
Virusscanners laten nieuwe Java-malware ongemoeid
Aanvallers hebben een nieuwe manier van virusschrijven ontdekt. Door de programmeertaal Java te gebruiken kan de malware beter worden verborgen. Ook virusscanners weten zich daar geen raad mee.
Aanvallers hebben een nieuwe manier van virusschrijven ontdekt. Door de programmeertaal Java te gebruiken kan de malware beter worden verborgen. Ook virusscanners weten zich daar geen raad mee.

Virusscanners laten nieuwe Java-malware ongemoeid
Aanvallers hebben een nieuwe manier van virusschrijven ontdekt. Door de programmeertaal Java te gebruiken kan de malware beter worden verborgen. Ook virusscanners weten zich daar geen raad mee.
Dat ontdekten onderzoekers van beveiligingsbedrijf Fox IT, toen ze in tijdens een lopend onderzoek een vreemd 'Windows-bestand' kregen aangereikt. De code leek op een gewone applicatie, maar blijkt een Java-programma te zijn dat niet zonder het bijbehorende platform kan functioneren.
Java-malware voor gamers
“Java-malware is er wel vaker geweest, maar niet in deze vorm. Dat maakt het spannende malware”, vertelt beveiligingsexpert Michael Sandee. Over het onderzoek kan hij niets zeggen, maar wel over de kwaadaardige software. “Het blijkt versie 0.84 van het virus te zijn en op 18 oktober 2009 te zijn gemaakt. Ook de manier waarop het is aangetroffen doet vermoeden dat er meer mensen zijn geïnfecteerd.”
Fox-IT ploos de werking van het virus uit en zag dat de programma te gebruiken is voor het uitvoeren van Denial-of-Service-aanvallen en het stelen van informatie van de computer. Het lijkt vooral door gamers gebruikt te worden om codes te achterhalen. “Er worden nu online gamekeys mee gestolen.”
Niet herkend door anti-virussoftware
Terwijl een Java-applicatie gewoonlijk platform-onafhankelijk functioneert, geldt dat niet voor het virus. De software steekt zo in elkaar dat het begint als een Windows-programma om daarna de Java-omgeving op te halen. “Zoiets zou ook voor andere platformen wel mogelijk zijn”, erkent Sandee desgevraagd.
De aanpak zorgt ervoor dat de malware lijkt op een normaal programma dat geen kwaad kan. Een anti-viruspakket analyseert de werking en ziet niet meer dan Java-code. Fox IT testte diverse anti-viruspakketten en concludeerde dat alleen Symantec vermoedde dat er verdachte code was. Sandee wijst erop dat de scanners niet in staat zijn om de werking van Java-code te testen en dus niets met dit soort malware kunnen.
Inmiddels heeft het beveiligingsbedrijf wel een site gevonden dat het virus verspreidt en vervolgens gebruikers die deze omgeving nog niet hebben probeert te verleiden Java te installeren.
Niet onschuldig
Al lijkt gaming nu het doel, toch is het virus niet onschuldig. De software is geavanceerd genoeg om via standaard browserprotocollen (http) nieuwe configuraties op te halen en dus ook de werking te veranderen. Zo vreest de expert dat het mogelijk is om bijvoorbeeld persoonlijke informatie te stelen, net zoals nu gamecodes worden gestolen.
Daarnaast zijn er aanwijzingen dat de code verder wordt ontwikkeld. Sandee erkent dat na Java ook andere veel gebruikte scripttalen, zoals bijvoorbeeld Python gebruikt kunnen worden. Hij sluit dan ook niet uit dat er een nieuwe wapenwedloop tussen aanvallers en anti-virusindustrie zal volgen.
Dat de makers zich kennelijk niet druk maken over ontdekking, blijkt uit het feit dat er weinig energie is gestoken in het verbergen van de identiteit. Zo is goed te achterhalen hoe de programmatuur contact zoekt op internet met het 'moederschip', de site met configuratie-informatie. Die site is inmiddels uit de lucht, maar de malwaremakers hebben mogelijk al weer een nieuwe commandosite opgezet.
Bron: Techworld
dat zou niet veel veranderen.
de meeste mensen klikken bij elke vraag gelijk op "ok" en beginnen als er te veel vragen worden gesteld te klagen dat de antivirussoftware het niet (goed) doet.....
"Sandee wijst erop dat de scanners niet in staat zijn om de werking van Java-code te testen en dus niets met dit soort malware kunnen."
Dat is dan toch een blunder van die scanners? Java code is bijna 1 op 1 te decompilen naar source code. Bovendien heb je ook zoiets als "security policies" & "SecurityManager" in Java. Dan moeten de scanners zelfs geen Java kunnen analyseren, maar gewoon standaard strenge beperkingen opleggen aan elk Java programma (geen toegang tot bestanden & netwerk, geen toegang om Runtime.exec(..) te gebruiken...). Als de gebruiker dan beslist dat het programma veilig is, laat de scanner zijn policy voor dat programma vallen & dat is dat.
Reageer
Preview