ZeuS-variant werkt alleen op high-end systemen

hand op toetsenbord

Artikelgereedschap

  • Tip ons
  • Printen
  • Reacties (0)
Aanbevelen

Gepubliceerd: Vrijdag 26 november 2010
Auteur: Michiel van Blommestein

Bouwers van ZeuS-varianten werken regelmatig met detectiemechanismen om te voorkomen dat beveiligingsanalisten de malware kunnen ontleden. Maar soms schieten ze hun doel voorbij.

De ZeuS-toolkit wordt vooral gebruikt voor de bouw van Trojans om bankgegevens buit te maken. De toolkit wordt op de zwarte markt verhandeld voor een paar honderd dollar per licentie, en daarom scherp in de gaten gehouden door beveiligingsbedrijven en opsporingsinstanties.

Trucjes

Cybercriminelen proberen detectie daarom met trucjes zoveel mogelijk te ontwijken. Een van die trucjes, zo schrijft security-analist Timo Hirvonen van F-Secure, is het detecteren van debugger code die op de systemen van beveiligingsanalisten draaien. Zulke code is nodig om het proces van virusanalyse zoveel mogelijk te automatiseren, zo legt Hirvonen uit.

Maar dat kan onvoorziene gevolgen hebben voor de malware. In het geval van ZeuS (of Zbot, zoals F-Secure de Trojan noemt) heeft het te maken met de processorsnelheid. De routine gaat er namelijk van uit dat tenminste 2^32 klokcycli plaatsvinden gedurende twee seconden. Is dat niet het geval, dan komt het erop neer dat de code uitgaat van de aanwezigheid van een debugger, en worden de besmettingsroutines niet uitgevoerd.

Hoe trager, hoe beter

"Dat betekent dat het monster ervan uit gaat dat de cpu een kloksnelheid heeft van meer dan 2GHz", zo legt Hirvonen uit. "Met andere woorden: als een processor een lagere snelheid heeft dan 2 GHz, dan zal het monster reageren alsof het wordt gedebugged. Uivoer wordt dan onderbroken, en het systeem wordt niet geïnfecteerd. Ik heb dit op een IBM T42 (1,86 Ghz)-notebook geprobeerd, en dat systeem was te traag om geïnfecteerd te worden."

In een latere update voegt Hirvonen eraan toe dat een infectie niet 100 procent geweerd is bij een tragere processor. Hoe trager de processor, des te kleiner is de kans op infectie. Vanaf 2 GHz is infectie zeker.

Hoewel het alleen aanvallen van snelle systemen geen probleem hoeft te zijn als virus bijvoorbeeld ingezet wordt voor het bouwen van een krachtig botnet, lijkt het voor ZeuS toch echt een nadeel te zijn. Hirvonen merkt dan ook op dat anti-debuggingprocessen 'te agressief' kunnrn zijn en hun doel voorbij schieten.

Relevante whitepapers

Alle whitepapers >>
  • Categorieën:
  • Beveiliging

Totaal 0 reactiesLaatste reacties


Nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox

Whitepapers

  • Maximaliseer het voordeel van SaaS

    Cloud-applicaties hebben grote invloed op het gebruik van de IT-architectuur en niet ieder project levert de verwachte voordelen op.

    Downloaden
  • Houdt grip op UC-uitdagingenUnified communications biedt heel veel, maar heeft ook specifieke uitdagingen!
  • Kostenbesparing voor long tail appsOplossing voor kostenkwesties in VDI. Technologie geschikt voor long tail apps.
» Meer whitepapers

Peiling

Loading Poll

Video: Review: HTC One X-smartphone met vijf...

Review: HTC One X-smartphone met vijf cores (video)