Beveiligingnieuws Logo

Onze partners

MOBOTIX

VVNL

VAIBS

SOBA

Distri Company

Hikvision

PG Security Systems

Hanwha Vision Europe

Uniview

Crown Security Services

VEB

SMC Alarmcentrale

Paxton

Lobeco

Masset Solutions

Advancis

Intrasec

Akuvox

Trigion

Nenova

Eizo

i-Pro

Add Secure

Ajax Systems

ASSA ABLOY

BHVcertificaat.online

CSL

HD Security

Genetec

CDVI

Paraat

ASIS

Centurion

IDIS

Avigilon Alta

SmartCell

Connect Security

VideoGuard

Brivo

Seris

HID

SmartSD

EAL

Gold-IP

Alphatronics

OSEC

Kiwa

Milestone

Bosch Security Systems

Bydemes

NIBHV

Multiwacht

VBN

Traka ASSA ABLOY

Seagate

Aritech

Eagle Eye Networks

Oribi ID Solutions

2N

Secusoft

Regio Control Veldt

Top Security

Service Centrale Nederland

Optex

Sequrix

ADI

Network Optix

Securitas

ARAS

Alarm Meldnet

Unii

Dero Security Products

NetworxConnect

G4S

Zo wordt uw computer geïnfecteerd met malware

15 juni 2012
Redactie
12:31

Met de perikelen rond LinkedIn zijn er weer kansen voor cybercriminelen. Bart Blaze legt uit hoe een mogelijke aanval op uw systeem in zijn werk zou kunnen gaan.

Is dit het perfecte recept voor een cybercrimineel?

  1. Hacken van de LinkedIn wachtwoord (en mogelijk gebruikers-) database.
  2. Verzenden van een e-mail naar alle e-mail adressen die verzameld zijn, die aandringt om zo snel mogelijke je LinkedIn inbox na te kijken.
  3. Een gebruiker klikt onwetend op de link.
  4. Een exploit (kwaadaardige code) wordt geladen. Malware wordt op het systeem geïnstalleerd en uitgevoerd.
  5. De computer van de gebruiker is nu een “zombie” en onderdeel van een botnet.

Stap 1 was reeds succesvol, want in het “To” en/of “CC” veld van onderstaande e-mail staan zo’n 100 ontvangers. Hieronder een voorbeeld van de frauduleuze e-mail:

LinkedIn mail
Herinnering van LinkedIn. Je hebt een nieuw bericht!

Onderwerpen van deze e-mail kunnen zijn: “Relationship LinkedIn Mail‏”, “Communication LinkedIn Mail‏” of “Urgent LinkedIn Mail‏”. Uiteraard kan het onderwerp van de e-mail verschillen. Stap 1 en stap 2 zijn reeds voltooid. Nu dient deze cybercrimineel enkel nog te wachten tot iemand op de link klikt.

Veronderstel dat iemand op de link klikt. Wat zou er vervolgens gebeuren? Dit hangt af van de versie van onderstaande programma’s die mogelijk op je computer geïnstalleerd staan. Adobe Reader en Java zijn hiervan bijvoorbeeld de meest misbruikte programma’s.

In sommige gevallen zal de browser bij aan aanval simpelweg crashen. Mogelijk gebeurt er gewoonweg niets. De kans is aanwezig dat de exploit uitgevoerd wordt en je systeem heeft geïnfecteerd. In dit artikel gaan we de specifieke Adobe Reader exploit bekijken. Hieronder een screenshot van Process Explorer. Met deze tool kunnen we nagaan wat er precies aan de hand is.

Process Explorer
De aanduidingen in het groen wijzen dat een nieuw proces gestart wordt

Wat is er precies gaande? Zoals je kan aflezen in bovenstaande screenshot, worden er onder het proces van Adobe Reader enkele andere processen gestart. Deze processen zijn malware en zijn dus je computer aan het infecteren.

Het PDF bestand heeft verschillende uitvoerbare bestanden ingewerkt. Dit wil dus zeggen dat onder het proces van Adobe Reader andere (kwaadaardige) processen kunnen worden gestart, zoals hierboven aangegeven. Mogelijk krijg je zelfs volgende melding:

Foutboodschap van Adobe Reader
Foutboodschap van Adobe Reader. Er is een probleem opgetreden en Adobe moet worden afgesloten.

Nadat er op OK wordt geklikt, ziet alles er schijnbaar in orde uit. Helaas is niets minder waar. De computer is nu geïnfecteerd. Stap 3 en 4 zijn nu ook voltooid. De gebruiker heeft op de link geklikt, de exploit is geladen en malware is op je computer geïnstalleerd.

Nu is het de beurt aan de laatste stap, stap 5. Nadat de malware is uitgevoerd, zal de computer geïnfecteerd zijn met de Zeus malware. Zeus is een Trojaans virus, welke onder andere bankgegevens kan stelen, maar ook inloggegevens van bijvoorbeeld Facebook, Hotmail enzovoort.

Conclusie

Het is belangrijk om je computer te patchen of, met andere woorden, up-to-date te houden en bij te werken met de laatste software versies.

De volgende programma’s dienen op tijd en terstond bijgewerkt te worden:
Adobe, Java, maar vergeet ook niet VLC en Windows Media Player. Tegenwoordig worden deze automatisch bijgewerkt, maar aangeraden wordt om toch zelf vaak na te kijken of er geen nieuwe versies (patches) beschikbaar zijn.

Dit beperkt zich vanzelfsprekend niet enkel tot bovenstaande programma’s, maar ook je besturingssysteem dient bijgewerkt te worden. Vergeet ook niet om steeds je browser bij te werken en de plugins of add-ons die je hebt geïnstalleerd. Indien mogelijk, vermijd het gebruik van Adobe en Java. Een alternatief voor Adobe is bijvoorbeeld Sumatra PDF. Vergeet natuurlijk niet om deze ook up-to-date te houden!

Uiteindelijk dien je een geactiveerde en bijgewerkte versie van een Antivirus programma te installeren. Deze vermindert drastisch de kans dat je computer geïnfecteerd raakt met malware.

Door: Bart Blaze – Malware Research

Deel dit artikel via:

Vlog

Premium partners

SequriX

Seagate

Suricat

Aritech

Distri Company

Videoguard

Wordt een partner