MalwareWat is het en wat kan u eraan doen.

Bjorn BernaertsPIVO, 6 juni 2005

6 juni 2005 2/26

Overzicht

• Wat is malware

• Overzicht en bespreking verschillende soorten malware

• Bescherming tegen malware

6 juni 2005 3/26

Wat is malware

• Software die schade aan het systeem toebrengt

• Opdeling adhv de manier waarop ze werken

• Opdeling is niet perfect

• Het woord ‘Virus’ is overgebruikt

• Verspreiding/activering hoofdzakelijk door Social Engineering

6 juni 2005 4/26

Social Engineering

• Meer psychologie dan informatica

• Mensen manipuleren voor vertrouwelijke informatie

• Maken gebruik van telefoon of internet

• Mails die vragen naar creditcard informatie

• Systeembeheerders die vragen naar wachtwoorden

6 juni 2005 5/26

Voorbeeld: Phishing

• Veel gebruikte manier van Social Engineering

• Bank en andere websites worden nagemaakt

• Sturen ogenschijnlijk officiële berichten

• Gebruiken soms de scripts van de officiële sites

• Contacteer het bedrijf of type de link naar de site zelf in

6 juni 2005 6/26

Soorten malware

• Virus

• Worm

• Wabbit

• Trojan (horse)

• Backdoor

• Spyware

• Exploit

• Rootkit

• Key Logger

• Dialer

• URL injection

6 juni 2005 7/26

Virus

• Meest voorkomende malware

• Heeft een host (drager) nodig(.exe, boot sector, macro’s, attachments)

• 2 soorten– Non-resident (infecteert andere dragers op de computer)

– Resident (doet dat niet)

• Verschillende uitwerkingen– Vernietiging van gegevens, vertragen van systeem, …

• Verspreiden (aangepaste) versies van zichzelf via de host

6 juni 2005 8/26

Worm

• Heeft geen host nodig: is een bestand op zichzelf

• Wordt opgestart met het besturingssysteem

• Verspreiding via zwakheden in het besturingssysteem of via social engineering

6 juni 2005 9/26

Wabbit

• Zeldzame vorm van malware

• Vermenigvuldigt zich enkel op de geïnfecteerde computer

• Moeilijk op te lossen (Fork bomb): vermenigvuldigt zichzelf tot een limiet waarna de pc onbruikbaar wordt.

• Verspreiding via Trojan of social engineering

• “Be vewwy, wewwy quit. I’m hunting wabbits.” – Elmer Fudd (Bugs Bunny)

6 juni 2005 10/26

Trojan (horse)

• Kunnen zichzelf niet vermenigvuldigen

• Kan andere malware zoals een virus verspreiden en activeren (dropper)

• Verspreiding via koppeling aan of vermomming als onschadelijke software

• Hoofdzakelijk spionage of backdoor functionaliteit

6 juni 2005 11/26

Backdoor

• Geeft niet-geautoriseerde toegang aan derden

• Opdeling in 2 groepen– Werken als een Trojan

– Werken als een Worm

• Ratware: “Zombie” pc die wacht op een signaal om iets te doen

• Verspreiding via Trojan, worm of social engineering

6 juni 2005 12/26

Spyware

• Informatie verzamelen en versturen

• Ad-aware (popup reclame) valt onder deze groep

• Verspreiding zoals Trojan

• Gekende programma’s met spyware:– MSN Messenger

– DivX (gratis versie)

– Kazaa

– AOL Instant Messenger

– …

6 juni 2005 13/26

Exploit

• Ge(mis)bruik van beveiligingslek in een besturingssysteem

• Opdeling via manier beveiligingslek wordt gecontacteerd– Remote exploit (geen verspreiding nodig)

– Local exploit (verspreiding via trojan)

• Niet noodzakelijk kwade bedoeling

• Hoofdzakelijk doel is niet-geautoriseerde toegang krijgen

6 juni 2005 14/26

Rootkit

• Worden door cracker geplaatst

• Doel is verbergen van sporen

• Volledige her-installatie

6 juni 2005 15/26

Key logger

• Kopieert toetsenbord aanslagen naar een bestand

• Werkt selectief bvb. alleen bij het bezoeken van een beveiligde website

• Verspreiding via trojans

• Anekdote: FBI gebruikt “Magic Lantern” tegen maffiabaas.

6 juni 2005 16/26

Dialer

• Passen inbelnummer van modem aan

• Belt uit om data te versturen

• Breedband verbindingen worden niet beïnvloed

• Verspreiding via trojan of social engineering

6 juni 2005 17/26

URL injection

• Aanpassing url’s

• Gebruiker merkt er zelden iets van

• Verspreiding kan maar is niet nodig

6 juni 2005 18/26

Bescherming

• Start bij de gebruiker - Preventie

• Complete pakketten

• Geen enkel pakket biedt 100% bescherming aangezien ze meestal achter de feiten aanlopen

• Lokaal minstens antivirus en (liefst verschillende) antispyware

• Firewall

6 juni 2005 19/26

Anti-virus

• Verschillende pakketten

– Betalende

• Norton

• McAfee

• Kaspersky

• Trend Micro

– Gratis

• AntiVir personal edition Classic(Persoonlijk gebruik)

• AVG (Persoonlijk gebruik)

• Avast (Persoonlijk gebruik)

6 juni 2005 20/26

Anti-spyware

• 1 is niet genoeg– Ad-aware, spybot search & destroy, CWShredder, …

• Hitman Pro 2

6 juni 2005 21/26

Firewall

• Een firewall controleert het netwerk verkeer

• Centrale VERA firewall

• ZoneAlarm

6 juni 2005 22/26

De toekomst

• Malware is meer en meer op geld uit

• Erger is de mogelijkheid van een superworm

• Een van de meest schadelijke wormen tot nu toe was SQL Slammer– Wereldwijde verspreiding in 10 minuten– Elke 8,5 seconden verdubbelde het aantal geïnfecteerde computers– Wereldwijd tussen de 400.000 en 700.000 geïnfecteerde computers– Gemiddeld 34,5 manuren nodig voor het oplossen van de infectie– Wereldwijd tussen de 950 miljoen en 1,2 miljard dollar verloren productiviteit– Tussen de 750 miljoen en 1 miljard dollar kosten om alles op te kuisen.

• De bouwstenen voor de superworm zijn er reeds

• Een dergelijke superworm wordt ook een Warhol worm genoemd.

6 juni 2005 23/26

Links

• Virus– http://www.sophos.com/virusinfo/explained/ (virus woordenboek en best practise)– http://www.windowsecurity.com/articles/Protecting_Email_Viruses_Malware.html (email virussen)– http://www.pcvirus.org/links (papers over kwaadaardige code en virussen)– http://vx.netlux.org/ (Details over virussen)– http://www.secure-computing.info/ (10 meest gevaarlijke dingen die men kan doen)

• Worm– http://www.wildlist.org/ (Lijst van virussen en wormen)– http://www.2-spyware.com/worms-removal (Opsomming van wormen en hun removal tools)

• Trojan– http://www.bleepingcomputer.com/forums/topict405.html (Links)– http://www.anti-trojan.com/ (Informatie site)– http://www.2-spyware.com/trojans-removal (Tronjan verwijder tools)– http://www.windowsecurity.com/whitepapers/The_Complete_Windows_Trojans_Paper.html

6 juni 2005 24/26

Links

• Backdoor– http://www.2-spyware.com/backdoors-removal (Backdoor verwijder tools)

• Spyware– http://www.io.com/~cwagner/spyware/ (faq en verwijder gids)– http://www.spywarewarrior.com/rogue_anti-spyware.htm (SLECHTE anti-spyware programma's)– http://www.pcreview.co.uk/articles/Internet/Spyware_and_Adware_Removal/– http://www.freespywareremoval.info/prevention/– http://mvps.org/winhelp2002/unwanted.htm (Omgaan met spyware)

• Exploit– http://www.frsirt.com/exploits/ (exploit overzicht)– http://medialab.freaknet.org/~alpt/tutorial/papers.html (papers over exploits)– http://www.packetstormsecurity.org/ (exploit test programmas)– http://www.securityforest.com/wiki/index.php/Category:ExploitTree (Gecategoriseerd exploit

overzicht)

6 juni 2005 25/26

Links

• Rootkit– http://la-samhna.de/library/rootkits/index.html (Linux kernel rootkits)– http://www.sans.org/y2k/t0rn.htm (Analyse van een rootkit)– http://www.sysinternals.com/ntw2k/freeware/rootkitreveal.shtml (Rootkit detecteer programma)

• Key logger– http://keystroke-loggers.staticusers.net/ (Hard- en software key loggers)– http://www.2-spyware.com/keyloggers-removal (Key logger verwijder tools)

• Dialer– http://www.2-spyware.com/dialers-removal (Dialer verwijder tools)

• Phishing– http://purl.org/net/tbc/misc/phish001.htm (Uitgebreid voorbeeld)– http://rjohara.net/pfishing-scams/ (Overzicht van echte phishing mails)

6 juni 2005 26/26

Links

• Anti-virus– http://www.norton.com/– http://www.mcafee.com/nl/– http://www.kaspersky.com/

• Anti-spyware– http://www.hitmanpro.nl/– http://www.lavasoftusa.com/software/adaware/– http://www.safer-networking.org/nl/index.html

• Firewall– http://www.zonelabs.com (ZoneAlarm)

– http://be.trendmicro-europe.com/– http://www.grisoft.com/– http://www.free-av.com/

• Algemeen– http://en.wikipedia.org/wiki/Stopping_e-mail_abuse– http://arstechnica.com/articles/paedia/malware.ars (malware wat is het en hoe voorkomen)