VirusTotal: malware doet zich vaak voor als Adobe Acrobat en Skype

VirusTotal: malware doet zich vaak voor als Adobe Acrobat en Skype

Door Anoniem: Veel verraderlijker is als een executable zich via het icoontje voordoet als een .pdf bestand of een map. Als ik suf ben trap ik daar soms wel in denk ik. Wel heb ik UAC maximaal staan. Misschien helpt dat in zo’n situatie.

Heb je niet extensies altijd zichtbaar dan?

Je zou ook een script kunnen maken die je runt die alle double extentions of rapporteert of automatisch verwijderd.
Een beetje beveiliging suite heeft dat echter al standaard erin zitten.

Of je maakt binnen group policy editor een lijst met vertrouwde programma’s en alles dat niet vertrouwds is genereert dan een Restrictions notification waar zelfs een administrator niet door heen met handmatig starten tenzij gpedit aangepast wordt.

Valt onder User Configuration > Adminstrative Templates > System daarna “Run only specified Windows Applications”
zet policy op enabled druk op show en vul de exacte bestandsnamen in voor het runnen. Geen double extention die dan nog erdoor komt mits je zelf het aanklikt vanuit de GUI. Run je een app vanuit PowerShell of Command prompt of is deze gestart vanuit een ander proces dan houd je het niet tegen. Al zijn daar ook beveiliging methodes voor door proces restrictie in plaats van executable.

Als je extra secuur wilt zijn kun je een script maken dat valideert bij opstarten dat de template nog actief is en zo niet een alert genereert.

Bron: https://www.security.nl/posting/763704/VirusTotal%3A+malware+doet+zich+vaak+voor+als+Adobe+Acrobat+en+Skype?channel=rss

Georgino van Hout

Georgino van Hout is een verslaggever voor InternetBlabla.nl. Hij heeft in het verleden voor verschillende cyber security bedrijven geblogd. Door zijn bijdragen aan InternetBlaBla, kunnen we de belangrijke zaken in cyber security blijven verslaan zodat we actueel blijven op het gebied van cyber veiligheid.