Nog geen maand na de introductie van Windows 8 duikt malware op die het nieuwe besturingssysteem in het vizier neemt. Onderzoekers van Symantec kwamen eind vorige week een trojaans paard op het spoor dat op het eerste gezicht niet veel verschilt van andere Windows-indringers. Toen ze echter de code nader bekeken, bleek de malware enkele […]

Advertentie

Nog geen maand na de introductie van Windows 8 duikt malware op die het nieuwe besturingssysteem in het vizier neemt.

Onderzoekers van Symantec kwamen eind vorige week een trojaans paard op het spoor dat op het eerste gezicht niet veel verschilt van andere Windows-indringers. Toen ze echter de code nader bekeken, bleek de malware enkele bijzondere eigenschappen in huis te hebben.

Allereerst bevatte het kwaadaardige programma verschillende verwijzingen naar Microsofts gloednieuwe besturingssystemen. Niet alleen Windows 8 wordt genoemd, maar ook het nieuwe Windows Server 2012 is opgenomen in de lijst met doelwitten.

Credit: Trend Micro
Credit: Symantec

“Maar: deze malware gebruikt geen specifieke functie die alleen voorkomt op Windows 8 en we weten dat de malware al bestond voor de lancering. Gebaseerd op deze feiten geloven we dat deze code een update van de malware is”, zegt onderzoeker Takashi Katsuki.

Google Docs-wisseltruc
Het trojaanse paard heeft nog een andere verrassing in petto die de specialisten van Symantec niet eerder zagen. Normaliter gebruikt malware een zogenoemde command & control server om buitgemaakte informatie aan door te geven.

In dit geval zoekt de nieuwe versie van de trojan, die Backdoor.Makadocs heet, niet direct contact met deze ‘telefooncentrale’, maar zoekt contact met een Google Docs-account, die op zijn beurt weer contact zoekt met de C&C-server.

Volgens Symantec heeft Google Docs (tegenwoordig Google Drive) een ingebouwde viewer die de inhoud van een webadres kan ophalen en weergeven. Normaliter is dit bedoeld voor het ophalen en tonen van bestanden in een browser, maar het trojaanse paard gebruikt het om ‘naar huis te bellen.’

Encryptie vertroebelt het zicht
Omdat de verbinding met Google Docs is versleuteld met SSL-encryptie is het moeilijk om de verbinding vanaf een besmette machine te onderscheppen. Een optie, zo zegt Katsuki, is dat Google dit soort misbruik blokkeert met een firewall aan serverzijde.

De onderzoekers zeggen dat Backdoor.Makadocs verstopt zit in een document in het RTF- of Word-formaat. De makers gebruiken geen kwetsbaarheden in software, maar proberen in plaats daarvan via trucage de trojan op de pc van hun slachtoffers te krijgen. 

De trojanbouwers zijn niet de eerste die hun product geschikt voor Windows 8 maken. Eind oktober doken volgens Trend Micro al enkele examplaren op, die eigenaren van het gloednieuwe besturingssysteem wilden doen geloven dat zij besmet waren en dat alleen de aanschaf van (valse) antivirussoftware hen van het probleem zou afhelpen.

Credit: Trend Micro
Credit: Trend Micro

Ook deze categorie malware, beter bekend als scareware, is verre van nieuw. Maar voor de gelegenheid is ook deze boosdoener in een nieuw Windows 8-jasje gestoken.

Advertentie