LucBeirens

Voulez-vous continuer à surfer sur internet après le 07 mars 2012 ?

2012-02-23T21:28:00.002+01:00

Merci à Stéphane Alloisio @AlloisioS et Laurent Bounameau @Bounameau_L pour la traduction !

Prenez le temps de lire cet article et devérifier que vous n'êtes pas victime du malware "DNS-Changer !"

Si vous ne le faites pas, vous pourriez rencontrer des problèmes avecdiverses applications internet à partir du 8 mars 2012.

Si vous n'avez pas envie de lire tout l'article, faites au moins le test de la configuration DNS de votre PC en visitant un des sites web de test :

le site DNS-OK.be du Computer Emergency Response Team Belge (en Français / Néerlandais) ou
le site dns-changer.eu (en Allemand, Anglais, Danois et Espagnol)

Mais peut-être, il est mieux de continuer à lire ...

Dans cet article, je vais essayer d'exposerde manière simple un certain nombre de principes du fonctionnement d'internetde sorte que tout le monde comprenne précisément le problème et la manière dont onpeut le résoudre. Tout à avoir avec DNS....

Qu'est-ce qu'un DNS ?

Un DomainName Serviceserver peut être considéré comme un bottin (répertoire) des noms de domaine.

Un nom de domaine est un nom plus facile àretenir que la véritable adresse d'un serveur sur internet.
Plus facile pour les gens, mais pas pour les ordinateurs!

Afin de pouvoir communiquer les uns avecles autres, chaque ordinateur sur Internet dispose d'une adresse IP (InternetProtocol address) unique. Lorsque vous entrez un nom de domaine (parex.: microsoft.com) dans votre navigateur internet, ce dernier va demander à unserveur DNS vers quelle adresse IP il doit être redirigé.

Le serveur DNS va spécifier l'adresse IP relative au nom de domaine et ainsipermettre à votre navigateur d'établir la communication avec la page web quevous avez sollicité (ex: 207.46.232.182 pour microsoft.com).

Les mails ainsi que d'autres applicationsinternet utilisent également les services DNS.

Quel DNS j'utilise ?

Heureusement, les utilisateurs finaux nedoivent en principe pas s'inquiéter du serveur DNS utilisé par leur PC.
Dans la majorité des cas, l'adresse IP du serveur DNS est configuréeautomatiquement par le fournisseur d'accès internet (ISP) lorsl'installation/configuration du service internet.

Généralement, vous utilisez donc le serveurDNS de votre fournisseur d'accès internet.

Simple et sans souci.

Chez la plupart des fournisseurs d'accèsles paramètres DNS de votre connexion internet sont configurés comme ci-dessus.Néanmoins, même si ce n'est pas comme ça chez vous, cela ne signifie pas pourautant qu'il y a un problème.

Quel est donc le problème ?
Le malware DNS-changer!

En tant qu'utilisateur, c'est en touteconfiance que vous pensez accéder au vrai site correspondant au nom de domaineque vous avez entré dans votre navigateur.

Pourtant il est régulier que lescybercriminels cherchent à rediriger les utilisateurs vers une fausse copie dusite web dans le but de s'emparer de leurs données d'accès (nom d'utilisateur,mot de passe,...).

Habituellement, les cybercriminelsutilisent la technique bien connue du "phishing" avec un message spam contenant un lien vers lefaux site web. Heureusement, de moins en moins d'utilisateurs finaux tombentdans ce piège.

Suite à cette diminution, certainscybercriminels ont mis en place un système plus évolué pour amener lesutilisateurs vers de fausses copies de sites ou des sites de petites annonces .Il s'agit du botnet DNS-changer.

De diverses manières, ils infectent lesordinateurs des utilisateurs finaux avec un malware qui va en modifier lesparamètres, de sorte que ces ordinateurs ne s'adressent plus, pour obtenirl'adresse IP correspondant au nom de domaine, au serveur DNS du fournisseurd'accès, mais bien à un serveur DNS contrôlé par les cybercriminels.

Le serveur DNS criminel fonctionne comme unserveur DNS normal, mis à part pour les noms de domaine pour lesquels lescybercriminels ont créé de fausses copies destinées à leurs manœuvresfrauduleuses envers les utilisateurs finaux.

Donc, aussi longtemps que l'utilisateur infecté ne surfe pas sur une des fauxsites, il ne remarque pas qu'il utilise le serveur DNS entre les mains des criminelscar pour tout les autres noms de domaine, il renvoie l'adresse IP correcte. En outre, dansla majorité des cas l'utilisateur ne se rend même pas compte qu'il surfe sur unfaux site.

Si votre configuration désigne l'une adresseIP figurant dans la liste suivante comme serveur DNS, alors vous êtes victimedu malware DNS-changer (le x pouvant être remplacé par n'importe quel chiffre entre 0 et 255).

64.28.176.x
67.210.0.x
77.67.83.x
85.255.112.x
93.188.160.x

Quelle est la taille du Botnet DNS-changer
et que va-t-il se passer le 7 mars?

Sur la période allant de 2009 au 9 novembre2011, les cybercriminels ont étendu leur botnet DNS- changer, lequel compte environs 4 millions d'ordinateurs infectés répartisdans 100 pays différents et dont les paramètres DNS renvoient vers un serveurDNS criminel.

Le 09 novembre 2011, le FBI, encollaboration avec la NASA et le Hightech Crime Team Hollandais, a arrêté 6cybercriminels estoniens. Dans le mêmetemps, ils ont pris le contrôle des serveurs DNS criminels. Ces serveurs DNS n'ont pas été mis horsservice immédiatement. Le FBI avec plusieurs entreprises de sécurité ontremplacé les serveurs DNS criminels par des serveurs DNS "propres"renvoyant pour chaque nom de domaine l'adresse IP correcte.

Le FBI a déclaré qu'il maintiendrait cesserveurs DNS "propres" pour une période de 4 mois. Ces serveurs DNSdevraient donc, en principe, être mis hors service le 8 mars 2012.

Chaqueordinateur qui, à ce moment là, utiliserait encore un de ces serveurs DNS, ne recevraplus aucun service DNS. Les applicationsinternet utilisant des noms de domaines ne fonctionneront donc plus.

Environs 500.000 ordinateurs infectés setrouvent aux USA. Cela veut dire que 3,5 millions se trouvent à l'extérieur desUSA et doivent donc être adaptés à la date d'échéance pour continuer àfonctionner !

En Allemagne, il semble actuellement que 33.000ordinateurs soient infectés. Il n'y a aucune évaluation du nombre d'ordinateursinfectés en Belgique.

Vous pouvez lire les rapports du FBI sur lelien suivant:
http://www.fbi.gov/news/stories/2011/november/malware_110911/DNS-changer-malware.pdf

Comment tester les paramètres de son PC etsavoir si il a été infecté par le malware DNS-changer?

Peut-être êtes-vous parmi les 3,5 millionsd'autres...

Pour tester votre PC concernant DNS-changer, le CERT.be (Computer EmergencyResponse Team) a mis en ligne un site de test.

Tester maintenant votre ordinateur sur : http://dns-ok.be/

Le Anti-Botnet Advisory Center allemand aégalement mis en ligne le site web suivant: http://dns-changer.eu/.

Si votre ordinateurest effectivement infecté par le malware DNS-changer, il y a alors de forteschances que d'autres malwares (programmes malveillants) soient installés surcelui-ci.

Faites alors un scan complet de votreordinateur avec un logiciel antivirus à jour.

Vous pouvez également trouver de l'aide sur lesite allemand suivant: https://www.botfrei.de/en/

Etes-vous victime?
Aidez à garder cescriminels en prison !

S'il apparaît clairement que votre ordinateura été infecté par le malware DNS-changer, vous pouvez aider le FBI à renforcerson dossier en vous signalant comme victime.

Pour ce faire, le FBI a mis en ligne unsite en anglais. Le signalement dure quelques minutes, mais fourni des élémentssupplémentaires au FBI qui peuvent aider à garder ces cybercriminels pluslongtemps derrière les barreaux.

Vous pouvez vous signaler comme victime viale lien suivant: https://forms.fbi.gov/dnsmalware

Dans l'espoir d'avoir contribué à la sécurité ...

Keep it safe !
Luc

Mise à jour - ransomware policier - ecops - detection - remédiation

2012-02-23T17:50:00.001+01:00

L'analyse forensique duvirus dont j’avais parlé dans unprécédent post est en cours.

Quelques résultats intéressants àconnaître :

la variante eCops de ce ransomware ne crypte pas les données de l'utilisateur ;
le virus communique avec un botnet (*)

À l'heure actuelle, il y a 13 cassignalés à la FCCU. Nous demandons toujours aux victimes d’aller déposer plainte auprès de lapolice locale ou auprès d’uneunité régionale de lutte contre la criminalité informatique(RCCU) de lapolice judiciaire fédérale.

D’autres victimes de virussemblables se sont également manifestées. Pour plus d'informations, lisez mon postdu 6 Janvier 2012 (en NL)
http://lucbeirens.blogspot.com/2012/01/tijd-om-een-backup-te-maken-en-deze-in.html

Détectionpar les produits anti-virus

Entretemps, la FCCU aenvoyé un échantillon du malware à l'industrie des anti-virus.

Il est actuellement déjà reconnu etintercepté par plus de la moitié desanti-virus.

Désinfectiondu virus ?

Plusieurs de nos partenaires travaillent surune solution afin d’aider les victimes du virus.

Pour Microsoft Windows XP, il existe déjà une méthode disponible. Celle-ci peut être consultée à l'adresse: http://goo.gl/OTfwz

Dès que d'autres solutions serontdisponibles, je les publierai à nouveau.

Un vidéo d'instuction pour la désinfection a été fait par Ted van Emmerik (a.k.a Maxstar) de PCwebplus.nl (en NL
http://www.pcwebplus.nl/phpbb/viewtopic.php?f=222&t=5905

REMARQUE: suite au fait que le virussoit contrôlé par un botnet, il est probable que d'autres logiciels malveillantsaient été installés sur votre ordinateur.

Il est donc impératif que votre PCsoit entièrement scanné afin de détecterd’autres virus éventuels. Si votre PC contient des informations hautementconfidentielles, ou est utilisé pour des affaires importantes, je vous conseille deréinstaller complètement l’ordinateur enquestion !

Update politie ransomware - ecops - Antivirus detectie

2012-02-23T15:10:00.004+01:00

De forensische analyse van het virus waar ik in een eerdere post over berichtte is aan de gang.

Enkele bevindingen die interessant zijn om te weten :

de eCops variant van deze ransomware versleutelt de gegevensbestanden van de gebruiker NIET
het virus communiceert met een botnet (*)

Op dit ogenblik zijn er 13 dossiers aangemeld bij FCCU. Aan slachtoffers worden nog steeds gevraagd om hierover een klacht neer te leggen bij de Lokale politie of bij de regionale computer crime units (RCCU) van de Federale gerechtelijke politie.

Er zijn ook nog slachtoffers van andere gelijkaardige virussen die zich hebben aangemeld. Voor meer informatie hierover kijk naar mijn post van 6 januari 2012 : http://lucbeirens.blogspot.com/2012/01/tijd-om-een-backup-te-maken-en-deze-in.html

Detectie door antivirus-producten

Ondertussen heeft FCCU een sample van het virus overgemaakt aan de Antivirus industrie.
Het virus wordt inmiddels reeds door meer dan de helft van de Antivirus herkend en onderschept.

Ontsmetting van het virus ?

Verschillende partners werken op dit ogenblik aan een remedie om de slachtoffers van het virus te helpen.

Voor MS Windows XP is er reeds een methode beschikbaar.
U kan deze raadplegen op : http://goo.gl/OTfwz

En met dank aan Ted van Emmerik (a.k.a Maxstar) van PCwebplus.nl ook een instructievideo hiervoor :
http://www.pcwebplus.nl/phpbb/viewtopic.php?f=222&t=5905

Zodra er andere oplossingen zijn, hoort u hierover.

LET OP : gezien het virus wordt aangestuurd via een botnet is de kans reëel dat er nog andere kwaadaardige software werd geïnstalleerd.

Het is dus absoluut noodzakelijk dat de volledige PC wordt gescand op virussen. Bevat deze PC voor u zeer vertrouwelijke informatie of gebruikt u deze voor belangrijke bedrijfsactiviteiten, dan is het aangewezen om de PC volledig te herinstalleren !

Belgische versie van politie ransomware blokkeert gebruikers over het hele land

2012-02-21T14:51:00.001+01:00

Kwaadaardige software blokkeert PC's vaneindgebruikers en lijkt afkomstig van eCops

Sinds enkele dagenblijken steeds meer mensen slachtoffer te worden van een kwaadaardige softwaredie de PC van de slachtoffers blokkeert.

De geblokkeerde PCbeeld onderstaande schermen af :

Hoewel het scherm laatgeloven dat de blokkering is gebeurd door de eCops omwille van overtredingen vande Belgische wetgeving, is dit geenszins het geval.

Achter deze blokkeringzitten cybercriminelen die u er op deze wijze ertoe willen brengen om aan hengeld over te maken.

Wijze van verspreiding - schadelijkeeffecten

De personen die eendergelijk scherm afgebeeld zien op hun PC, zijn slachtoffer van een infectievan hun PC.

Uit de eersteverklaringen van slachtoffers, blijkt dat de meesten werden geïnfecteerdterwijl ze online spelletjes speelden. Na het heropstarten van de PC kregen zijhet scherm dat de PC blokkeert.

Andere gekende maniervoor verspreiding van dergelijke virussen zijn:

- via een bijlage ineen e-mail

- via illegale kopiesvan software die wordt verspreid in peer-to-peer netwerken

- via berichten insociale netwerken zoals Facebook die doorverwijzen naar websites om video's tebekijken. (Die website meldt dan dat jevideosoftware moet worden bijgewerkt en toont een setup-popup.)

De PC van hetslachtoffer wordt geblokkeerd en enkel het scherm met de betalingsmogelijkheidzijn nog toegankelijk.

Momenteel hebben wegeen verder zicht op de verdere effecten die deze kwaadaardige softwareveroorzaakt. De eerste analyse van de PCvan een slachtoffer is thans aan de gang.

Gekende gevallen in het buitenland

Soortgelijke gevallenzijn reeds gekend in het buitenland. Daar bleek deze software niet alleen de PC van het slachtoffer teblokkeren maar ook alle gebruikersbestanden op de PC te vercijferen.

Het slachtoffer krijgthierdoor geen toegang meer tot zijn bestanden. Beschikt de gebruiker op dat ogenblik niet over een backup, dan wordtwerken wel heel moeilijk.

Ervaring uit debuitenlandse dossiers tonen aan dat slachtoffers die betaalden, vaak niet eenseen code kregen om hun systeem te deblokkeren of te ontcijferen.

Wat te doen als je nog geen slachtofferbent ?

Installeer eenantivirus, update naar de laatste versie en voer onmiddellijk een scan uit vanje volledige PC.

Maak een backup van uwgegevens op een externe harde schijf en bewaar deze daarna zonder dat de hardeschijf nog is gekoppeld aan je systeem.

Wat te doen als je slachtoffer bent ?

Onmiddellijke acties

Neem een foto van allemogelijk afbeeldbare schermen van je PC en bewaar deze om bij je dossier tevoegen.

Noteer welke acties jelaatst op je systeem hebt uitgevoerd en het tijdstip.

Betaal NIET.

Klacht

Je kan als slachtoffervan deze kwaadaardige software klacht neerleggen bij de lokale politie envragen om FCCU hiervan in te lichten.

Heb je al betaald, komdan zeker klacht neerleggen met alle informatie omtrent de bestemmeling van debetaling en omtrent de reactie vanwege de cybercriminelen.

Verdere acties

FCCU zal coördinatieuitvoeren tussen de verschillende dossiers om zo snel mogelijk een beter zichtte krijgen op de omvang van de infectie en van de technische aspecten ervan.

Zodra er meer informatie gekend is, zullen navolgende berichten wordenverspreid.

Version belge d'un ransomware policier bloque des utilisateurs dans tout le pays

2012-02-21T14:51:00.000+01:00

Un logiciel malveillant bloque les PC des utilisateurs et semble provenird’eCops

Depuis quelquesjours, il semble que de plus en plus de personnes soient victimes d’un logicielmalveillant qui bloque le PC desvictimes.

Le PC bloqué montreles écrans suivants :

Bien que l’écranlaisse croire que le PC est bloqué par eCops pour des infractions à lalégislation belge, ce n’est pas le cas.

Derrière tout cela, setrouvent des cybercriminels qui veulent vous amener à leur verser de l’argent.

Diffusion – effets dommageables

Les personnes quivoient un tel écran sur leur PC sont victime d’une infection.

Le virus seraitdiffusé notamment via des sites de jeux en ligne. Les personnes téléchargent àleur insu le logiciel malveillant et lors du redémarrage de leur PC, ces écransapparaissent.

D’autres manières généralement utilisées sont :

Via l’annexe d’unemail
Via des copiesillégales de softwares qui sont diffusées dans les réseaux de peer-to-peer
Via des messages dansles réseaux sociaux comme Facebook qui vous redirigent vers des sites web afinde regarder des vidéos (ces sites signalent qu’un plugin vidéo doit êtreinstallé pour voir la vidéo en question et un popup d’installation apparaît).

Le PC de la victimeest bloqué et seul l’écran pour effectuer le paiement est encore accessible.

Pour le moment, nousn’avons pas de vue sur d’autres effets provoqués par le logiciel malicieux.

La première analyse du PC d’une victime est en cours de réalisation.

Cas connus à l’étranger

Des cas similaires sesont produits à l’étranger. Dans ces cas connus, le logiciel ne bloque pasuniquement le PC de la victime mais encrypte également les données de cettedernière.

La victime n’a doncplus du tout d’accès à ses données. Si à ce moment, l’utilisateur n’avait pasde backup de ses données, alors cela se complique fortement pour lui.

L’expérience del’étranger nous apprend que les victimes qui ont payé n’ont souvent pas reçu decode pour débloquer ou décrypter leur système.

Que faire si vous n’êtes pas encore victime?

Installez unantivirus, mettez-le à jour et effectuez un scan antivirus complet devotre PC.

Faites un backupde vos données sur un support externe et conservez-le non connecté à votresystème actuel.

Que faire si vous êtes victime ?

Action immédiate

Prenez une photode votre écran et conservez-la pour la rajouter à votre dossier.

Notez lesdernières actions entreprises sur votre système ainsi que les heurescorrespondantes.

Ne payez PAS.

Plainte

En tant quevictime de ce logiciel malveillant, vous pouvez déposer plainte à la policelocale et demander à en informer la FCCU.

Si vous avez déjàpayé, venez certainement déposer plainte avec toutes les informationsconcernant le destinataire du paiement et la suite donnée par les cybercriminels.

Actions ultérieures

La FCCU va faire lacoordination des différents dossiers afin d’avoir une meilleure vue surl’ampleur de l’infection et ses aspects techniques.

Dès que nous auronsplus d’informations, nous les diffuserons.

Do you want to continue to browse and mail after the 7th of March ?

2012-02-18T18:32:00.001+01:00

Take your time to read through this article and to check if you are victim of the malicious DNS-changer malware ! If you do not do that, then it could well be that from March 7th on, your browsing and e-mail applications will no longer work !

If you do not want to read through the complete article, then at least test your PC's DNS-configuration settings just by visiting one of the special test websites of :

the Belgian governmental CERT, the Computer Emergency Response Team : DNS-OK.be (in French/Dutch) or
the Geman Anti-botnet Advisory Centre
http://dns-changer.eu/ (in German, English, Danish and Spanish)

But perhaps it is better to read on ...

In this article I'll try to explain in simple terms some principles of the functioning of the internet so that each one can understand what the problem is and how you can do something to remediate to it.

The problem is all about the DNS ...

What is a DNS system ?

A Domain Name Service server can be compared to a phonebook. But then one for domain names.

A domain name is an easy to remember version of an address of a server on the internet. Easy for people but not for computers ! To communicate with each other, all computers on the internet are assigned an unique IP-address.

When you fill in a domain name in the address bar of your internet browser (e.g. microsoft.com), your browser will send the domain name to a DNS-server and ask for the IP-address the browser has to use to visit the website. The DNS-server will look up the given domain name in its database and send the corresponding IP-address back to your browser (e.g. 207.46.232.182 for microsoft.com).

E-mail and several other internet applications also use DNS-services.

Which DNS do I use ?

Luckily the end user normally does not have to worry about the DNS-server his PC is using. In most cases the IP-address of the DNS-server will automatically be configured by the internet access provider while the connection is set up.

So, most often you will use the DNS-server that is hosted at your internet access provider. Easy and without problems.

Your DNS settings will most likely look like what you see here above. If it is not the case, it does not necessary mean that you have a problem !

What is then the problem ?
The malicious DNS-changer software !

As user you rely on the system to bring you to the right website for which you have entered the domain name in your browser.

Cyber criminels try often to bring internet users to a false copy of a website with the intention to make them fill in personal data and access credentials (user name and password). Most often they use the "phishing" technique with spam mail or direct messages in which a link refers to the false website. Fortunately, most end users no longer fall into that trap.

That is why some cyber criminals have developed a more sophisticated system over the period 2007 en 2011 in order to re-route users to false versions of websites or of advertisments. They therefor set up the DNS-changer botnet.

In different ways they have infected end user's PC's with malicious software. This malware changes the DNS-configuration of a PC so that the PC no longer send its requests to resolve domain names to the DNS-server of the internet access provider but to a DNS-server under control of the cyber criminals.

The criminal DNS-server works just like a normal DNS-server except for the domain names for which the criminals wanted to re-route the end users to their false websites.

So, as long as the infected end user is not surfing to such false website, he will not notice that he is not using his ordinary DNS-server because the bogus DNS-server provides correct IP-addresses for all other domain names. And even when he surfs to a forged website, he will often not notice neither.

Does your DNS configuration point to an IP address that is part of one of the series of IP addresses here below, then you are victim of the DNS-changer malware. (the x can be every number between 0 and 255)

64.28.176.x
67.210.0.x
77.67.83.x

85.255.112.x

93.188.160.x

213.109.64.x

How big the DNS-changer botnet and what will happen on the 7th of March?

During the period from 2009 to 09 November 2011, the criminals behind the DNS-changer botnet succeeded to infect about 4 million PCs in 100 different countries. All those infected PCs send their domain names requests to the criminal DNS-server.

On November 9th, 2011 the FBI together with the NASA, the Estonian police and the Dutch Hightech Crime Team arrested six Estonian cyber criminals. At the same time the FBI took control over the criminal DNS-servers.

They did however not put these DNS-servers out of order. In collaboration with a security consortium the criminal DNS-servers were replaced by "clean" DNS-servers so that the infected end user PC's receive the correct IP-address for each domain name.

The FBI informed public that they would run these DNS-servers for another 4 months and would stop them on the 7th of March. Every PC that will still be using the wrong DNS-settings will no longer be served by DNS-servers. All internet applications that use domain names on these infected PC's will work no longer !

"Only" 500.000 of the infected PC's are located in the USA. This means that for about 3,5 million PC's outside of the USA the DNS-configuration settings need to be adapted to be able to function properly !

In Germany, some 33.000 PC's have been found infected. There is no clear view on how many PC's have been infected in other countries.

You can read the FBI message on :

http://www.fbi.gov/news/stories/2011/november/malware_110911/DNS-changer-malware.pdf

How do I test if my PC-configuration has been changed by the DNS-changer malware ?

Perhaps you are one of those 3,5 million others ...

To perform a check of your computer DNS-settings you can surf to one of the already mentionned websites of :

the Belgian governmental CERT, the Computer Emergency Response Team : DNS-OK.be (in French/Dutch) or

the Geman Anti-botnet Advisory Centre

http://dns-changer.eu/ (in German, English and Turkish)

If the DNS-configuration of your PC has been changed by the DNS-changer malware, then there is a real chance that your PC has also been infected by other malware ! Therefor you should scan your PC with an up-to-date version of an Antivirus product.

You can also find more help on the website of the German Botfrei Association :

https://www.botfrei.de/en/

Are you victim ? Help Justice to keep these criminals in jail !

If, after checking, your PC seemed indeed to be infected with the DNS-changer malware, then you can help the FBI to compile their file against the criminals by letting them know that you're a victim.

The FBI has set up a website for this purpose. Filling out the form only takes a few minutes but is sufficient to provide them with further evidence that can keep the criminal longer behind bars.

You can provide them with your details on following address : https://forms.fbi.gov/dnsmalware.

Hoping to have contributed a little to improve security in cyberspace ...

Keep it safe !
Luc

Wil jij nog blijven internetten na 8 maart 2012 ?

2012-02-11T12:11:00.000+01:00

Neem even de tijd om ditartikel door te nemen en te checken of je geen slachtoffer bent van de kwaadaardige DNS-changer malware ! Doe je het niet, dan zou het kunnen zijn datje vanaf 8 maart problemen hebt met verschillende internettoepassingen zoals hetsurfen !

Heb je geen tijd of geen zin om dit artikel volledig te lezen, doe dat ten minste een test van de DNS configuratie van je PC door één van onderstaande websites te bezoeken :

de website DNS-OK.be van het Belgisch Computer Emergency Response Team (in Frans en Nederlands) of
de website dns-changer.eu (in Duits, Engels, Deens en Spaans)

Maar misschien is het toch beter om verder te lezen.

In dit artikel zal ikproberen om op eenvoudige wijze een aantal principes van de internetwerking toete lichten opdat elkeen zou kunnen begrijpen wat precies het probleem is en hoeje eraan kunt verhelpen. Alles heeft temaken met DNS ...

Wat is een DNS systeem ?

Een Domain NameService server kan je beschouwen als een telefoonboek voor domeinnamen.

Een domeinaam is degemakkelijk te onthouden versie van een adres van server op het internet. Gemakkelijk voormensen, maar niet voor computers ! Ommet elkaar te kunnen communiceren, krijgen alle computers op het internet eenuniek IP-adres (Internet protocol-adres).

Als jij in jeinternetbrowser een domeinnaam ingeeft (bvb microsoft.com), zal je browser aaneen DNS server vragen naar welk IP-adres de browser voor die domeinnaam moetworden doorverwezen. De DNS server zal dan voor de opgegeven domeinnaam hetIP-adres opzoeken van de computer waarmee jouwinternettoepassing zijn communicatie dient op te zetten. (bvb 207.46.232.182 voor microsoft.com)
Ook e-mail en bepaalde andere internettoepassingen maken gebruik van de DNS-diensten.

Welke DNS gebruik ik ?

Gelukkig dienen deeindgebruikers zich in principe geen zorgen te maken over de DNS server die hunPC gebruikt. In de meeste gevallen wordthet IP-adres van de DNS-server automatisch geconfigureerd door deinternettoegangs-leverancier tijdens het opzetten van de internetverbinding.

Je gebruikt dusmeestal de DNS server die bij je eigen internettoegangs-leverancier isondergebracht. Gemakkelijk enprobleemloos.

Bij de meest providers zien de DNS-instellingen van je internet-verbindingen er zo uit. Is dit bij jou niet zo, dan hoeft dit nog niet te betekenen dat er een probleem is !

Wat is dan het probleem ?
De kwaadaardigeDNS-changer software !

Als gebruiker vertrouwje erop dat je terecht zal komen op de echte website waarvan je de domeinnaamin je webbrowser hebt ingevoerd.

Toch proberencybercriminelen vaak om gebruikers naar een valse kopie van een website teleiden om er dan zowel de persoonlijke als toegangsgegevens (gebruikersnaam enpaswoorden) te bekomen. Meestalgebruiken ze daarvoor de gekende "phishing" techniek met een spammailwaarin een link is opgenomen naar de valse website. Gelukkig lopen veeleindgebruikers niet meer in die val !

Daarom hebben eenaantal cybercriminelen tussen 2007 en 2011 een meer gevorderd systeem ontwikkeldom gebruikers om te leiden naar valse versies van websites of van advertenties. Ze zetten hiervoor het DNS-changer botnet op.

Op diverse maniereninfecteerden ze eindgebruiker's PC's met kwaadaardige software die deinstellingen van de PC zodanig wijzigden dat de PC met zijn domeinnaamvragen nietlanger naar de DNS-server van de eigen internettoegangsleverancier gaat maarnaar een DNS-server onder controle van de cybercriminelen.

De crimineleDNS-server werkte als een normale DNS-server behalve voor de domeinnamenwaarvoor de criminelen de eindgebruikers wilden omleiden naar de valsewebsite. Dus ... zolang de geïnfecteerdeeindgebruiker niet naar zo'n valse website surft, merkt hij niets van het feitdat hij niet zijn vertrouwde DNS gebruikt want ook de criminele DNS-servergeeft voor alle andere domeinnamen het correcte IP-adres terug. En in de meeste gevallen merkt hij evenmin iets als hij naar een vervalste website surft.

Verwijst je DNS configuratie naar een IP-adres dat voorkomt in onderstaande reeksen, dan ben je slachtoffer van de DNS-changer malware. (de x kan elk getal zijn tussen 0 en 255)

64.28.176.x
67.210.0.x
77.67.83.x
85.255.112.x
93.188.160.x
213.109.64.x

Hoe groot is het DNS-changer botnet en watgebeurt er op 8 maart ?

In de periode van 2009tot 09 november 2011 zijn de criminelen achter het DNS-changer botnet eringeslaagd om bij ongeveer 4 miljoen PCs in 100 verschillende landen deDNS-instellingen te wijzigen opdat ze hun domeinnaam-vragen zouden stellen aande criminele DNS-server.

Op 9 november 2011 arresteerdede FBI in samenwerking met de NASA, de Estse politie en het Nederlandse Hightech Crime Team zes Estse cybercriminelen. Tegelijkertijd nam ze de controle over decriminele DNS-servers over. Deze DNS-serverswerden echter niet onmiddellijk buiten werking gesteld. De FBI heeft samen met een aantal security bedrijven de criminele DNS-servers vervangen door "propere" DNS-servers zodat ze voor elke domeinnaam het correcteIP-adres verstrekken.

De FBI deelde mee dat zede "overgenomen" DNS-servers nog 4 maanden zou laten draaien. In principe zullen ze deze servers dus op 8 of 9 maartbuiten werking stellen.

Elke PC die op dat ogenbliknog de verkeerde DNS-instellingen gebruikt, zal dan geen DNS-dienstverlening meerkrijgen. Hierdoor zullen de verschillendeinternettoepassingen die gebruik maken van domeinnamen, niet meer werken !

"Slechts" 500.000van de geïnfecteerde PC's bevonden zich in de USA. Dit wil zeggen dat 3,5 miljoen PC's buiten de USAhun instellingen dienen aan te passen om op de gestelde datum te kunnen blijvenverder werken !

In Duitsland blijken er momenteel zo'n 33.000 PC's getroffen te zijn. Er is geen duidelijk zicht hoeveel PC's er in België zijn getroffen.

Je kan het FBI bericht lezen op :

http://www.fbi.gov/news/stories/2011/november/malware_110911/DNS-changer-malware.pdf

Hoe test je of je PC-instellingen door de DNS-changermalware zijn gewijzigd ?

Misschien ben jij wel één van die 3,5 miljoen andere ...
Om de DNS-changer test ook voorde gewone gebruiker mogelijk te maken, heeft CERT.be, het Computer Emergency Response team van de Belgische overheid een testwebsite opgezet :

Test dus nu je PC op : http://dns-ok.be/.

Het Duitse Anti-botnet Advisory Centre had eerder ook al zo'n een website opgezet : http://dns-changer.eu/.

Als je PC effectief geïnfecteerd was door de DNS-changer malware, dan is de kans echter ook reëel dat er nog andere kwaadaardige programma's op je PC werden geplaatst !
Laat daarom je PC met een up-to-date versie van je Antivirus volledig scannen.

Je kan hiervoor ook hulp vinden bij dezelfde Duitse website :

https://www.botfrei.de/en/

Ben je slachtoffer ? Help om de criminelen de gevangenis in te houden!

Blijkt uit de controledat je inderdaad was geïnfecteerd met het DNS-changer malware, dan kan je deFBI helpen om hun dossier te versterken door je als slachtoffer te latenkennen.

De FBI heeft hiervooreen website opgezet in het engels. Hetinvullen ervan duur maar enkele minuten maar het levert aan de FBI bijkomendbewijsmateriaal dat kan helpen om de daders langer achter tralies te houden.

Je kan op deze link jelaten kennen als slachtoffer : https://forms.fbi.gov/dnsmalware.

In de hoop hiermee een beetje bijgedragen te hebben aan de veiligheid ...

Keep it safe !
Luc

The need for an integrated approach to combat botnets

2012-02-11T01:14:00.002+01:00

For all those that do not know what a botnet is ... you should !

Here is my presentation I gave at the conference "Combating Cybercrime in Europe - Special focus : fighting botnets" in Berlin on the 9th February 2012 organized by the European Academy for Taxes, Economics & Law.

http://www.slideshare.net/LucBeirens/20120208-berlin-afe-cybercrime-botnet-threat

For all those that do know what a botnet is ... go to part 2 of the same presentation.

I'm looking for partners nationally and internationally to go beyond what we have today.

Let's help each other to keep cyberspace safe !

Luc

Reclame in de Android notificatiebalk ? Weg er mee !

2012-01-27T14:14:00.001+01:00

Deze week kreeg ik het weer aan mijn hart... plotseling verscheen er een sterretje met publiciteit voor een
"APP TRES COOL" in de notificatiebalk van mijn Samsung Galaxy S2 die werkt op Android 2.3.

Een beetje paranoïde als ik ben, dacht ik onmiddellijk dat mijn smartphone was gehackt en geïnfecteerd met malware. Volgende reactie : wat vind ik hierover op het internet ? Google vond voor mij al snel een aantal andere verontruste Android gebruikers die zich net als mij stoorden aan deze advertenties.

Je kan de publicitaire melding net als alle andere meldingen natuurlijk wel wissen maar kort daarop krijg je zeker weer een aanbieding voor een andere App.

Ik hou niet van reclame. Ik begrijp wel dat App ontwikkelaars niet kunnen leven van de hemelse dauw. Daarom verkies ik vaak een betalende versie van een App zonder die vervelende publicitaire berichten. Dat eerder dan een "freeware" versie vol blinkende berichten die bovendien mijn downloadvolume opgebruiken.

Maar in hemelsnaam ... reclame in mijn notificatiebalk, de plaats waar de meldingen moeten verschijnen over dingen die ik belangrijk vind. Het voelt alsof een lichtreclamepaneel met wisselende boodschappen in je slaapkamer wordt gehangen zonder dat je daarin hebt toegestemd. Wie haalt het nu in zijn hoofd om daar publiciteit te gaan plaatsen?

Marketingjongens heel zeker ... En inderdaad. Blijkbaar wordt deze mogelijkheid aan App ontwikkelaars aangeboden door verschillende firma's zoals AirPush, Appenda, LeadBolt, Moolah Media, en StartApp. AirPush belooft App ontwikkelaars minimaal een vertienvoudiging van hun inkomsten beloofd als ze gebruik make van hun methode.

Concreet komt het erop neer dat zij met hun methode de mogelijkheid bieden aan ontwikkelaars om hun Apps te promoten via berichten in de notitificatiebalk.

Door een dergelijke App te installeren wordt het advertentie framework in werking gezet.

Ik heb gekozen voor Android omdat het een open platform is. Maar op deze functionaliteit zat ik niet te wachten.
Ik vind het uiterst intrusief en storend.

Wil je ook een advertentievrije notificatiebalk ?
Lees dan verder

De firma AirPush heeft een Opt-Out lijst waar je je IMEI-nummer kan inschrijven in de opt-out lijst. Dit bevrijdt je van de vervelende AirPush ads maar daarom nog niet van de ads die via advertentie frameworks van andere firma's je smartphone binnendringen. En bovendien, waarom zou je je IMEI nummer aan zo'n firma willen geven ?

Hoe voorkom je dat alle publiciteit uit je notificatiebalk wordt geweerd ? Zorg ervoor dat de Apps die gebruik maken van dit systeem niet op je smartphone terecht komen !

Maar hoe weet je welke Apps dat nu zijn ? Dat kan je ontdekken door een App als Addons Detector of AirPush Detector op je smartphone te installeren.

Na installatie zal deze App detecteren welke Apps push notificaties op je smartphone binnen brengen.

Die Apps verwijder je dan terug van je smartphone en je hebt weer een reclamevrije notificatiebalk !

Hou het safe !

Luc

Golf van phishing Twitter DMs : wat te doen ?

2012-01-22T22:36:00.000+01:00

We konden er deze week niet naast kijken bij de collega's van de #SMPolBE : het ene waarschuwingsbericht na het andere over valse Twitter direct messages (DM).

Deze DM berichten blijken te komen van je followers. De inhoud van berichten zijn meestal verontrustend :

“Someone said this real bad thing about you in a blog”,
"Is this you in this video ?" of nog "Some horrible rumors about you going around online..."

In deze DM is er telkens een link opgenomen.

Wat gebeurt er als je deze link aanklikt ?

Nieuwsgierig als we zijn, klikken nogal wat mensen op de link in de tweet. Ze komen dan schijnbaar terecht op de
login-pagina van Twitter. Twitter vraagt je er om opnieuw
in te loggen omdat je sessie werd afgesloten door een
time-out.

Wie echter iets aandachtiger is, stelt het bedrog vast.

De verbinding verloopt NIET via een https verbinding en het adres in de adresbalk is NIET dat van twitter. Soms gelijkt dit adres wel op dat van Twitter zoals bijvoorbeeld Tvvitter.

Wat gebeurt er daarna ?

Je bent terecht gekomen op de website van een cybercrimineel die jouw gebruikersnaam en paswoord wil achterhalen. Hiermee kan hij wanneer hij wil in jouw naam berichten in de wereld Twitteren. Als je een beetje reputatie hebt opgebouwd kan dat mogelijk wel wat schade veroorzaken.

Gebruik je bovendien hetzelfde paswoord voor verschillende internetdiensten, dan heeft de crimineel ook toegang tot die accounts.

Om zoveel mogelijk gebruikersnamen en paswoorden te verzamelen, starten de criminelen met het verzenden van soortgelijke phishing DMs in jouw naam naar jouw followers in hoop dat ook zij in de val zullen trappen.

Waar komen deze berichten vandaan ?

De berichten worden in de eerste plaats verzonden via gehackte Twitter accounts.

Blijkbaar gebruiken de criminelen echter nog andere technieken waarbij ze kwetsbaarheden in browsers en besturingssystemen uitbuiten.

Zelf kwam ik terecht op de website FBI.C0M met de Delphin browser van mijn Android smartphone. De website gaf enkel het volgende bericht : "It works". Kort nadien kregen een aantal van mijn followers een DM uit mijn naam.

Wie hierachter steekt was in dit geval niet zo moeilijk.

Deze tweet werd door verschillende security watchers geretweet. En wat doe je dan als nieuwsgierig politieman ? Je klikt op de link om te zien of de website down is ...

Social engineering waarin security watchers en politie-mensen inlopen ... Uit fouten leren we.

Hoe DMs konden worden verzonden in mijn naam zonder dat ik op de website mijn gebruikersnaam en paswoord invoerde, wordt thans verder onderzocht.

Wat kunnen we doen ?

1. Krijg je dergelijke DM berichten van één van je followers :
- klik dan NIET op de link
- VERWIJDER het DM bericht uit de berichtenlijst
- licht je follower in van het feit dat hij DM's heeft verzonden.

Jouw Twitter account is nog NIET in gevaar.

2. Heb je toch je gegevens ingevoerd op een phishing-website, of krijg je bericht van een follower,
dan is je Twitter account WEL in gevaar :
- wijzig onmiddellijk je Twitter paswoord en
- wijzig ook het paswoord van alle accounts waar je hetzelfde paswoord voor gebruikt.

Lukt het niet meer dan kan je terecht op deze website
https://support.twitter.com/groups/33-report-a-violation

Stay safe !
Luc

A tribute to Harry Onderwater an early Dutch cyber investigator

2012-01-22T17:30:00.000+01:00

Life is often to short to do whatever one wants to do.

Today I learned that once again I've put my priorities wrong and focused on my work in stead of contacting a friend who had serious health problems. And now he's passed away.

Allow me to honnor in a short post Harry Onderwater with whom the early European cyber investigators of the European Interpol working party on information technology crime had the pleasure to work with in the nineties. Harry was part of the Dutch delegation, together with Inge Theunissen and Louis Maatman.

Harry was the big man with the white beard, a selfmade geek that impressed me with his technical knowledge. He was full with good ideas and helped to draw the road map to improve the computer forensic and investigative capabilities of police men in the European countries.

Harry was not a typical policeman. He had already in those years contact with hackers and other computer geeks. He showed me that out-of-the-box thinking and acting is better than what we used to do in those years. Cyber security can only be the result of public-private cooperation in which we have to learn from each other.

Afterwards Harry left the policeforce to continue to improve cyber security as a private consultant.

Thanks, Harry, for your wisdom and energy and for the good cooperation we had.

I'll continue to work for a more secure and safe cyberspace !

My sincere condolences go to his family and friends.

Bye and see you again.

Luc Beirens

When internet fraudsters start to use malware ... extortion with manipulated video

2012-01-13T01:12:00.000+01:00

Western African internet fraudsters have set one step further in the use of cyber technology to commit their fraud.

Western African internet fraud as we used to know it

We all know the different so called Nigerian internet fraud schemes in which criminals try to get your money by proposing to cooperate in the transfer of the money from a froozen bank account of one or another African dictator.

In more recent schemes the Western African gangs also switched to lure lonely men and women into friendship fraud. People are attracted by fraudulent proposals of African men and women that are looking for a new partner. The victim will pay then to help the family of the poor girl, to procure her a pasport and an airplane ticket and any other kind of cost that can occur in such a relationship.

As this kind of fraud went quite well and easily, these gangs started to use girls to chat with the lonely men that were looking for a new partner in their lives. At first, the girls ask their new boyfriend to pay for a new computer and for the internet connection at their home, so that they do not need to go to the cyber café to go on the internet. In their homes they are more free to do whatever one might do in front of a webcam...

These girls succeed very often very quickly to make their new boyfriends to perform explicit sexual actions in front of their webcams. As soon as the criminals are in the possession of those pictures they start to extort the victims, threatening them to distribute these videos to their relatives.

Very often this kind of extortion works quite well because victims are afraid for their reputation. The videos often don't leave a lot to the imagination of the spectator.

Of course not all men are like that ...

Internet fraud the new way ...

As the extortion with the sexual action in front of a webcam works so well, the criminals have been looking for new ways for their fraudulent actions.

Recently we registered a new kind of extortion in which Western African internet fraudsters made use of of the possibilities that are offered by malware. They used the different options in a very vicious way.

Although investigations are still under way we already know that their new victims are now the very ordinary internet users that have the misfortune to get infected by a malware. The victims are not looking for new partners, fantastic occassions or whatever.

The malware infects the computer of the victims after which the criminals start to gather information on that computer and of all victim's internet activity. The malwares provides the criminals with usernames and passwords for all the victim's webmail and social network accounts. So they know all the people in the victim's network : mom, dad, granny, suns, daughters, employer ...

In the new extortion scheme, the victims receive a extortion mail with a video attached in which they will see themselves in very explicit sexual actions in front of their webcam.
But these are not all genuine images. The analysis of the video shows that it is made up of different parts and glued together so that it makes a very convincing video.

Apparently the criminals activate webcam and microphone on the infected PC so that they can capture images of the person sitting in front of the webcam and intercept the sounds in the room where the PC is situated. The victims do not know that their PC is infected and they are unaware that they are being filmed and recorded.

The extortion video starts with a view of the person in front of the webcam wearing clothes like all decent people do. Then you get a part in which the focus is switched to the genital parts of that person and where very explicit sexual manupulations are shown. The second part of the video is not a genuine image of the victim but to make viewers believe that it really is, the criminals have added a soundtrack of the victim along with those images. So, while looking at the explicit sexual actions, one hears the voice of the victim and of his partner. At first glance these images look quite genuine and may deceive a lot of people so that they believe that they are looking at real stuff.

As the criminals know who is in your network, threating to distribute this forged video to their contacts, makes people consider seriously to incline to the demands of the criminals.

What can be done about it ?

Preventing the infection of your PC starts with the use of genuine software from a trustworthy source and the installation and permanent use of an antivirus product and a firewall. Updating and patching of operating system and of all the installed software is a second attitude to take.

Being suspicious on what you do on the internet, not just clicking on attachments, not visiting websites or internet areas that are know to distribute malwares is a third attitude.

Despite all your efforts, it can happen that your PC gets infected with malware and that you'll get such an extortion e-mail.

Do not panic but act in a well planned way. Consider next steps :

1. Your PC is infected and contains evidence. Do not connect it anymore to the internet and do not tamper with it if you want to get it analysed by law enforcement. Keep all data that can prove the contact of the criminals with you. If you don't want to go to the police, make at least a full copy of the disk before reinstalling. You might chance your mind.
To be sure that the malware infection is completely gone, it is best to reinstall your PC from scratch and scan everything you reinstall from your backup.

2. Your internet accounts are compromised. Use another uninfected PC to connect to all these accounts to change passwords - if you still have access to them. If not, take contact with the abuse team of that internet service provider in order to explain your problem so that you can regain control over your account.

3. The threats of the criminals still remain. If the video is fake, you might take the chance to be faster than the criminals and inform your contacts of what is happening, explaining that you are victim of an extortion attempt. This will make people look with another mindset when they would receive the video from the criminals afterwards.

Do not communicate any longer with the criminals and most important do not pay !
People that pay once will continue to be put under pressure by the criminals and will be made to pay again and again.

4. To stop the criminals you may want to report your case to the police. Look if there is any specialized cybercrime unit that might help you. They can often give you specialized advice on what to do. Before coming to make your complaint, try to prepare it and make already a timeline of all the incidents that happened and gather proof of all the incidents.
Probably, if the case will be prosecuted, law enforcement will want to gather the digital evidence on your computer system. So keep it ready. You may also consider taking out the infected harddisk as evidence. In this way you keep your PC and can reinstall it with a new harddisk.

P.S. Some advice for people that take sometimes more intimate digital pictures : do not store those pictures on your harddisk or on an external harddisk that is always connected to your PC. The criminals that have access to your infected PC might find these pictures. And if they are genuine, they have better cause for extortion. Keep the pictures and videos on an offline support and encrypt them ! It's your privacy !

Keep it safe !
Luc

Tijd om een backup te maken en deze in diverse versies apart te bewaren !

2012-01-06T18:22:00.001+01:00

Politie-ransomware ?

Update : http://lucbeirens.blogspot.com/2012/02/belgische-versie-van-politie-ransomware.html

Momenteel is in diverse Europese landen een malware erin geslaagd om computersystemen te infecteren waarna alle gebruikersbestanden op de computer worden versleuteld zodat ze niet langer meer geopend kunnen worden met de gebruikelijke toepassingen. Daarna ontvangt de PC-gebruiker het verzoek een bepaalde som te betalen in ruil voor de decryptiesleutel.
Omwille van de afpersing wordt deze vorm van malware aangeduid met de term ransomware.

De laatst ondekte versies van ransomware bestaan in verschillende taalversies (Nederlands, Frans, Duits, Engels en Spaans) en lijken zeer gericht de verschillende landen te infecteren.

Om de gebruikers te overtuigen om de decryptiesleutel te betalen, doen deze ransomwares zich voor als een programma van de respectieve nationale politiediensten waarbij de logo's en de nationale kleuren in een banner zijn opgenomen. De gebruiker wordt ervan ingelicht dat zijn bestanden werden versleuteld omdat er illegale bestanden werden gevonden op zijn computer.
Het slachtoffer wordt meegedeeld dat hij mits betaling van een boete van 100 tot 200 € de decryptiesleutel zal ontvangen. De betalingen dienen te gebeuren aan de betrokken politiedienst in de munteenheid van het land via de online-betalingssystemen Paysafecard of Ukash.

Zo zijn er versies van de Duitse Federale politie, het Duitse GEMA, de Franse Gendarmerie, het Zwitserse Federale departement van Justitie en Politie, de Spaanse politie en de Nederlandse politie.

Mocht iemand er toch aan twijfelen : de vermelde politiediensten hebben niets te maken met deze ransomware-distributie.

Op dit ogenblik is er nog geen variant met de Belgische politie opgedoken, hoewel er ook in België al verschillende gevallen van ransomware werden gesignaleerd.

Tot overmaat van ramp : de slachtoffers die wel betaalden kregen niet steeds een sleutel om hun gegevens te decrypteren.

Wat te doen om te voorkomen dat je slachtoffer wordt van een dergelijke ransomware ?

Natuurlijk is het noodzakelijk om te voorkomen dat je wordt geïnfecteerd door een ransomware.

Een geactualiseerde antivirusscanner en een voorzichtige houding bij internetactiviteiten zijn hierbij belangrijk.

Hoewel die maatregelen het risico reeds sterk verminderen, blijft de kans bestaan dat je wordt geïnfecteerd. En dan worden alle gegevensdragers in het geïnfecteerde systeem onderzocht en versleuteld.

Daarom : voorzie een regelmatige backup van al de data die je lief is en bewaar deze in een aantal opeenvolgende versies op een gegevensdrager die NIET is gekoppeld aan je werkpost !

Op die manier kan je ook in de toekomst je activiteiten nog verder zetten zonder afhankelijk te zijn van afpersers !

Doe het nu ! Morgen kan het te laat zijn.

Source : Microsoft malware protection center http://goo.gl/o0aQY