Nieuwe Trojan vermomt zich als Windows-snelkoppeling
Gepubliceerd: Woensdag 4 maart 2009
Auteur: Jasper Bakker
Een Trojan die zich voordoet als Windows-snelkoppeling rukt op. Deze malware gebruikt .exe-bestanden van Windows zelf om te functioneren.
De zogeheten Lnkget Trojan benut de commandline (cmd.exe) op beheerdersniveau (root) om dan andere bestanden aan te maken en processen uit te voeren. Laatstgenoemde omvat ook de ingebouwde ftp-functie (ftp.exe) van Windows waarmee dan aanvullende malware wordt binnengehaald. Daaronder bevindt zich een rootkit die zich nestelt in het systeem om zelfs na een pc-boot in Safe Mode nog gewoon te draaien.
Via de mail
Deze nieuwe dreiging is redelijk geavanceerd, maar de verspreiding ervan gebeurt op relatief ouderwetse wijze: via e-mail. Bovendien is het gebruik van snelkoppelingen niet geheel nieuw. Hiervoor worden bekende icoontjes van Windows gebruikt, om de gebruiker in de luren te leggen.
Toch wordt deze Trojan een gevaar geacht. Microsoft waarschuwt op het blog van zijn Malware Protection Center. Lnkget maakt sinds januari een sterke groei door. De meeste besmettingen zijn tot op heden in Azië, aldus Microsofts beschermingsteam. Het huidige doel van deze malware is het buitmaken van inloggegevens voor online spellen, zoals de in Azié zeer populaire mmo's (massively multiplayer online-games).
Beurshandelaren
Ondertussen is er ook een Trojan gesignaleerd die het gemunt heeft op beurshandelaren. Deze Tigger.A steelt stilletjes informatie van handelaren in aandelen en opties. Op de 'klantenlijst' van deze malware staan ING Direct Sharebuilder, E-Trade, Vanguard, Options Express, Scottrade en TD Ameritrade. Tigger verwijdert zelf weer andere kwaadaardige software.
Ook deze Trojan waart al een tijdje rond; de eerste detectie is in november gedaan door iDefense Labs. Inmiddels zijn er een kwart miljoen pc's besmet, meldt die security-leverancier. Tigger heeft namelijk veel mogelijkheden ingebouwd om detectie en verwijdering te ontlopen.
Allang een patch
Microsoft heeft in oktober al een patch uitgebracht voor het beveiligingsgat wat Tigger nog altijd gebruikt om binnen te komen. Dat Windows-gat (MS08-066) stelt aanvallers in staat hogere privileges te verkrijgen dan de op dat moment ingelogde - en aangevallen - gebruiker. Niet inloggen als beheerder (admin) maakt in dit geval dus geen verschil.
