Keyloggers erg populair bij hackers

Den Haag, 10.08 uur - Het aantal zogeheten keyloggers dat door hackers wordt verspreid blijft snel groeien. Van dergelijke software, die kan worden gebruikt om wachtwoorden te achterhalen, zijn inmiddels 6191 varianten bekend, 65 procent meer dan een jaar geleden. Dat concludeert Verisign iDefense uit een onderzoek.

Keyloggers zijn kleine programmaatjes die op de pc van nietsvermoedende gebruikers belanden en vervolgens alle toetsaanslagen kunnen doorseinen naar de hackers die ze verspreid hebben. Veelal zijn het criminele netwerken die dergelijke programma's via emails verspreiden.

De financiële schade van het misbruik van wachtwoorden - gemiddeld 4000 dollar - door derden hoeft door de gedupeerden vaak niet zelf opgebracht te worden. 16 Procent moest overigens wel (een deel van) de schade betalen. De grootste schade is volgens Verisign overigens het tijdverlies; slachtoffers besteedden gemiddeld 81 uur aan het rechtzetten van het misbruik. (Freek Blankena)

'Sony-cd's installeren onzichtbare software'

Dinsdag 1 november 2005, 13:13 - Sony installeert een rootkit zodra een drm-beveiligde cd in een pc wordt gestopt. Hiermee wordt zonder medeweten van de gebruiker software geïnstalleerd.

Dat stelt althans Mark Russinovich van Sysinternals. Bij wijze van test installeerde hij Rootkit Revealer-software die naar dergelijke software op zoek gaat. Tot zijn ontsteltenis ontdekte hij een rootkit op zijn pc. Rootkits zijn een verzameling programma's waarmee bestanden, directories, registersleutels en software ongezien kunnen worden geïnstalleerd. Hackers gebruiken dergelijke software om toegang te krijgen tot het systeem en vervolgens gebruikersnamen en wachtwoorden te achterhalen.

De scan door Russinovich leverde een verborgen directory, diverse drivers en een verborgen applicatie op. Hierop begon de beveiligingsexpert verder te graven. Hij stuitte hierbij op een driver genaamd Aries.sys. Tevens ontdekte hij de verborgen directory: WindowsSystem32$sys$filesystem. De rootkit-software blijkt alle registersleutels of procesnamen die beginnen met '$sys$' te verbergen.

Russinovich krijgt het voor elkaar om de verborgen elementen zichtbaar te maken. Een onderdeel van deze elementen zijn de zogeheten 'Essential System Tools' van een bedrijf genaamd First 4 Internet. Dit bedrijf is gespecialiseerd in het beschermen van content. De beveiligingsexpert is met Google gaan zoeken naar artikelen omtrent dit bedrijf en stuitte op een artikel van CNet waarin Sony aankondigt content te gaan beschermen met behulp van de software van First 4 Internet.

'Get Right with the Man'

Het artikel zette Russinovich aan het denken. Recentelijk heeft hij namelijk de cd Get Right with the Man van Van Zant aangeschaft. Deze cd is middels drm beveiligd en kan tot driemaal gekopieerd worden. Om te checken of zijn vermoedens juist zijn, heeft hij de audio-cd in zijn pc gestopt en de daarop aanwezige software opgestart. Vervolgens is hij de lopende processen gaan analyseren.

Een voorheen onzichtbaar bestand belast zijn processor: $sys$drmserver.exe. Deze wordt actief zodra de cd afgespeeld wordt. De beschrijving van dit proces is 'Plug and Play Device Manager'. Volgens Russinovich is het proces zo genoemd om gebruikers te misleiden die het proces per toeval tegenkomen.

Tot zijn verbazing blijft $sys$drmserver.exe actief na het afsluiten van de afspeelsoftware. Uit nader onderzoek blijkt dat de software onderdelen van het systeem scant en dat de rootkit wel degelijk van de beveiligde Sony-cd afkomstig is.