volgens Cobb het platform voor mobiele malwareontwikkelaars geworden. Critici stellen dat Cobb voor eigen parochie preekt en alleen maar anti-virussoftware probeert te verkopen. Wie voorzichtig met het downloaden van apps is en software up-to-date houdt, zou zich geen zorgen hoeven te maken.

Ontwikkeling
Cobb stelt dat hij geen verkoper is, maar alleen naar de bedreigingen voor het platform kijkt. Daaruit zou blijken dat gezond verstand alleen onvoldoende is. Google is nog steeds niet in staat om alle kwaadaardige apps op Google Play te blokkeren. Daarnaast is het nog onduidelijk voor welke toestellen recent aangekondigde beveiligingsmaatregelen beschikbaar worden.

Een ander probleem is dat veel Android-gebruikers zich nog niet bewust zijn van de risico’s die het installeren van apps met zich meebrengen. Cobb denkt dat de veiligheid van Android zich sneller zal ontwikkelen dan met Windows het geval was. Maar totdat het zover is en gebruikers voldoende bewust zijn, moeten die een virusscanner gebruiken.

Voor maar 9,99 euro per jaar beveilig je een Android of Windows toestel.

Bron: security.nl

Een nieuwe rootkit ontdekt door ESET richt zich op Nederlandse Google Chrome-gebruikers die bij de Rabobank zitten.

Het gaat om de Theola-malware die door de Mebroot-rootkit wordt geïnstalleerd. Deze malware installeert verschillende browserplug-ins zodat geld van een bankrekening kan worden gestolen. De nieuwste variant van Theola installeert zich in Google Chrome als ‘Default Plug-in 1.0’.

Zodra slachtoffers op een bepaalde bankwebsite komen, dan worden de inloggegevens en creditcardgegevens onderschept en worden deze naar de aanvallers verstuurd. Rabobank is door de aanvallers hardcoded toegevoegd, zo laat ESET weten en blijkt uit onderstaand screenshot. Daarnaast heeft de malware ondersteuning voor onder meer de Regiobank, SNS, ABN AMRO en de Friesland Bank.

Omdat Theola zich als Chrome-plug-in installeert, is deze voor virusscanners lastiger te detecteren. De plug-in gebruikt namelijk alleen gedocumenteerde methodes om de websites mee te besturen. Inmiddels detecteren de meeste virusscanners de kwaadaardige plug-in al.

Naast het onderscheppen van inloggegevens en besturen van websites kan Theola ook video-opnamen maken, gezien de malware beschikt over MPEG-functionaliteit. ESET ontdekte dat de malware vooral actief is in Nederland, gevolgd door Noorwegen, Italië, Denemarken en de Tsjechische republiek.

Bron: security.nl

Apple beschermt Mac-gebruikers tegen adware

Na de ontdekking van adware voor Mac OS X heeft Apple stilletjes een update voor de in het besturingssysteem ingebouwde virusscanner uitgebracht. Woensdag verscheen een melding van de Yontoo adware die een toenemend aantal Mac-computers zou weten te infecteren. De infecties vinden plaats via zogenaamde videosites waar gebruikers een plug-in moeten downloaden om een filmpje te bekijken.

In werkelijkheid gaat het hier om een een Trojaans paard dat de Yontoo-adware downloadt. Yontoo installeert een plug-in voor Safari, Chrome en Firefox.

De plug-in stuurt vervolgens het surfgedrag van de gebruiker naar een server van derden en toont advertenties op de websites die de gebruiker bezoekt. De adware bleek sommige Mac-gebruikers helemaal gek te maken.

Anti-virus
De XProtect virusscanner in Mac OS X is nu in staat de adware te herkennen, zo ontdekte Mac-beveiliger Intego. Volgens het anti-virusbedrijf gaat het om een zeer specifieke detectie die mogelijk locatieafhankelijk is. Dit is waarschijnlijk gedaan om stiekeme installatie van de Yontoo-bestanden te detecteren.

Bron: Security.nl

Combofix: goed bedoeld onveilig

Behalve de standaard antivirussoftware zijn er veel losse (vaak gratis) pakketten om computers op te schonen van mal en spyware. Waar antivirus continue ‘waakt’ over een systeem worden deze pakketten handmatig door een gebruiker gestart.

Combofix ís zo’n pakket en net als de meeste van dit soort producten gaat het vrij agressief te werk om zo veel mogelijk mal en spyware te kunnen detecteren en te verwijderen. Het is daarom nodig bestaande beveiligingssoftware tijdelijk uit te schakelen. “Disable or close all anti-spyware, anti-malware antivirus real-time protection” is de eerste stap in de handleiding van Combofix. Combofix is een legitiem pakket en door de agressieve scanmethodes zullen veel beveiligingsproducten de werking inderdaad blokkeren. Toch is het een grote sprong van vertrouwen om als gebruiker je eigen bescherming uit te schakelen zodat een 3rd party softwarepakket alles kan doen op je systeem.

Het risico van het blind vertrouwen werd weer duidelijk toen bleek dat er Combofix zélf een virus bevatte. Een aantal anti-viruspakketten zijn in staat om het virus al te herkennen vóórdat combofix wordt uitgevoerd, maar als gebruikers de beveiliging al vóór het downloaden uit hebben gezet is het een verloren zaak.

Veel consumenten lijken dankbaar gebruik te maken van elke “opschoonsoftware” die ze tegenkomen (het is haast bizar hoe sommige computers vervuild zijn met een wildgroei aan dit soort applicaties). Toch blijkt nu weer dat het loont kritisch te zijn met welke applicaties je gebruikt en bovenal vertrouwd.

Voor meer informatie over de geinfecteerde versie van Combofix zie link.

TROJAANS PAARD STEELT MEER DAN 16.000 INLOGGEGEVENS VAN FACEBOOK GEBRUIKERS

ESET meldt dat er ruim 16.000 inloggegevens van Facebook gebruikers zijn gestolen door het trojaanse paard MSIL/Agent.NKY. Met behulp van social engineering is de malware hiertoe in staat geweest. De gestolen persoonlijke Facebook(FB) inloggegevens werden gekoppeld aan de gebruikersstatistieken van Texas HoldEm Poker wanneer het slachtoffer het spel speelde. De detectie statistieken van ESET wijzen erop dat deze threat zich voornamelijk alleen in Israël voor deed. Ook dient er vermeld te worden dat de applicatie waar de malware zijn pijlen op richtte een legitieme door Zynga Inc. gemaakte applicatie is, en volgens AppData een maandelijks gemiddelde van 35 miljoen actieve gebruikers heeft.

Sinds 2012 wordt deze trojan bestudeert door het lab. Mede dankzij de proactieve detectie waren gebruikers van ESET beveiligingsproducten reeds beschermd tegen deze threat sinds december 2011. Zoals de statistieken uitwezen was voornamelijk Israël het doelwit en daarom heeft is begin 2012 contact geweest met de Israëlische CERT(Computer Emergency Response Team) en politie. Gedurende het onderzoek kon er geen publiek statement gemaakt worden en inmiddels is de bedreiging onschadelijk gemaakt.

De aanvaller heeft de malware gebruikt om FB inloggegevens, de score en de hoeveelheid creditcards binnen de facebook settings waarmee de speler zijn/haar krediet binnen het pokerspel konden opgeven, te stelen. Het spel had een functie waarmee het aantal chips kon worden aangevuld met echt geld door gebruik te maken van de creditcard informatie of PayPal gegevens. Om de inloggegevens te verkrijgen werd een leger van 800 computers gebruikt, allemaal geïnfecteerd door de aanvaller. Deze machines voerde commando’s uit vanaf de C&C(Command&Control) server. De maker van deze bedreiging startte de aanval door gebruik te maken van inloggegevens van verschillende FB accounts welke reeds voor hem/haar beschikbaar waren.

“Om je te beschermen tegen Social Engineering aanvallen is het hebben van een goede beveiligingsoplossing niet genoeg. Gebruikers moeten ten alle tijden bewust zijn van de mogelijkheid.” Zegt Nienke Ryan, Managing Director van SpicyLemon. Zij voegt toe “De gebruiker zou de nagemaakte FB login pagina kunnen herkennen als hij of zij de URL van de site controleert.”

De geïnfecteerde computers ontvingen een commando om in te loggen op de FB account van de gebruiker om vervolgens toegang te krijgen tot de Texas HoldEm score en het aantal creditcards gelinkt met FB. In gevallen waar er geen creditcard was toegevoegd, of de gebruiker een lage score had, werd er op het FB profiel een link geplaatst naar een nagemaakte FB login pagina. Deze pagina lokte nog meer gebruikers (De vrienden van het slachtoffer) naar de site welke sterk op de officiële FB pagina leek. Wanneer een gebruiker zijn of haar gegevens ingaf werden deze door de aanvaller opgeslagen. Tijdens de analyse van dit botnet is het aantal gestolen logingegevens op 16.194 geschat. Elke andere FB applicatie kan op deze manier doelwit zijn. Klik hier voor meer informatie op ons blog.

Het aantal bedreigingen wat Facebook gebruikt groeit snel. Om deze trend tegen te gaan is er nu een nieuwe applicatie de ESET Social Media Scanner welke gratis is te gebruiken en in staat is om het profiel van de gebruiker te scannen op kwaadaardige of phishing links. Tevens is de app in staat om kwaadaardige links op de Timeline van vrienden te detecteren.

Over SpicyLemon
SpicyLemon is beveiligingsspecialist van onder andere een nieuwe generatie computerbeveiliging van ESET NOD32 Antivirus, Acronis Backup en Puresight, voor een veilig internet voor kinderen. Een nieuwe generatie, omdat de producten sneller en betrouwbaarder werken dan concurrerende producten en net even anders dan anders functioneren. Bovendien gebruiken de producten hiervoor een minimum aan systeemresources. Daarnaast biedt SpicyLemon seminars, gastlessen en informatie aan om organisaties en gebruikers te ondersteunen bij het inzetten van technologie. Zo kunnen zij een maximaal beveiligde ICT-omgeving realiseren en optimaal gebruik maken van de digitale mogelijkheden.

Bron: SpicyLemon.nl