Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Core » Software » Opnieuw 64-bit-Windows-virus ontdekt

Opnieuw 64-bit-Windows-virus ontdekt

Door Harm Hilvers, woensdag 25 augustus 2004 01:00
Bron: ZDNet, views: 13.250

Virus - groene doodskop (kleiner dan kleiner)Nadat eerder al een proof-of-conceptvirus was opgedoken voor Windows XP Professional x64 Edition, meldt ZDNet dat er opnieuw een virus is gevonden voor 64-bit-systemen. Het virus heeft de naam W64.Shruggle meegekregen van Symantec. Wanneer een executable die is geïnfecteerd met het virus wordt uitgevoerd, gaat het virus op zoek naar andere AMD64-executables waar het zich vervolgens in injecteert. Het virus verspreidt zich dus alleen op de lokale computer en verstuurt zichzelf niet verder. De antivirusexperts van Symantec verwachten op dit moment geen grote verspreiding. De 64-bit-editie van Windows XP verkeert namelijk nog in het bètastadium en er zijn derhalve alleen maar testversies van het besturingssysteem beschikbaar. Daar komt bij dat het virus niet werkt onder de 32-bit-versies van Windows omdat het geschreven is in AMD64-assembly code.

Volgende 01:47 Verdere prijsdaling lcd-panels verwacht in september
Vorige 23:37 DFI Mini-ITX-moederbord en Pentium M 2GHz/533MHz FSB
Advertentie

Categorieën

Gerelateerde content

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 41 reacties zichtbaar410 Off-topic / Irrelevant: 40 reacties zichtbaar40+1 On-topic: 30 reacties zichtbaar30+2 Informatief: 8 reacties zichtbaar8+3 Spotlight: 1 reactie zichtbaar1
«  1  2  »

Door ThaDiggah, woensdag 25 augustus 2004 01:03

Score: 0
Ik denk dat ze tegenwoordig beter de providers kunnen aanspreken voor de virussen dan de klant, het word steeds erger en niet iedereen weet hoe hij/zij een pc up-to-date moet houden

Door boesOne, woensdag 25 augustus 2004 02:00

Score: 0
Que?
Alsof je de overheid gaat bekeuren omdat er op hun snelwegen in auto's te hard wordt gereden..

Als je dan zo graag iemand behalve 'de klant' aansprakelijk wil stellen dan de producent van de lekke software...

imho is de virus schrijver aansprakelijk.. en de software maker verantwoordelijk voor snel patches beschikbaar maken/cq veilig opleveren van de software.. en de klant moet updaten..

Door twiFight, woensdag 25 augustus 2004 02:23

Score: 1
Om in jouw woorden te spreken: Que?

wie heeft het over bekeuren? wie heeft het over aansprakelijk stellen?

IMO heeft thadiggah wel een punt. niet dat mensen niks meer hoeven te doen tegen virussen, maar de provider kan ook een hoop doen. Soms is het zo simpel als 1 poort op het netwerk dichttimmeren om de verspreiding tegen te gaan. En zeg nou zelf, dat is voor een ISP toch heel wat simpeler dan voor een x aantal duizend mensen om te doen.

Ik vind ook dat ISPs meer verantwoordelijkheid moeten nemen. 2/3/4 euro per maand voor een spam/virusfilter op email? Dat zou elke ISP gratis moeten doen, het scheelt hun zelf immers ook een hoop kosten en problemen. En door op welke manier dan ook actief virussen tegen te gaan kan een ISP misschien wel 50% van de virussen tegengaan (genoemd cijfer is een gok).

Dus misschien ligt de verantwoordelijkheid wel niet bij de provider, dat betekent niet dat ze die dan ook niet hoeven te nemen.

Door DaRealRenzel, woensdag 25 augustus 2004 02:41

Score: 1
Que ? 't is toevallig wel zo dat als jij door een gat in de weg rijdt en daardoor je auto kapot gaat dat je de eigenaar van de weg aansprakelijk kunt stellen.. Die moet zorgen voor goede infrastructuur.

Ben het met TwiFight eens. Een spamfiler / virusscanner op de ISP Mailservers scheelt hun HEEL veel intern verkeer, da;s dus bandbreedte die je als gebruiker ter beschikking hebt. Daarnaast kan zo'n virusfilter ook voorkomen dat je 'klanten' per ongeluk virusmails versturen (en die dus ook waarschuwen). Natuurlijk heeft de gebruiker ook verantwoordelijkheden, maar ook de ISP's kunnen er HEEL veel aan doen

Door bamboe, woensdag 25 augustus 2004 08:42

Score: 1
Que, Precies,

Goede infra structuur, jij zou toch ook niet willen dat de afslag naar je huis word afgesloten.
Wat wil je nu, als je op de snelweg rijd heb je ook kans op een ongeluk, en als iedereen nog maar 30 mag rijden en je op elke afslag voor je papieren word gecontroleerd word jij vast ook niet blij.

Profiders zijn er voor om internet aan te bieden, wat de klant zelf doet met het geheel moet je zelf weten.
Trouwens misschien word die poort ook nog nuttig gebruikt? Laat die verantwoordlijkheid maar bij de klant liggen.

In dit geval lijkt het me beter dat de software standaard alles dicht gooit, maar ja je wil wel weer het net op kunnen he...


't is ook nooit goed he...!!

Door hezik, woensdag 25 augustus 2004 02:55

Score: 2
Heel leuk gedacht, maar daar koop je niets voor.

Het gaat hier niet om wie er verantwoordelijk is, dat is wel duidelijk, maar om wie in de beste positie verkeert om er iets aan te doen. Dat zijn imo twee instanties; nl. de overheid (voorlichting en opsporen/vervolgen virusmakers) en de ISPs.

Denken dat de thuisgebruiker het zal oplossen is naif. Als iedereen een (up-to-date) virusscanner zou hebben, z'n windows up-to-date zou houden en niet in het wilde weg rond zou klikken, dan hadden we geen virusprobleem, of althans niet in deze orde van grootte.

In de praktijk is dit echter niet uitvoerbaar. Niet iedereen beschikt over de kennis adequaat tegen virussen op te treden en ik denk ook niet dat het reëel is om te denken dat dit ooit zal veranderen, daarvoor zijn er teveel digibeten op de wereld.

Dan blijft over de overheid, de schrijver van het besturingssysteem en de ISP. De schrijver van het besturingssysteem doet al vrij veel, er komen patches uit (zowel voor linux als voor windows) en men tracht gaten te dichten. De overheid doet eigenlijk helemaal niets (afgezien van wetten en regels opstellen) en de ISPs hinkelen op één been mee.

Door kimborntobewild, donderdag 26 augustus 2004 07:10

Score: 1
De prioriteit moet natuurlijk liggen bij voorkomen, niet bij genezen. OS (en andere software) veilig afleveren = voorkomen. Virusmakers oppakken/zoeken is genezen. ISP handelingen = genezen.
Op dit moment is veruit Windows het grootste probleem. Misschien kan Linux later óók grote problemen veroorzaken (als 't groter zou worden), maar doet 't nu in 't geheel niet, dus dat doet er verder op dit moment nauwelijks toe. MS moet dus harder aangepakt worden door de overheden opdat ze veiliger software leveren (vóóraf, dus niet repareren áchteraf, zoals nu continue nodig is).

Door siepeltjuh, donderdag 26 augustus 2004 03:33

Score: 1
Het is vrij gemakkelijk als provider zijnde virussen te blokkeren scannen weet ik veel.
Denk aan poorten blokken, mail (in en uit) scannen. en geinfecteerde klanten tijdelijk non-actief zetten (de planet manier)
Dit voorkomt een boel gelazer.

Je kan als overheid weinig doen aan mensen die te hard rijden op de snelweg..
een drempel op de snelweg????
een flitser en traject control lijken me het uiterste.

Dus je vergelijking is aardig scheef.

Tuurlijk moet een pc up-to-date worden gehouden, maar zoals iedereen hier weet doet jan met de pet dat niet zo vaak. Dus lijkt me een soort inperking mij meer iets.

Ontopic:
Waarom is dit nieuws zo belangrijk dat het noemenswaardig is. De virussen maken geen gebruik van de buffer overun dus het heeft niets met de NX bit te maken.
Dus het is niets anders als een 64 bit virus dat ook voorkomt op 32 bit.

Door kimborntobewild, donderdag 26 augustus 2004 07:17

Score: 1
Je kunt pas virussen blokkeren als ze al verspreid (= bekend) zijn.
"Dit voorkomt een boel gelazer.":
'Dit geneest enig gelazer', doet meer recht. Als je in 't voorkom-hoekje wil gaan zitten, moet je toch bij MS zijn, die de gatenkaas geleverd heeft. Een íets andere (betere) filosofie bij MS, en hup, daar is een superveilig OS.

Door Rey Nemaattori, woensdag 25 augustus 2004 01:05

Score: 2
D'r zijn niet veel mensen met kennis van AMD64 assembly code, en nog minder die er een virus mee kunnen schrijven...


Je zou bijna denken dat het om iemand gaat die zelf mee help met het ontwikkelen van win64 of iig ergens werk met goede banden met AMD Mircosoft of een producent die driver schrijft voor win64

Freaky dat zulke mensen zich bezig houden met 'verkeerde' dingen...

(ik heb weleens assembly geprogrameerd voor een oude 68HC11, een 8-bits micro controller geloof me da's geen pretje :P)

Door Fuzzillogic, woensdag 25 augustus 2004 01:21

Score: 2
Nou zoooo verschillend zijn x86 en AMD64 assembly nou ook weer niet. De concepten zijn gelijk, en de mnemonics zullen ook weinig verschillen.

M.a.w. zelfs voor een proof-of-concept scoort deze hoog op de "ja, duh"-schaal.

Door boner, woensdag 25 augustus 2004 07:47

Score: 1
mnemonics zijn nix. Ik neem aan dat je opcode bedoelt.

Een assembler vertaaalt een lijst van mnemonics plus nog wat andere shit naar opcodes. Dit zijn getallen die bij een processor de instructies activeren.

opcode = operand code.
mnemonic is een higher level zodat menschen het ook een beetje kunnen begrijpen.

Door Theadalus, woensdag 25 augustus 2004 01:58

Score: 2
Je zou bijna denken dat het om iemand gaat die zelf mee help met het ontwikkelen van win64 of iig ergens werk met goede banden met AMD Mircosoft of een producent die driver schrijft voor win64
Wat dacht je van Symantec? ;)

Door PuzzleSolver, woensdag 25 augustus 2004 08:32

Score: 3
Precies,
Het virus verspreidt zich dus alleen op de lokale computer en verstuurt zichzelf niet verder.
Hoe kunnen ze het anders als eerste vinden.

Door Sluuut, woensdag 25 augustus 2004 09:09

Score: 1
Door een user die Norton gebruikt en die het opvalt dat de filesize van bestanden veranderd.. En daarom mail contact met Norton Antivirus begint?

Of door honderden andere dingen :)

Ik vind het niet zo erg dat virussen uitkomen, het bewijst immers constant de zwakke plekken van een systeem. Anti Virusmakers die leren ervan. Bovendien, als al die lekken zouden worden misbruikt door hackers in plaats van virussen, zou er minder snel een update komen en dan worden er alleen maar meer bakken gehacked... Wanneer er een virus uitkomt wat zich snel verspreid en niet eens schade aanricht, dan is de hele wereld ineens in paniek omdat er een grote kans is dat er een "virus" op de computer kan staan..!

En dan als tweede zal het me een zorg wezen of ik een virus heb of niet, zolang hij maar geen schade aanricht...
Er zijn zat virussen die zich alleen maar verspreiden.

Door n4m3l355, woensdag 25 augustus 2004 01:19

Score: 0
ik vraag me ook af omdat dit nog zover in beta zich bevind of de compiler ook niet een signature meegeeft aan het gecompilede bestand. in dit geval het virus en zodoende een stuk makkelijke rmoet zijn om de maker terug te vinden

Door DaRealRenzel, woensdag 25 augustus 2004 02:43

Score: 1
Hoe makkelijk is het niet om in X64 executable code direct verplicht te stellen dat er een inderne CRC / MD5 in zit om als zodanig een executable te kunnen checken op correctheid ?

Door nhimf, woensdag 25 augustus 2004 09:49

Score: 1
klinkt leuk, maar dan maak je een virus die de hash opnieuw berekend en in het bestand schrijft, over de originele hash heen, en dan lijkt het alsof alles correct is.

Maar het is idd erg makkelijk en kan daardoor zeer makkelijk misbruikt worden.

ps: aan n4m3l355, als er een signature wordt meegegeven, dan denk ik dat iemand die assembly kan schrijven ook wel zo slim is om deze signature aan te passen of te verwijderen. Dat kan misschien niet direct, maar dan maakt hij een 2de app die deze signatures kan verwijderen/aanpassen.

Door PowerSp00n, woensdag 25 augustus 2004 01:20

Score: 1
Wanneer een executable die is geïnfecteerd met het virus wordt uitgevoerd, gaat het virus op zoek naar andere AMD64-executables waar het zich vervolgens in injecteert. Het virus verspreidt zich dus alleen op de lokale computer en verstuurt zichzelf niet verder.
Hoe kun je het virus dan sowieso krijgen? :).

Maar bijv. als een persoon een network mapping heeft gemaakt aan een drive letter. Waar de gebruiker vervolgens bijv. schrijfrechten heeft op een executable. Die vervolgens weer over het netwerk bij andere gebruikers word gexecuted (door de gebruiker zelf dan wel). Maar ok, het krijg dan misschien inderdaad wel wat hulp maar toch :).

[edit] En toen zak ik me ineens nog te bedenken dat het zich natuurlijk kan verspreiden via data geschreven op een CD-rom/diskette/USB-stick |:(, was de "goede" oude tijd even vergeten :P.

Door Red Lion, woensdag 25 augustus 2004 01:25

Score: 2
Hoe kun je het virus dan sowieso krijgen?
Nou, gewoon geïnfecteerde executable downloaden of op een andere manier binnenhalen, zoals dat wel vaker gebeurt.

Misschien kan Microsoft nu rekening houden en een fix ofzo schrijven voordat XP64 final wordt.

Door Countess, woensdag 25 augustus 2004 02:09

Score: 0
eigenlijk helemaal niet zo slim, je virus in 64bit code schijven.
in 32bit had hij namelijk en op de normale windows gewerkt en op de 64bit versie van windows (die nog gewoon 32bit programas kan draaien)
een 64bit virus werkt alleen op windows xp64.
ik verwacht dan ook niet veel "echte" virusen op 64bit te zien. zeker de komende 3-4 jaar nog niet.

Door rashmatash, woensdag 25 augustus 2004 02:18

Score: 1
zou zo'n 64-bit virus sneller zijn dan de 32-bit versie? ;)

Door Mattiwatti, woensdag 25 augustus 2004 11:12

Score: 2
Ja, hij kan tot 30% sneller je bestanden wissen :Y)

Door xbassiex, woensdag 25 augustus 2004 02:31

Score: 0
Mag ook wel, dan hebben zij ten minste ook een virus... :Y)

Door T4dder, woensdag 25 augustus 2004 02:39

Score: 1
maar Win XP 64 kan toch ook gewoon 32bit software draaie of niet? dan pak je ze toch op precies hetzelfde? correct me if im wrong hoor....

Door pasta, woensdag 25 augustus 2004 02:51

Score: 1
Je hebt gelijk. ;)

Windows XP64 is een besturingssysteem geoptimaliseerd voor de AMD64 uitbreidingen van de Athlon 64. Deze processor heeft ook nog de x86 (32-bits instructies). Een virus voor x86 werkt daarom ook op een Athlon 64, en andersom niet. :)

Verder, is dit weer gewoon een proof-of-concept. Echt schade willen ze nu (waarschijnlijk) nog niet aanrichten. Pas zodra het enigzins interessant zal zijn om virussen voor de AMD64 instructieset te schrijven zal dit populairder worden. Of het echt zal aanslaan is daarentegen nog maar de vraag, misschien over een aantal jaar wel, maar de komende paar jaar zal waarschijnlijk de x86 instructie-set nog teveel gebruikt worden in het algemeen. Pas zodra echt pure 64bits processors (zoals de Itanium) mainstream worden verwacht ik hier echte virussen voor te krijgen (major threats zoals de blaster/sasser-varianten).

Door tedades, woensdag 25 augustus 2004 02:48

Score: 1
dan pak je ze toch op precies hetzelfde? correct me if im wrong hoor....

???
De software is specifiek geschreven voor een amd64 i.c.m. winxp-64 lijkt me.

Door picta, woensdag 25 augustus 2004 07:17

Score: 1
Waarom geven ze niet elke executable een crc check mee aan het eind, crc niet goed niet opstarten. Dit gebeurde in het dos tijdperk ook vaak ik deed het zelf altijd.

Door Fobos, woensdag 25 augustus 2004 07:36

Score: 1
Omdat de crc aan het einde de hele crc van de exe beinvloed. Een exe kan dus bijna onmogelijk zijn eigen crc bevatten. Misschien kan je zo'n crc met een of ander algorimte maken maar dat zou het virus dan ook kunnen.

Door ATS, woensdag 25 augustus 2004 07:47

Score: 1
Omdat de crc aan het einde de hele crc van de exe beinvloed. Een exe kan dus bijna onmogelijk zijn eigen crc bevatten.
Duh! Uiteraard laat je die CRC (of andere hash) niet lopen over de bytes waarin hij is opgeslagen... |:(
Misschien kan je zo'n crc met een of ander algorimte maken maar dat zou het virus dan ook kunnen.
Dat is allleen een probleem als alle programma's het op dezelfde manier zouden doen. Als ze het allemaal anders doen, dan wordt het al veel lastiger voor een virus.

Door 84hannes, woensdag 25 augustus 2004 08:51

Score: 1
Ik had eigenlijk het idee dat virussen die bestanden infecteren grotendeels verleden tijd zijn. Tegenwoordig zijn virussen toch meer zelfstandige programma's?

Door Infinitive, woensdag 25 augustus 2004 10:33

Score: 1
Wat echter wel kan is het ondertekenen met een (verifieërbaar) digitaal certificaat. Aangezien alleen de maker dit certificaat kan plaatsen, is het virus kansloos. Het virus kan alleen een nieuw certificaat plaatsen, maar die komt dan niet van de oorspronkelijke eigennaar vandaan.

Probleem is alleen dat als je het goed wilt doen, je voor een certificaat dat verifieëerbaar is door een trusted thirth party geld moet betalen - en niet zo'n beetje ook.
«  1  2  »

Op dit item kan niet meer gereageerd worden.

Volgende 01:47 Verdere prijsdaling lcd-panels verwacht in september
Vorige 23:37 DFI Mini-ITX-moederbord en Pentium M 2GHz/533MHz FSB
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011