
Nieuwe Trojan vermomt zich als Windows-snelkoppeling
Een Trojan die zich voordoet als Windows-snelkoppeling rukt op. Deze malware gebruikt .exe-bestanden van Windows zelf om te functioneren.
Een Trojan die zich voordoet als Windows-snelkoppeling rukt op. Deze malware gebruikt .exe-bestanden van Windows zelf om te functioneren.

Nieuwe Trojan vermomt zich als Windows-snelkoppeling
Een Trojan die zich voordoet als Windows-snelkoppeling rukt op. Deze malware gebruikt .exe-bestanden van Windows zelf om te functioneren.
Een Trojan die zich voordoet als Windows-snelkoppeling rukt op. Deze malware gebruikt .exe-bestanden van Windows zelf om te functioneren.
De zogeheten Lnkget Trojan benut de commandline (cmd.exe) op beheerdersniveau om andere bestanden aan te maken en processen uit te voeren. Onder die processen zit de ingebouwde ftp-functie (ftp.exe) van Windows, waarmee aanvullende malware wordt binnengehaald. Daaronder bevindt zich een rootkit die zich nestelt in het systeem. Zelfs na een pc-boot in Safe Mode draait die nog gewoon.
Via de mail
Deze nieuwe dreiging is redelijk geavanceerd, maar de verspreiding ervan gebeurt op relatief ouderwetse wijze: via e-mail. Bovendien is het gebruik van snelkoppelingen niet geheel nieuw. Hiervoor worden bekende icoontjes van Windows gebruikt, om de gebruiker in de luren te leggen.
Toch wordt deze Trojan als een gevaar gezien. Microsoft waarschuwt op het blog van zijn Malware Protection Center. Lnkget maakt sinds januari een sterke groei door. Tot nu heeft deze trojan nog het meest in Azië toegeslagen, aldus Microsofts securityteam. Het huidige doel van de malware is het buitmaken van inloggegevens voor online spellen, zoals de in Azië zeer populaire mmo’s (massively multiplayer online-games).
Beurshandelaren
Ondertussen is er ook een Trojan gesignaleerd die het gemunt heeft op beurshandelaren. Deze Tigger.A steelt stilletjes informatie van handelaren in aandelen en opties. Op de ‘klantenlijst’ van deze malware staan ING Direct Sharebuilder, E-Trade, Vanguard, Options Express, Scottrade en TD Ameritrade. Positief aan Tigger is dat het andere kwaadaardige software verwijdert. Blijkbaar wil dit Trojaanse paard het rijk alleen hebben.
Ook deze Trojan waart al een tijdje rond; hij is voor het eerst in november gesignaleerd door iDefense Labs. Inmiddels zijn er een kwart miljoen pc’s besmet, meldt die security-leverancier. Tigger heeft namelijk veel mogelijkheden ingebouwd om detectie en verwijdering te ontlopen.
Allang een patch
Microsoft heeft al in oktober al een patch uitgebracht voor het beveiligingsgat dat Tigger nog altijd gebruikt om binnen te komen. Overingns stelt dat Windows-gat (MS08-066) aanvallers in staat omhogere privileges te verkrijgen dan de op dat moment ingelogde – en aangevallen – gebruiker. Niet inloggen als beheerder maakt in dit geval dus geen verschil.
Bron: Techworld
Reageer
Preview