Malwaredreigingen herkennen en verwijderen

De tien grote malwarefamilies

05 juni 2014 | Merijn Gelens

 
De tien grote malwarefamilies

De creatie van malware is niet een proces dat uit schrijven en lanceren bestaat. Een beetje dreiging wordt door de makers steeds opnieuw geüpdatet om langs de beveiliging te glippen of – als er een lek misbruikt wordt voor infecties – van lek te wisselen. Dat maakt het indexeren van malware een heel lastige klus. Een aanval kan bij wijze van spreken eerst een week binnendringen via ongewenste e-mail en vervolgens van modus wisselen naar aanvallen per webpagina. Op dezelfde manier kan het de ene week bankgegevens stelen en de week erop wisselen en ineens achter wachtwoorden voor websites aan gaan.

 

De indexering wordt nog lastiger omdat er commerciële software bestaat die helpt bij het maken van aanvallen. Voor beveiligers is meestal wel te herkennen dat een aanval met een bepaald kant-en-klaar pakket gemaakt is, maar moet het nu als een generieke aanval van dat pakket gezien worden, of is het onderdeel van de aanvallen van bijvoorbeeld een digitale bende en kan het beter onder die noemer vallen?

De oplossing voor dit probleem is om zo goed en kwaad als het gaat malware in families onder te verdelen. Zo is er bijvoorbeeld de ‘Zeus’ familie van Trojanen die zich vooral richt op het stelen van bankgegevens. Malware kan onder een bepaalde familienaam jaren actief zijn terwijl het toch wekelijks en soms zelfs dagelijks of op het uur van praktische gedaante wisselt. En een jaren oud stuk malware kan van de ene op de andere dag in een nieuwe vorm weer de top tien bestormen.

Beveiligingsfabrikanten moeten snel reageren als er een nieuwe uitbraak van malware gedetecteerd wordt. Tijd om rustig af te stemmen welke naam een bepaalde aanval krijgt, is er niet. Ook is er geen overeenstemming hoe malware precies geïndexeerd wordt. Daarom kan dezelfde malwarefamilie bij verschillende fabrikanten onder compleet andere namen bekend staan en zelfs onder compleet andere verschijningsvormen geregistreerd staan. Om onze lijst van veelvoorkomende aanvallen zo compleet mogelijk te krijgen, hebben we de meest voorkomende aanvalsvormen gekoppeld aan de meest voorkomende voorbeelden van F-Secure, G Data en Kaspersky.

1. Privacyschender – Relevant Knowledge

Onder de naam adware brengen fabrikanten malware onder die je computer bestookt met ongewenste advertenties. De software onder de naam ‘Relevant Knowledge’ wordt in zijn verschillende vormen al een aantal jaar geclassificeerd als adware.relevant door verschillende beveiligers. De fabrikant zelf beweert overigens dat dit geen malware is maar een dienst. De reden dat er gescand wordt is dat de software standaard geïnstalleerd wordt als onderdeel van een softwarebundel. Je haalt op internet een gratis pdf-maker, screensaver of YouTube-downloader op en ergens in de voorwaarden blijk je akkoord gegeven te hebben op installatie van deze software. Teken dat je mogelijk geïnfecteerd bent met ‘Relevant Knowledge’ is dat er ineens veel extra advertenties verschijnen als je webpagina’s bezoekt, vaak ook van een online enquête. In de achtergrond luistert deze malware naar je webverkeer en probeert het gebruiksstatistieken naar de ontwikkelaars te sturen.

  • Voorkomen: Lees bij het downloaden van gratis software altijd goed de installatiemenu’s, kies altijd voor de aangepaste installatie, en let vooral heel goed op wat er in de hokjes wordt aangevinkt. 
  • Genezen: De enige betrouwbare manier om van Relevant Knowledge af te komen is met een beveiligingsscan. Download bij vermoeden van infectie een beveiligingsoplossing en voer een volledige systeemscan uit.

2. Ransomware – Politievirus/UKash

Het zal je maar gebeuren. Je installeert een gratis screensaver en ineens blijkt de federale politie al je illegale bestanden gevonden te hebben. Je mag kiezen tussen boete betalen of bestanden nooit meer zien! Natuurlijk is het niet werkelijk de politie die achter deze actie zit, maar ben je slachtoffer van malware. Zogenaamde ransomware versleutelt je bestanden en eist betaling als je ze ooit nog wil kunnen openen. Aanvallen met deze malware komen in vlagen ieder jaar voor en worden heel specifiek op landen gericht. Zo zal een Duitse gebruiker melding krijgen van het ‘Bundeskriminalamt’ (BKA) terwijl we in België vooral door Ecops, of gewoon de Politie, worden benaderd. Wat je na deze melding zeker niet moet doen is betalen. Je moedigt criminaliteit aan en in de meeste gevallen krijg je je bestanden nog steeds niet terug. Daarnaast stel je door te betalen ook nog eens je betaalgegevens bloot aan criminelen.

  • Voorkomen: Een betrouwbare en bijgewerkte beveiligingstoepassing zal in bijna alle gevallen deze besmetting kunnen blokkeren.
  • Genezen: Zit de computer op slot, schrijf dan de naam van de ‘politiedienst’ op en zoek met een andere pc op die naam bij de fabrikanten van beveiligingssoftware. In veel gevallen is er een kant en klare noodoplossing beschikbaar om je computer weer van het slot te halen.

3. Bank-Trojaan – ZeusVM

Niemand is heel erg verrast dat met de opkomst van online bankieren ook online bankrovers zijn meegekomen. Meest populair zijn ‘banking Trojans’, besmettingen die zich voordoen als een ander, vriendelijk bestand maar die in werkelijkheid afluistersoftware op je systeem zetten die heel gericht achter je bankgegevens aan gaat. Al enige jaren is Zeus de koning onder de bank-Trojanen. De makers van deze agressieve besmetting verhuren hun creatie aan bendes en passen de code met zulke grote regelmaat aan dat beveiligers moeten werken voor hun geld om bij te blijven. De malware kan na besmetting toevoegingen op webpagina’s maken. Je kan een besmetting opmerken als je bank vanaf de eigen site ineens extra vragen gaat stellen bij het inloggen, bijvoorbeeld je pincode. Zeus laat zich op afstand besturen en ZeusVM, de laatste versie, haalt zijn configuratie op uit speciale jpg-bestanden, wat detectie heel lastig maakt. Besmettingen met Zeus worden meestal uitgevoerd via de mail, gehackte websites en via advertenties die proberen malware te installeren.

  • Voorkomen: In het geval van Trojanen is de wijsheid om geen rare bijlages bij de mail te openen nog steeds heel waar, alhoewel dit geen honderd procent bescherming geeft. Zeer goede en up-to-date beveiligingssoftware helpt  beter.
  • Genezen: Als de website van de bank er anders uit lijkt te zien dan normaal, en er is geen melding gedaan van verandering, neem dan altijd direct contact op met de helpdesk. De meeste banken hebben tegenwoordig een speciaal nummer voor vreemd gedrag van de online bank. Daarnaast is het installeren van goede up-to-date beveiliging essentieel als je de computer voor bankzaken gebruikt.

4. Botnet – Mevade

Een botnet kan onderdeel zijn van andere besmettingen, maar is op zichzelf ook een doel voor criminelen. Geïnfecteerde computers die onderdeel van een botnet worden, zijn op afstand te gebruiken door degene die de besmetting heeft gemaakt. Bij inzet als onderdeel van bijvoorbeeld Zeus wordt een botnet specifiek voor bankroof gebruikt. Algemenere botnets worden bijvoorbeeld ingezet om websites met een zogenaamde DDOS-aanval plat te leggen. Alle geïnfecteerde computers worden dan gelijktijdig gebruikt om zo veel mogelijk een website te benaderen waardoor de site overbelast raakt. Het Mevade-botnet, dat eind vorig jaar werd ontdekt, is bijzonder. Het gebruikt namelijk het anonieme Tor-netwerk om de geïnfecteerde computers aan te sturen. Dit leidde tot een dusdanige stijging van het aantal Tor-gebruikers, dat het op ging vallen. Mevade installeert op geïnfecteerde computers vaak toolbars en advertentiesoftware en kan je bestanden stelen. Is je browser onverklaarbaar een toolbar rijker, dan kan dat op een besmetting duiden.

  • Voorkomen: Om een infectie met Mevade te voorkomen gelden de gangbare regels van voorzichtig computergebruik: vertrouw niet zomaar alle bestanden en installeer beveiliging.
  • Genezen: Als je besmet denkt te zijn met Mevade, installeer dan een betrouwbare beveiligingssuite en voer een volledige systeemscan uit.

5. Java exploit – Majava

Niet iedereen weet dat er een verschil is tussen Java en Javascript. Javascript is een eenvoudige programmeertaal die door webbrowsers geïnterpreteerd wordt. Ontwikkelaars gebruiken het om bijzondere effecten op webpagina’s te maken. Java is een andere programmeertaal om met de Java Runtime Engine op een computer acties uit te voeren. Java is niet nodig om Javascript te draaien, maar wordt wel nog regelmatig gebruikt in het (wiskunde-)onderwijs. Historisch heeft Java een zeer slechte reputatie als het om beveiliging gaat. De meeste beveiligers raden aan om Java niet te installeren tenzij je echt niet anders kan. Verschillende malware maakt gebruik van Java om systemen te infecteren. Majava is een generieke detectie van malware die Java gebruikt om systemen te infecteren. Deze malware is waarschijnlijk gemaakt met een kant-en-klaar programma en kan gegevens op geïnfecteerde computers bekijken, databanken infiltreren en gebruik van de computer overnemen. Als je Java draait en de computer lijkt uit zichzelf met bestanden te werken, dan is een grondige scan geen slecht idee.

  • Voorkomen: De beste bescherming tegen Java-malware is geen Java draaien. Haal het van je systeem tenzij je echt niet anders kan. Moet je toch met Java werken, hou dan de updates goed bij.
  • Genezen: Een infectie met een Java-exploit haal je niet weg door achteraf Java te verwijderen. Gebruik liever een up-to-date beveiligingsprogramma om de besmetting te verwijderen. 

6. Virus – Sality

De term antivirus is achterhaald omdat een virus slechts één specifieke verschijningsvorm van malware is. Een virus is ongewenste code die zich in gewenste code nestelt om zo je systeem te infecteren. In al het geweld van Trojanen en wormen zijn virussen een tijd lang bijna afwezig geweest, maar ze lijken met een comeback bezig te zijn. Sality is een virus dat na activering probeert om alle opstartbare bestanden op je computer, netwerk en externe schijven te infecteren. Bij start van een geïnfecteerd bestand leidt Sality de code naar een omweg om eerst zichzelf te starten. Daarnaast probeert het zichzelf via het register bij de start van de computer aan te zetten, haalt het via internet extra bestanden op en probeert het beveiligingssoftware uit te schakelen. Overigens stamt Sality al uit 2003 en was het oorspronkelijk een toepassing waarmee onder meer toetsaanslagen werden vastgelegd. Tegenwoordig worden geïnfecteerde computers onderdeel van een botnet en gebruiken de criminelen achter de software de computers van hun slachtoffers om meer software te downloaden en aanvallen uit te voeren.

  • Voorkomen: Besmetting met een virus voorkom je door geen vreemde bestanden te openen en up-to-date beveiligingssoftware te draaien.
  • Genezen: Als je grote problemen hebt met het updaten van je beveiligingssoftware is het verstandig om op een schone computer een opstartbare USB-stick met malwarescanner te maken en je computer vanaf een koude start eens te scannen en schoon te maken.

7. Browser plugin – AddLyrics

Ben je benieuwd naar de tekst van een liedje? Niet als je geïnfecteerd bent met AddLyrics. De fabrikant van deze toepassing ziet zijn software als legitiem, maar AddLyrics wordt door beveiligers geclassificeerd als een PUP (potentially unwanted program). Nadat je de software om bij het kijken naar muziek op YouTube direct de songtekst te zien geïnstalleerd hebt, worden instellingen in je browser (Firefox, Chrome en Internet Explorer) veranderd, wijzigt je homepage en kom je na het klikken op links niet altijd op de pagina waarnaar gelinkt wordt terecht. AddLyrics verandert zoekresultaten, houdt bij waar je naartoe surft en slaat gebruikersnamen en wachtwoorden op. Dat is veel werk, en het vertraagt daarom je browser. AddLyrics zet je computer open om meer toepassingen te installeren en je kan daarom ineens een extra toolbar tegenkomen in je webbrowser.

  • Voorkomen: Let goed op wat je installeert als je gratis software ophaalt en gebruik altijd de aangepaste versie van de installatie. Zoek voor je gratis software gebruikt eerst op de naam van de toepassing; dat je AddLyrics niet wil installeren zie je direct aan alle verwijdertips als je erop zoekt in Google.
  • Genezen: AddLyrics kun je met de hand verwijderen via ‘Een programma verwijderen’ in het configuratiescherm. Daarna moet je ook nog in al je browsers de plug-in of extensie met de hand verwijderen. De snellere route is gewoon een beveiligingstoepassing laten scannen.

8. Rootkit – ZeroAccess

ZeroAccess is de bekendste rootkit van de laatste jaren. Deze enorme malware-infectie heeft naar schatting meer dan negen miljoen computers wereldwijd geïnfecteerd. Hoewel Microsoft in december van vorig jaar samen met Europol en de Duitse BKA een dodelijke slag toegebracht lijkt te hebben aan dit netwerk, is het volgens andere beveiligers een kwestie van wachten tot het weer op volle sterkte is. ZeroAccess is in de basis een zogenaamde rootkit. Het installeert bestanden op de computer die nog voor Windows volledig start al actief worden. Op die manier zorgt ZeroAccess dat het beveiligingssoftware voor kan zijn. Het op deze manier gebouwde botnet is onder meer gebruikt om naar Bitcoins te zoeken (mining) en om zogenaamde klikfraude te plegen (geinfecteerde computers op advertenties laten klikken om zo advertentie-inkomsten te genereren). ZeroAccess verspreid zich via geïnfecteerde websites en met geïnfecteerde bestanden op peer-to-peer netwerken. 

  • Voorkomen: Geen illegale software downloaden helpt een beetje tegen deze infectie, maar alleen up-to-date beveiligingssoftware kan besmetting met ZeroAccess blokkeren.
  • Genezen: Rootkits zijn heel moeilijk van een systeem te verwijderen. Kaspersky biedt op zijn website onder de naam TDSSKiller een speciaal gereedschap aan om ZeroAccess te verwijderen. Anders is opstarten en scannen met een up-to-date usb-stick van een beveiliger een oplossing.

9. Zoekmachines kapen – Conduit Search

Vallen al je zoekresultaten ineens tegen, en zet je browser pogingen om goede nieuwe instellingen te maken automatisch terug naar de slechte huidige? Dan is er een goede kans dat je geïnfecteerd bent met Conduit Search, ook wel bekend als Search Protect. Zoals veel andere malware installeert deze applicatie zichzelf vlotjes mee als je even niet scherp oplet bij het installeren van shareware en freeware. Vanaf het moment dat Conduit Search op je computer draait krijg je een toolbar in je browser die bij iedere zoekopdracht eerst advertenties laat zien. Daarnaast verzamelt Conduit informatie over je surfgedrag en wordt dat terug naar het hoofdkwartier gestuurd. Wat er met die gegevens gebeurt, weet alleen Conduit.

  • Voorkomen: Kies altijd voor een aangepaste installatie als je gratis software installeert en sta alleen installatie van het programma waar het je om te doen is toe. 
  • Genezen: Je kan Conduit Search verwijderen via 'Programma's en onderdelen' in het Configuratiescherm mits je daarna ook de instellingen van je browser reset.

10. Kwetsbare software – Adobe, Java en browsers

Na een paar zeer schadelijke uitbraken van malware in 2001 heeft Microsoft zich in 2002 op ‘Trustworthy Computing’ gestort. Dat is goed te merken aan de steeds sterkere beveiliging via Service Packs in Windows XP en in de nieuwe, veilige ontwerpen van Windows Vista, 7 en 8. Voor malwaremakers is Windows zelf daarom een lastig doelwit. Zij richten zich daarom liever op relatief zwakkere software van derden. Adobe Reader en Flash staan op bijna iedere Windowscomputer en zijn interessante doelwitten. Wat betreft Flash kun je de standalone installatie van deze software verwijderen. Een moderne browser bevat al eigen ondersteuning. Natuurlijk moet ook de browser veilig zijn; zorg dat je de updates bijhoudt. Java hebben we eerder al genoemd. De Java Runtime Engine hoort niet op een computer tenzij het niet anders kan. Zet voor alle andere toepassingen automatische updates aan en neem eens in het kwartaal de tijd om ongebruikte programma’s te verwijderen. Controleer voor programma’s zonder automatische updates die je wel gebruikt of er nieuwe versies zijn.

  • Voorkomen: Updates draaien voorkomt heel veel ellende. Daarnaast is er natuurlijk één andere handeling essentieel: beveiligingssoftware. Installeer een betrouwbaar pakket en hou het up-to-date.
  • Genezen: Zorg dat je van onvervangbare bestanden zoals foto’s en documenten een back-up maakt en controleer of die back-up ook werkt. Mocht alles catastrofaal mis gaan, dan heb je die bestanden in ieder geval nog op reserve.

bron: http://www.clickx.be/hintsentips/156031/malwaredreigingen-herkennen-en-verwijderen/

Print Friendly, PDF & Email

Reageren is niet mogelijk