Moved to blog.eddsn.com

The new blog is at: http://blog.eddsn.com

Nasty rootkit/spyware virtumonde

You can read a lot about antivirus and antispyware software failing to catch up with the explosive growth of viruses that are surrounding the net. For the first time, I saw all the software really failing to remove a virus, even if it knew that it was there.

My first encountering of the spyware was a few weeks ago (on a machine not of my own). I lost an entire day searching for a remedy, that resulted in nothing. My first try was to just do a basic scan with the available software (NOD32 and SpyBot), which detected the virus, but couldn't do anything to remove it. Trying in safemode, was the obvious next step. I was surprised to see that virtumonde even loaded in safemode, and therefore I couldn't remove it. Then I began my search on the net with the hope to find some quick solution (time is precious). Hours after trying to remove it from starting, various virtumonde "fixes", other antivirus and spyware software, it ended in nothing.
I was really determined not to surrender to this nasty peace of software, and therefore I had one last hope: isolate XP, and remove the damn thing manually. So I booted with Hiren's Boot CD a mini version of XP, with which I hoped to remove virtumonde while it wasn't active. I did in advance locate the files and registry keys (which I got by scanning with Spybot). And finally, when I deleted the files, removed the registry keys, booted up the machine, the virus was eliminated! :D

To sum things up, the spyware is nasty, really nasty. Haven't seen any other spyware that was more persistent than this. If you get infected by something like this, you end up either formatting your drive or do it manually like I did. There may be other, maybe easier ways, to overcome this problem, but here's one solution that worked for me:
1. Scan the system with SpyBot and locate the files that it found
2. Delete them with SpyBot and reboot the system
3. Boot mini XP with Hiren's boot CD
4. Now go to the windows system folder (or there where the files were reported), and sort the files by modification date. Because we deleted the files in step 2, the virus should have recreated itself again. So this is a quick way to identify all the files, since these are the last created ones.
5. Remove these files and any other files that were reported in step 1
6. Reboot the system and do a final scan with spybot, to make sure it is completely removed
7. You should be very happy now. :D

Unable to load OfficePluginRes.dll

Haven't seen much of solutions on the net about this, so here's my own workaround.

There are some "addins" that are used by all office programs, and apparently the contribute plugin somehow got broken on my system.

The error while starting any of the office programs might look something like this:
"Unable to load OfficePluginRes.dll. Contribute may not be installed properly."

The fix is to disable the loading of this addin by simply doing the following:
1. Run regedit
2. Go to: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\
3. Pick your program where the error occurs (in my case Outlook)
4. Open: Adobe.Contribute.OfficePlugin
5. The DWORD value "LoadBehavior" should be set on 3. Change it to 0.

This should be a quick fix to get rid of that nasty message.

Vertrouwelijke telefoongesprekken

Is het nog mogelijk een vertrouwelijk telefoongesprek te voeren?

NOVA onderzoekt hoe goed de telefoons van onder meer overheidsinstanties beveiligd zijn. Wat blijkt? Het is kinderlijk eenvoudig om de telefoon van de overheidsinstanties, ziekenhuizen, advocaten en cliënten af te luisteren als aan één kant van een telefoongesprek gebruik wordt gemaakt van sommige typen digitale huistelefoons.

Het gaat bijvoorbeeld om gesprekken tussen verschillende politiebureaus, en meldingen van ongelukken door de politiemeldkamer. Ook een conversatie waarin een arts de resultaten van een bloedtest doorbelt, blijkt zonder veel moeite te beluisteren. Er is niet meer voor nodig dan een laptop en een speciaal telefoonkaartje dat op internet te koop is voor 23 euro.

NOVA laat in de uitzending een groot aantal geluidsfragmenten horen.

[NL] Skimming op NS-Stations - Pinnen niet veilig

In een eerdere post over identiteitsfraude was te zien hoe gevoelige data bij frauders terechtkomt. Het ging vooral over creditcards die misbruikt werden.
Deze keer gaat het over PIN pasjes waarbij door het zogenaande 'skimming' fraude kan worden gepleegd. In deze post gaat het specifiek over NS kaartjesautomaten waarbij gepind kan worden.

Illusie van veiligheid
Het afschermen van de pincode geeft een fals gevoel van veiligheid en heeft in gevallen waarbij de toetsaanslagen worden gelogd (keylogger) totaal geen nut meer.

Op de site van uitzendinggemist is een korte rapportage te zien over een voorval bij een treinreiziger (eerste 8min. van de uitzending) die een skim-apparaat ontdenkt heeft.

Werking skim-apparaat
De werking en een aantal foto's van zo'n skim-apparaat zijn hier te zien.

Het apparaat is een precies stukje handwerk. De kaartlezer bestaat uit twee printplaten met een koperlaag, zoals die wordent gebruikt om elektronische prints op te etsen, aanelkaar gesoldeerd en gelijmd met hot glue. Twee verhoogde stroken met dubbelzijdig kleeftape zorgen voor een redelijke sterke bevestiging. De bovenste plaat was geplaatst voor de kaartlezergleuf, en de onderste valt ver naar binnen in de kaartjeautomaat en is boven het toetsenbord gemonteerd.


Er zitten diverse stukjes elektronica in:

* Een USB-filmcamera
* Een magnetische leeskop en elektronica
* Een infrarood LED gevoed door een 3V lithiumbatterij belicht het toetsenbord
* Een groen LEDje op de nep-kaartlezer met een eigen 1,5V AA-batterij.

De camera bestaat slechts uit een printplaatje en wordt gevoed door een NiMH-accu van een mobiele telefoon van Nokia. De lens is gericht op het toetsenbord (zie foto) waar de gebruiker zijn pincode intikt. De camera bevat 2 GB opslagruimte en maakt filmpjes in 3GPP formaat met een dusdanige lage resolutie dat er 1 MB / minuut video wordt opgeslagen. Hieruit kan worden berekend dat er dus 32 uur video kan worden opgeslagen.

De leeskop zit op de pasgleuf en leest de magneetstrip van de pinpas terwijl deze door het skimapparaat gaat. De elektronica wordt ook gevoed door een NiMH-accu uit een Nokia mobiele telefoon. In het zilverkleurige plakband zit een printplaatje van 5 bij 30 mm groot met daarop twee SMD chips. De electronica bestaat (vermoedelijk) uit een microcontroller en een flash-EEPROM waarop de magneetstripgegevens worden opgeslagen. De techniek is het eerst (aan mij) beschreven in het hackersblad Hacktic #8 in begin van de jaren negentig.

Hoe hiertegen te beschermen?
Hoe dan ook moet je altijd ervoor zorgen dat je je pincode goed afschermt en je tijdens het pinnen niet laat afleiden.

Wie helemaal paranoia is kan het primitief aanpakken en teruggaan naar de tijd van contant met muntgeld betalen.
Maar om niet steeds al dat kleingeld mee te hoeven nemen is er wel een nettere oplossing, namelijk chippen.
Voordat je chipt moet je natuurlijk je chip van tevoren opladen, maar je zorgt er wel voor dat je pincode niet blootgesteld is aan camera's en/of keyloggers. Dus ook al is er een skim-apparaat over het originele aanwezig en je magneetstrip misschien uitgelezen, je pincode blijft prive en de fraude is voorkomen.

Skimmen niet alleen op NS-Stations
Het skimmen gebeurt natuurlijk niet alleen op NS-Stations. Op grote schaal wordt het ook uitgevoerd op verschillende plaatsen zoals winkels, tankstations of soms al klaargemaakt in de fabriek.

Je kunt nooit voorzichtig genoeg zijn, maar wel de nodige preventie treffen en de risico's daarmee verkleinen.