ING cleaner (Spyeye / Zeus) removal tool onder de loep.

SpyEye
Update 15-06-2011

De tool die hier getest is betreft één van de eerste versies die geen ITW (In The Wild) malware detecteerde, inmiddels is er een nieuwe ‘removal tool’ beschikbaar gesteld op de website van de ING en deze verwijderd alle recente SpyEye en Zeus malware.

Naar aanleiding van dit blog bericht “ING scant computers op afstand – WTF?!” nemen we de ING cleaner voor het verwijderen van de malware Spyeye en Zeus eens onder de loep met een tweetal willekeurige samples als voorbeeld zie virustotal results hieronder.

1. MD5   : 9bdd4e4e7124a4af81a8fd4c69c781a1 Result: 38 /42 (90.5%)
2. MD5   : daf6af245f7b1bb4a02706eb124d2b3e Result: 32/ 43 (74.4%)
Op de website van de ING waar deze PC-cleaner – Virus verwijdertool van Fox-IT (volgens de eigenschappen van het bestand) is te downloaden is verder geen informatie beschikbaar over de werking en updates van deze tool.
Nadat ik de malware heb uitgevoerd gelijk de cleaner van ING laten runnen en zoals ik eigenlijk al had verwacht wordt er geen malware gedetecteerd op het systeem.
Waarom er dan gevraagd wordt om het systeem opnieuw op te laten starten is mij dan ook een raadsel?
ING Cleaner

Gelijk maar eens een snelle scan met MBAM MalwareBytes’ Anti-Malware en die detecteert toch zeven geïnfecteerde bestanden (trojan.spyeyes)
MBAM MalwareBytes' Anti-Malware
De scan met MBAM MalwareBytes’ Anti-Malware bewijst hiermee dat de cleaner van ING niet voldoet voor het detecteren van de SpyEye en Zeus malware zoals wel wordt beweert en in brieven naar ING klanten toe wordt geadviseerd om te gebruiken.