Een maand geleden kwam het RSA FraudAction Research Lab naar buiten met een bericht dat het Trojaanse paard Sinowal (ook wel bekend als Torpig en Mebroot) sinds februari 2006 de gegevens van 300.000 bankrekeningen, bankpassen en creditcards zou hebben bemachtigd.

Twee security-deskundigen plaatsen nu vraagtekens bij de omvang van de gegevensdiefstal door Sinowal. "De data zijn niet betrouwbaar omdat ze afkomstig zijn van een grote hoeveelheid bronnen. Niet alle gestolen bankinformatie is legitiem", stelt Paul Ducklin, hoofd technologie van Sophos Asia Pacific.

Een andere, anonieme security-deskundige verklaart tegenover Computerworld Australia dat security-onderzoekers vaak proberen om de logs van trojans te vervuilen door ze te voeden met valse bank- en login-informatie. Als dat bij Sinowal inderdaad op grote schaal is gebeurd, zou dat afbreuk doen aan de claim dat er honderdduizenden bankrekeningen, bankpassen en creditcards zijn gecompromitteerd.

RSA stelde in een blogposting van eind oktober dat het bijzonder lastig was om Sinowal te detecteren. Volgens Ducklin is het echter ondenkbaar dat malware die zo succesvol is als RSA stelt, zolang ongehinderd zijn gang kan gaan. Dat is dan ook niet het geval. Ook voordat het RSA FraudAction Research Lab waarschuwde voor Sinowal waren er al berichten over de malware die zich nestelt in de master boot record (MBR).

De makers van de Sinowal-malware doen er wel alles aan om malware-bestrijders een stap voor te blijven. Zo brengen ze met de regelmaat van de klok nieuwe versies van hun trojan uit. Uit de gegevens van RSA bleek al dat het daarbij gaat om tientallen nieuwe varianten per maand. Bron: Techworld