ESET

Trojaans paard laat computer onbeveiligd achter

eset logo

Een Trojaans paard dat gebruikersnamen en wachtwoorden steelt en de aanwezige beveiliging uitschakelt, gebruikt ook een slimme truc om de rechten die het op een besmet systeem heeft te verhogen. “MSIL:Agent-AKP”, zoals anti-virusbedrijf Avast! de malware noemt, is een informatie stelende Trojan die computers via ongepatchte beveiligingslekken infecteert.

Eenmaal actief zoekt de malware naar wachtwoorden van verschillende FTP-programma’s, zoals FileZilla, SmartFTP, CoreFTP, FlashFXP, WinSCP en FTP Commander, die naar de maker wordt teruggestuurd. Daarnaast wordt de Protected Mode sandbox van Internet Explorer en de sandbox van Adobe Reader, de Windows back-upmeldingen, Windows Update, het Security Center en Windows Firewall uitgeschakeld.

Verder is de malware in staat om aanwezige Java-plug-in in of uit te schakelen. Volgens de onderzoekers hebben de malwaremakers er bewust voor gekozen door het uitschakelen van de beveiliging en het maken van de aanpassing om het systeem ook in de toekomst toegankelijk voor malware te maken.

Truc

Om de rechten op de computer te verhogen laat de Trojan een waarschuwing zien die stelt dat er beschadigde bestanden op de harde schijf zijn aangetroffen. Om die zogenaamd te herstellen kan de gebruiker uit “Restore files” en “Restore files and check disk for errors” kiezen.

Ongeacht welke optie de gebruiker kiest wordt er niets gecontroleerd of gerepareerd, maar gebruikt de malware in de achtergrond de optie “uitvoeren als” om via de zogenaamde waarschuwing de rechten te verhogen. Standaard veroorzaakt dit in Windows een waarschuwing van User Account Control (UAC).

Aangezien gebruikers denken dat ze ze op deze manier de bestanden kunnen herstellen, is volgens de onderzoekers de kans groot dat ze het programma toestemming geven. De malware verspreidt zich via ongepatchte lekken. Gebruikers die hun software up-to-date houden lopen daardoor geen risico.

Bron: Security.nl