Proof-of-concept-code cpu-specifiek virus gepubliceerd

Reacties

« 1 2 »

Door Nicholai, maandag 28 augustus 2006 16:43

Ben ik blij dat ik een intel proc heb

Staat mn bericht negatief. Mag ik niet blij zijn dat dat probleem mij niet kan overkomen?

Door Orion84, maandag 28 augustus 2006 16:57

Het gaat nu nog om proof-of-concept-code, maar de mogelijkheid bestaat dat het virus wordt uitgebreid zodat het op meer verschillende hardware-architecturen en OS'en zal kunnen werken.

Lezen is ook een kunst

In de toekomst zullen er dus ook varianten speciaal voor intel komen. Het gaat er om dat dit soort virussen de computer aanvalt door rechtstreeks met de hardware te babbelen, in plaats van software matig re rotzooien.

Door dwergkip, maandag 28 augustus 2006 17:03

inderdaad lezen is een kunst, intel wordt nergens genoemd er wordt alleen gesproken over een mogelijkheid en verschillende hardware-architecturen, dat er varianten voor intel komen is puur suggestief en waarschijnlijk voor jou wishfull thinking

Door Niak, maandag 28 augustus 2006 17:45

Nu staat het weer op 0.

Door onex77, maandag 28 augustus 2006 16:43

als ik 't dus goed begrijp is dit, indien niet snel opgelost, een gigantisch probleem...

maar dit virus slaat dus heel windows over en gaat direct met je hardware aan de slag? hoe moet ik me dat voorstellen (api? drivers?)

Door masser120, maandag 28 augustus 2006 16:50

Mij lijkt de firmware dan logischer.
Dat kan je hardware dus mooi onbruikbaar maken

Door _JGC_, maandag 28 augustus 2006 16:54

Als je als gebruiker met beperkte rechten werkt heeft dit virus geen kans, tenzij het via directX de hardware weet aan te spreken. Voor een beperkte gebruiker is DirectX de enige directe toegang naar hardware.

Door s463042, maandag 28 augustus 2006 16:58

Dat wil niet zeggen dat je als gebruiker met beperkte rechten geen rechten hebt om onveilige opcodes te runnen. Daar wordt bij mijn weten niet op gecontroleerd.

Door FSVZ, maandag 28 augustus 2006 16:55

Een probleem daarbij is echter dat iedere processorfamilie zijn eigen variant op opcode spreekt om met de hardware te communiceren.

Dus het lijkt me dat een of andere zeer low-level 'taal' (machine-code) gebruikt zal worden. Mijn idee is dat de opcode vervalst wordt op een of andere manier. Maargoed, is maar een speculatie.

typo's

Door miw, maandag 28 augustus 2006 17:04

Opcodes worden vaak niet direct door de hardware uitgevoerd, maar door zogenaamde microcode. In het aangehaalde artikel wordt dit onderscheid niet gemaakt, waardoor het tamelijk onduidelijk wordt. Kennelijk heeft men een virus ondekt dat microcode can aanpassen. De gewijzigde microcode is onzichtbaar voor de hogere niveau software (OS en andere executables).

Door RedLizard, maandag 28 augustus 2006 17:08

Dat kan toch alleen vanuit ring 0 neem ik aan? Dan heb je dus sowieso root access nodig, en zie ik niet in wat hier zo bijzonder aan is. Ik kan ook wel een machine slopen als ik root access heb hoor, daar heb ik dit virus niet voor nodig.

Door sse2, maandag 28 augustus 2006 23:16

Zelfs root heeft geen ring 0 access. Alleen de core kernel heeft ring 0 access.

Door 6230lover, maandag 28 augustus 2006 16:52

Ik ben dan vooral benieuwd of dit dan ook gevolgen kan hebben op andere besturingssystemen. Zoals ik het hier lees maakt dat niet uit, of heb ik dit nou fout.

En waarschijnlijk zou dit dan ook het eerste virus voor macosx worden. Apple gebruikt dan wel intel hardware, maar dit virus kan je waarschijnlijk ook wel naar intel overzetten.

Door PhoenixT, maandag 28 augustus 2006 16:58

De mac heeft al vaker virussen gehad hoor, al zijn het er niet heel veel.

Door s463042, maandag 28 augustus 2006 17:01

eerste virus voor macosx worden

Die (zie ook deze) was er al hoor.

Door Bazilfunk, dinsdag 29 augustus 2006 03:12

Heeft Mac OSX na 5 jaar nog maar 2 virussen?

En dan nog maar enkel proof of concepts?!!!

Switchen!!!!!

Door PowerBower, maandag 28 augustus 2006 16:56

zodat ook *nix-achtigen ermee bediend kunnen worden.

is mac, met name OS X, niet ook gebaseerd op *nix ?

Door Legolas_1973, maandag 28 augustus 2006 16:57

volgens mij alleen de kernel maar ik ben geen MAC expert

Door Orion84, maandag 28 augustus 2006 16:59

De kernel is ook het Operating System

. Alle software daaromheen die daar tegenwoordig haast automatisch bijkomt hoort in principe niet tot het OS.

Door s463042, maandag 28 augustus 2006 17:07

Het antwoord is nee! OS/X is OpenDarwin en dat is FreeBSD 3.2 die loopt op een Mach 3.0 Microkernel. Dus het is misschien gebaseerd op *BSD maar dan is het nog geen unix...

Door Reinstein, maandag 28 augustus 2006 18:05

En FreeBSD is gebaseert op BSD Unix.

http://www.freebsd.org/ -> "Based on BSD UNIX"

Ik acht de kans groot dat BSD Unix afstamt van Unix.

Unix history: http://www.levenez.com/unix/history.html

In dat schema kun je Mac OS/X terug vinden, en als ej dan alle lijntje terugvolgt kom je bij unix uit.

Ik ben het dan ook niet met je eens, ik ben van mening dat Mac OS/X wel degelijk een unix-based OS is.

Door Legolas_1973, maandag 28 augustus 2006 16:56

Vooralsnog gaat het om een Windows-virus, maar de mogelijkheid bestaat dat dit in de toekomst wordt uitgebreid zodat ook *nix-achtigen ermee bediend kunnen worden.

en MAC`s

ik ga er tenminste vanuit dat Intel vroeg of laat ook aan de beurt is. en aangezien MAC`s gebruik maken van Intel CPU`s worden die ook kwetsbaar.

en natuurlijk de tweakers die MAC OS X op een windows PC draaien met een AMD en mogelijk later Intel

Door d3vlin, maandag 28 augustus 2006 16:58

Het gaat dus feitelijk om een chip-level treat virus specifiek voor de opcode van AMD processoren, om van daaruit zeer lowlevel toegang te krijgen tot het systeem. Dat is dus niet heel anders dan het CIH/Chernobyl dat deed middels het flash-BIOS in 1998.

Door k1n8fisher, woensdag 30 augustus 2006 21:29

Je zou bijna Intel gaan verdenken van sponsoring van de schrijvers van dit virus!

Door webfreakz.nl, maandag 28 augustus 2006 16:58

Leuk als zo'n ding ook nog eens verspreid gaat worden via de email en dan lekker je BIOS 'leeg flashen'. Internationale ramp.

Door TD-er, maandag 28 augustus 2006 17:12

Dan is de verspreidingssnelheid afhankelijk van hoe lang mensen hun PC aan laten staan.
Na de reboot doet de PC het namelijk niet meer en kan dus het virus zich ook niet verder verspreiden.

Kortom ik denk niet dat ze heel erg vervelende dingen gaan doen, want dan verpreid het virus zich niet snel genoeg.

Maar goed, mocht je nog meer doom-scenario's willen...
- Password op de hdd controller zetten
- extra ruimte in diverse eeproms misbruiken om zich in te verbergen zodat je na een herinstall ineens weer besmet bent
- een virtuele machine starten die virussen of spam gaat versturen via het netwerk
- firmware van branders aanpassen (die gebruiken de meeste mensen niet dagelijks)
- spanningen van componenten aanpassen (CPU, geheugen etc) waardoor dingen na verloop van tijd doorfikken.
- keylogger installeren
- Boot-logo's aanpassen (hacked by... bladiebla)
- modems laten inbellen naar dure betaalnummers.

etc.

Door JarnoD, dinsdag 29 augustus 2006 09:12

Kwestie van een "tijdbom". Eerst flink laten verspreiden en dan 120 dagen na tijdstip 0 allemaal tegelijk de BIOS leegflashen. Of een "BIOS leegflashdag" inbouwen zodat niemand meer kan booten op 14maart ofzo. Genoeg tijd om te verspreiden, genoeg mogelijkheid om schade aan te richten... Die truc is in de viruswereld al zo oud als de weg naar Kralingen.

Door EaS, maandag 28 augustus 2006 16:59

dat zich specifiek richt op AMD-processors in plaats van bepaalde besturingssystemen

Onzin, lees ook deze thread @ aces.

Er wordt door Symantec helemaal geen vermelding gemaakt over AMD processoren, maar over "W64.Bounds is a virus that infects 64-bit Windows executable files"

Die gast die schrijft voor VNUnet heeft waarschijnlijk gelezen "Systems Affected: Windows 64-bit (AMD64)". AMD64? Dan moeten het wel AMD processoren zijn.

Zie ook W64.BoundsRisk Level 1: Very Low en W64.Bounds - New 64 bit EXE virus infector.

Niets geen processor specifiek virus dus.

Door d3vlin, maandag 28 augustus 2006 17:06

In dat geval zou het dus enkel gaan om een virus dat enkel een computer met 32- of 64-bit cpu kan besmetten (voor elk cpu type een apart virus)?

Door KnetterGek, maandag 28 augustus 2006 18:16

Uit het originele artikel:

But you would not use this technique if you wanted to get a pandemic. You would not use this technique unless it was for a very targeted attack or an academic attack

Er staat zelfs in het artikel dat het gewoon een hobbybob projectje is om te bewijzen dat dit kan. Het is ook helemaal niet nieuw, Chernobyl wordt er ook in genoemd, en er wordt genoemd dat dit type virus zeldzaam is omdat je er bar weinig doelen mee treffen kan. Als je het interview leest staat daar iets heel anders dan in de beschrijving van die knakker van VNUnet. Die bouwt me daar een ophef, om echt helemaal níéts.

Ik hoop dat de schrijver van het originele artikel gauw een echte baan vind ipv te schrijven voor een technisch blad want daar is ie wel voor gediskwalificeerd.

Door Quacka, maandag 28 augustus 2006 19:39

in dat geval mag VNU en Tweakers (maar dat is natuurlijk ook van VNU) zich rot schamen.
Of gaan melden dat het gesponsord wordt door Intel.

Door BikkelZ, maandag 28 augustus 2006 17:00

Errr....ben je niet sowieso de klos als je besmette .exe's gaat starten op je systeem?

Door Snake, maandag 28 augustus 2006 17:09

Virusscanner?

Door psyBSD, maandag 28 augustus 2006 22:40

Wat is een .exe?

grep '*.exe' /usr/share/mime/globs
application/x-executable:*.exe
application/x-ms-dos-executable:*.exe

Never mind, gevonden.

Door D. Kuipers, maandag 28 augustus 2006 17:07

iedere processorfamilie zijn eigen variant op opcode spreekt

'Machinetaal' lijkt me een betere term dan 'opcode', opcode is immers geen taal.

...iedere processorfamilie zijn eigen (variant van) machinecode spreekt...

Een opcode is het deel van een instructie dat beschrijft wat er gedaan moet worden, de rest van de instructie bevat doorgaans data waar iets mee gedaan moet worden (bijvoorbeeld een adres of literal). Zoals je referentie in de Wikipedia ook aangeeft.

Door eggieman, dinsdag 29 augustus 2006 02:58

Machinetaal is ook geen goede term.
Machinetaal bestaat uit opcode met 0 of meer operanden. Zo is:
10110000 01111011 machine code het betekent
MOV AL, 123 of te wel stop het getal 123 in register AL.
de opcode is 10110000 (mocht er iemand overvallen: ik vind het ook goed als je zegt day 10110 de opcode is en 000 verwijst naar register AL)

microcode zijn de stapjes die processor maakt van deze ene regel machinetaal. Voordeel van deze ministapjes zijn legio. Door kleinere stapjes kan de kloksnelheid omhoog, bijvoorbeeld. Chipbakkers die een x86 processor willen maken, zoals AMD en Intel ( en VIA ), proberen allemaal een processor te maken die met 10110000 01111011 het zelfde doet. De interne ministapjes kunnen heel anders zijn. Zo kun je
10110000 01111011 MOV AL, 123
10110100 01111011 MOV AH, 123
intern opvatten als 2 verschillende operaties met 1 operand ( 2 verschillende opcodes dus verschillende microcode) of als 1 functie met 2 operanden (dus een opcode korter dan 1 byte). Het eerste kost meer chipoppervlak, de tweede een verdere splitsing van de opcodes, dus meer druk op de prefetcher.
Intel en AMD zijn zeer voorzichtig in het naar buitenbrengen van info over de micro-ops. Een beter ontwerp van je micro-ops zorgt ervoor dat je processor harder wil lopen, zorgt ervoor dat micro-ops er op een efficientere manier gescheduled kunnen worden. En is dus een manier om je te onderscheiden van de ander.

« 1 2 »

Op dit item kan niet meer gereageerd worden.

16:42	Pluto, porno en VS voeren Wikipedia's eigen zeitgeist aan
16:06	TomTom stijgt naar tweede plek in VS

Nieuws I/O

Shortcuts

Categorieën

Gerelateerde content

Reacties

13:01 Nieuws

19:52 Productreviews

21:17 Vraag & Aanbod

25-05 Jobs

20:30 Etc.

21:16 Reacties

21:18 Forum

25-05 Gesponsorde acties

00:16 Tweakblogs

26-05 Computable headlines

25-05 CRN headlines