Nieuwe geavanceerde trojan verschijnt in het Midden-Oosten
Beveiligingsbedrijf Kaspersky Labs heeft nieuwe malware ontdekt die het gemunt heeft op computers in het Midden-Oosten. Het Trojaanse paard, dat Worm.32.Flame gedoopt is, zou geavanceerder zijn dan de Stuxnet- en Duqu-trojans.
Flame is vooral gericht op computers in het Midden-Oosten, zo schrijft Kaspersky Labs in een faq over de nieuwe trojan. Gebieden waarin de trojan momenteel actief is, zijn onder andere Iran, Israël, Palestina, Soedan, Syrië, Libanon, Saoedi-Arabië en Egypte.
De trojan lijkt volgens onderzoekers niet bedoeld om een specifiek soort computer aan te vallen, zoals bijvoorbeeld het geval was bij Stuxnet, dat het voorzien had op scada-systemen. Flame lijkt meer bedoeld voor algemene spionage. De trojan nestelt zich in een Windows-systeem via verschillende exploits en houdt daarna bij wat gebruikers doen.
Flame is van variabele grootte omdat het opgebouwd is uit verschillende modules. Die losse modules hebben specifieke functies, zoals het registreren van toetsaanslagen, het maken van schermafbeeldingen, het opnemen van audio en het onderscheppen van netwerkverkeer. Met alle modules actief neemt de malware ongeveer 20MB in beslag. Flame bestaat niet uit een enkele executable, maar verspreidt zichzelf over verschillende dll-bestanden die bij het starten van de computer ingeladen worden.
De verzamelde gegevens worden via beveiligde ssl-verbindingen naar diverse control and command-servers verstuurd. Hoeveel er hiervan operationeel zijn is nog niet bekend. Vanaf deze servers kan de trojan ook beheerd worden; het is mogelijk om de trojan van afstand te repliceren, maar ook van een systeem te verwijderen.
Flame heeft, afgezien van de exploits die het gebruikt om zich te installeren, technisch gezien weinig overeenkomsten met Stuxnet en Duqu, twee stuks malware die vorig jaar veel in het nieuws waren. De beveiligingsonderzoekers gaan er dan ook vanuit dat Flame los van Stuxnet en Duqu ontwikkeld is. Het bedrijf vermoedt dat de ontwikkeling van de trojan, vanwege zijn omvang en uitgebreide mogelijkheden, door een land gesponsord is.
Volgens Kaspersky Labs doet Flame al sinds februari 2010 de ronde. De ontwikkeling zou nog steeds doorlopen; enkele modules van Flame stammen uit 2011 en 2012.
Reacties (91)
Ben benieuwd naar wie al die screendumps + toetsaanslagen toe gaan. Is dat een beetje te traceren? Lijkt me wel interessant...
Ik gok zomaar, mocht dit te achterhalen zijn wie ze uiteindelijk onder ogen zal krijgen, dat de bom dan zal gaan barsten, mochten de vermoedens dat het gesponsord is door een land correct zijn.
Als ze het zo geavanceerd doen zullen ze zich goed indekken en zal het niet te achterhalen zijn c.q er zullen mensen tussenzitten die de schuld dragen of op zich nemen.
Dat zal wel meevallen. Dit soort diplomatieke incidenten wordt meestal in stilte opgelost.
Ik denk dat de makers van de trojan of de opdrachtgevers er wel goed voor zorgen dat dit niet te achterhalen is. Aangezien deze informatie uiteindelijk zou kunnen leiden tot grote internationale conflicten.
Die screendumps en toetsaanslagen gaan naar control and command servers. Maar dat zijn ook gehackte servers of thuis pc's. De 'eigenaar' van het botnet gaat via een anonymous proxy farm naar 1 van de control and command servers en haalt daar de gegevens op. Door die proxy farm is het traceren buitengewoon lastig.
Niet zo lastig.
Kwestie van de proxy-trace te volgen en een voor een de proxy server gegevens opvragen totdat je bij een machine uitkomt wat geen proxy is of gediend heeft als.
Tenzij de hacker de proxy server helemaal gewist heeft, dan nog kunnen er netwerk gegevens opgevraagd worden.
Zeg nooit nooit
Kwestie van de proxy-trace te volgen en een voor een de proxy server gegevens opvragen totdat je bij een machine uitkomt wat geen proxy is of gediend heeft als.
Tenzij de hacker de proxy server helemaal gewist heeft, dan nog kunnen er netwerk gegevens opgevraagd worden.
Zeg nooit nooit
Maar als je dat in genoeg landen doet met hier en daar een gehackte server tussen kan het zo lang duren om die gegevens te verzamelen dat de informatie al weg is.
Als alles via officiele kanalen loopt duurt het opvragen van zo'n informatie gewoonweg te lang. De enige manier om snel die info te pakken te krijgen is zelf die servers kraken.
Als alles via officiele kanalen loopt duurt het opvragen van zo'n informatie gewoonweg te lang. De enige manier om snel die info te pakken te krijgen is zelf die servers kraken.
als je zelf controle hebt over de machines dan wis je toch gewoon de logfiles in de pc en de router.
route dat 2 keer door Tor en je zal het waarschijnlijk de oorsprong niet meer terugvinden. (bad guy -> tor -> proxy/bounce -> tor -> C&C server)
LXC linux server --> aangepaste linux containers met eigen netwerk stack --> en dan linux proxyserver container met eigen netwerkstack en eigen precompiled kernel met een zo min mogelijk resources draaiend.
De eigen netwerk stack zijn gespoogde mac en ip adressen en de containers cloon je gewoon.
Niemand die je achterhaald. Na 3 minuten zet je alles over naar andere container en delete je de oude proxycontainer.
Zelfs Al zou de NSA gaan pingen dan zet je er een ping vertrager in.
Waarom denk je dat de breinen achter paypal enz. nog vrij rondlopen?
Ik baal ervan. De containers waren bedoeld om hetzelfde te doen als een Chrootjail maar dan veiliger en verbeterd en moest de beveiliging voor virtualisatie verbeteren.
Helaas moeten sommige mensen goede bedoelingen verkeerd gebruiken.
Je kan ook gewoon een sataliet bij de russische maffia huren maar das de duurdere varriant.
De eigen netwerk stack zijn gespoogde mac en ip adressen en de containers cloon je gewoon.
Niemand die je achterhaald. Na 3 minuten zet je alles over naar andere container en delete je de oude proxycontainer.
Zelfs Al zou de NSA gaan pingen dan zet je er een ping vertrager in.
Waarom denk je dat de breinen achter paypal enz. nog vrij rondlopen?
Ik baal ervan. De containers waren bedoeld om hetzelfde te doen als een Chrootjail maar dan veiliger en verbeterd en moest de beveiliging voor virtualisatie verbeteren.
Helaas moeten sommige mensen goede bedoelingen verkeerd gebruiken.
Je kan ook gewoon een sataliet bij de russische maffia huren maar das de duurdere varriant.
Simpelste methode om dit tegen te gaan is gewoon de info door te proxy'en en ondertussen via een mitm of een directe tap op de proxy uit te lezen.
Het eindstation zegt al een hele tijd niets meer over waar de resultaten benut worden.
Het eindstation zegt al een hele tijd niets meer over waar de resultaten benut worden.
Misschien via Wireshark?
Hmm gevaarlijke zaak mocht dit door een land gesponsord worden.
gevaarlijk? Welnee. In de jaren 80 was dit ook al schering en inslag, alleen ging het dan niet om computers. Soms werd er iemand van de CIA gesnapt, soms iemand van de KGB, in de meeste gevallen werden ze in een ruil-handel met elkaars gesnapte intelligence officers het land uit gezet.Hmm gevaarlijke zaak mocht dit door een land gesponsord worden.
Als er oorlog was begonnen om ieder akkefietje, dan hadden ze de planeet al tot de kern aan toe weggenuked in die tijd.
Destijds waren het alleen 'de diensten' onderling die mekaar aan het bespioneren waren. Nu zijn het argeloze burgers die hun hele hebben en houden qua privacy geschonden zien worden op een schaal waar zelf de vroegere Stasi van achterover zou slaan. Het doel is duidelijk: het vergaren van intelligence op politiek en economisch gebied (met deze intelligence is de Amerikaanse (oorlogs)industrie immers groot geworden). De vraag rijst alleen wat er met de overige gegevens gebeurt, die van gewone mensen die niks belangrijks op hun machine hebben staan, maar wel persoonlijke e-mails en/of foto's. Wordt die data alsnog gebundeld en verwerkt? Worden deze mensen 'ineens' om onduidelijke redenen geweigerd bij de grens van land x?
Het lijkt er niet op, maar in dit geval zou een criminele bende als eigenaar nog de beste uitkomst zijn mbt de gevolgschade voor de geïnfecteerden.
Het lijkt er niet op, maar in dit geval zou een criminele bende als eigenaar nog de beste uitkomst zijn mbt de gevolgschade voor de geïnfecteerden.
Ik geef toe dat het spioneren van burgers met deze methode mogelijk is en dat is natuurlijk erg vervelend, maar in de tijd van de stasi waren het zeker niet alleen de diensten onderling: burgers werden aangemoedigd vrienden en familie te verlinken en iedereen in je omgeving was een potentiele spion. Dan geef ik toch de voorkeur aan de digitale vorm van spionage...
Ga eens wat googlen naar de frase "If you see something, say something", de grootscheepse campagne van het Amerikaanse Homeland Security die burgers oproept om "suspicious behavior" van z'n medemens te signaleren. In Wal-Mart-winkels hangen nu al grote schermen waarop "Big Sis" voortdurend oproept om verdachte zaken en personen te melden. In de UK is het precies hetzelfde, daar wordt zelfs gevraagd om iemand te melden die volgens jou te veel "bling bling" heeft (woord uit hun campagne) terwijl je weet dat die eigenlijk van een uitkering leeft. De burger wordt nu meer dan vroeger opgeroepen om z'n buren te verklikken. Neem daar nog bij dat het principe "Innocent until proven guilty" niet meer van toepassing is in Amerika, maar er juist omgedraaid wordt. De overheid heeft zich nu het recht toegeëigend om wie dan ook op te pakken en voor onbepaalde tijd vast te houden zonder proces of zonder uitleg. Wees er maar zeker van dat het allemaal nog naar hier zal overwaaien.Ik geef toe dat het spioneren van burgers met deze methode mogelijk is en dat is natuurlijk erg vervelend, maar in de tijd van de stasi waren het zeker niet alleen de diensten onderling: burgers werden aangemoedigd vrienden en familie te verlinken en iedereen in je omgeving was een potentiele spion. Dan geef ik toch de voorkeur aan de digitale vorm van spionage...
Ik vind het bizar dat iemand een voorkeur aangeeft welke vorm van privacy schending acceptabel is.
Appels en peren..
Met de technieken van nu kan je een heel land bespioneren zonder ook maar een voet aan grond te zetten.
Met de technieken van nu kan je een heel land bespioneren zonder ook maar een voet aan grond te zetten.
Misschien komt het wel van de Griekse overheid af, die hebben immers geld nodig en zij gebruikten het Trojaanse paard 2500 jaar geleden ook al tegen het Midden-Oosten, hetgeen erg effectief bleek. Dus zij zijn echte experts op dit gebied.
[Reactie gewijzigd door kutsjoerd op dinsdag 29 mei 2012 10:11]
Alsof ze geld hebben voor de ontwikkeling
Hoewel het natuurlijk koffiedik kijken is, zou ik wel eens willen weten welke landen hier achter zitten. Gezien het doelgebied en gezien de huidige geopolitieke situatie moet dit bijna wel een Westers land zijn, hoewel China ook zijn belangen heeft. Als Flame nóg geavanceerder is dan Stuxnet en Duqu (die beide erg goed in elkaar zaten; decompilen is tot op heden niet gelukt omdat er blijkbaar een custom builder is gebruikt) dan moet daar een heel team mee bezig zijn geweest. Bij Stuxnet dachten ze aan ongeveer 30 man, hier wellicht nog meer?
Wat diepere info over deze nieuwe spionage telg.
Edit: Wat ik me verder afvraag is hoe deze malware binnen het doelgebied is gebleven? Waarschijnlijk heeft de anti-virus industrie in die gebieden veel minder (of geen) honeypots staan waardoor deze malware onopgemerkt bleef. Daarnaast is ook onduidelijk of deze programmeurs in overheidsdienst waren of als freelancers zijn ingehuurd. In dat laatste geval is het niet ondenkbaar dat er eventuele kennis van anti-virus pakketten is gebruikt om de malware onzichtbaar te maken (whitelisten van eigen sys files). En al helemaal frappant is dat er blijkbaar screendumps worden verstuurd en dat niemand dit bij het netwerkverkeer heeft onderschept, terwijl de uploadsnelheden en de dataomvang van screendumps toch niet gering is. Er wordt veel niet ontdekt door onoplettendheid (paranoïde zijn loont zo op zijn tijd).
Wat diepere info over deze nieuwe spionage telg.
Edit: Wat ik me verder afvraag is hoe deze malware binnen het doelgebied is gebleven? Waarschijnlijk heeft de anti-virus industrie in die gebieden veel minder (of geen) honeypots staan waardoor deze malware onopgemerkt bleef. Daarnaast is ook onduidelijk of deze programmeurs in overheidsdienst waren of als freelancers zijn ingehuurd. In dat laatste geval is het niet ondenkbaar dat er eventuele kennis van anti-virus pakketten is gebruikt om de malware onzichtbaar te maken (whitelisten van eigen sys files). En al helemaal frappant is dat er blijkbaar screendumps worden verstuurd en dat niemand dit bij het netwerkverkeer heeft onderschept, terwijl de uploadsnelheden en de dataomvang van screendumps toch niet gering is. Er wordt veel niet ontdekt door onoplettendheid (paranoïde zijn loont zo op zijn tijd).
[Reactie gewijzigd door Rick2910 op dinsdag 29 mei 2012 08:40]
Niet noodzakelijk een westers land. Ook Israel zie ik tot zoiets in staat. En dat van die custom compiler was ook niet waar.
edit: Malware die zich via internet verspreid is zeer eenvoudig binnen een doelgebied te houden. IPs zijn landgebonden, gewoon nagaan waar in de wereld een IP zich bevind. En screendumps moeten helemaal niet opvallen in netwerkverkeer. Een screenshot kun je zeer goed compressen, en in dit geval mogen er artifacts opzitten, zolang het maar leesbaar blijft. En wie gaat ssl verkeer verdacht vinden, hell als het allemaal zo eenvoudig was, dan had ik nooit jarenlang kunnen surfen op het werk, dan was mijn tunneltje al lang ontdekt geweest.The firm thus concludes that the resulting binary was compiled with MSVC 2008, with options /O1 /Ob1, and that the input source code was pure C.
[Reactie gewijzigd door Blokker_1999 op dinsdag 29 mei 2012 08:48]
Dat klopt, maar waar de payload dll in is geschreven is nog steeds niet duidelijk: bron. Mocht jouw bron recenter zijn dan zie ik graag een link.
Edit: één SSL tunnel binnen één bedrijf is wat anders dan duizenden tot tienduizenden geïnfecteerde machines met elk een ander security policy, andere security software en gebruikers met verschillende kennis-niveaus.
Edit: één SSL tunnel binnen één bedrijf is wat anders dan duizenden tot tienduizenden geïnfecteerde machines met elk een ander security policy, andere security software en gebruikers met verschillende kennis-niveaus.
[Reactie gewijzigd door Rick2910 op dinsdag 29 mei 2012 08:52]
Israel wordt als westers land gezien.Niet noodzakelijk een westers land. Ook Israel zie ik tot zoiets in staat.
Dat ligt dan wel geheel aan je definitie van Westers land. Het Westen kan namelijk slaan op de NAVO-landen (geen Israël, maar wel Turkije), de Westerse beschaving (rekbaar begrip en nog meer landen), landen ten westen van Azië of de rijke landen in de wereld (dit zou dus ook een oliestaat kunnen zijn, China, Japan, Rusland, etc.) of de interpretatie van de overheid (mbt allochtonen). Persoonlijk moeten we vooral niet gaan suggereren dat hier bepaalde landen achter zitten zonder dat daar enig bewijs voor is. Tot op heden heb ik ook nog nooit een bewijs gezien voor Stux of Duqu dat een land of meerdere landen aan wijst. Onschuldig tot het tegendeel bewezen...en laten we dat zo houden, want in deze wereld gaan al veel te snel de beschuldigende vingertjes naar bepaalde groepen of landen zonder enige vorm van bewijs.
[Reactie gewijzigd door DutchBreeze op dinsdag 29 mei 2012 10:31]
Probleem is alleen dat Israel zelf ook slachtoffer is, zoals duidelijk vermeld staat in de tweede alinea...
Het is echt verbazingwekkend hoe makkelijk mensen over de inhoud van een bericht heenlezen als ze bij het lezen van de titel al denken te weten wie het heeft gedaan.
Het is echt verbazingwekkend hoe makkelijk mensen over de inhoud van een bericht heenlezen als ze bij het lezen van de titel al denken te weten wie het heeft gedaan.
En waarom zou het dan niet Israel kunnen zijn? Als je dan toch je buren bespied kan je evengoed ineens je onderdanen ook in het oog houden.
Daarmee wil ik niet de vinger naar Israel wijzen maar de VS bespieden toch ook hun eigen onderdanen terwijl ze die van andere landen bespieden?
Daarmee wil ik niet de vinger naar Israel wijzen maar de VS bespieden toch ook hun eigen onderdanen terwijl ze die van andere landen bespieden?
Ja, maar dan is het net zo waarschijnlijk (of zelfs meer omdat zij hun bevolking meer in de gaten houden) dat het een van die andere MO-landen is, dus slaat het nergens op meteen maar Israel te beschuldigen.
Volgens het artikel van Kaspersky:Edit: Wat ik me verder afvraag is hoe deze malware binnen het doelgebied is gebleven?
The controllers have the ability to send a specific malware removal module (named “browse32”), which completely uninstalls the malware from a system, removing every single trace of its presence.
en
they infect several dozen, then conduct analysis of the data of the victim, uninstall Flame from the systems that aren’t interesting, leaving the most important ones in place. After which they start a new series of infections.
Ik veronderstel dat ze de machines die geïnfecteerd waren analyseerde en de worm terug verwijderd hebben indien niet interessant. Ze verwijderde het simpel weg op computers buiten Iran.
[Reactie gewijzigd door Suspicion op dinsdag 29 mei 2012 08:48]
Ik las op nu.nl dat het virus 20 GB groot is! 
achterlijke nu.nl. Het virus is 20MB groot. Ik ga nooit meer naar die prut nu.nl site.
bron: http://www.wired.com/threatlevel/2012/05/flame/
achterlijke nu.nl. Het virus is 20MB groot. Ik ga nooit meer naar die prut nu.nl site.
bron: http://www.wired.com/threatlevel/2012/05/flame/
[Reactie gewijzigd door Menesis op dinsdag 29 mei 2012 11:26]
"Hoewel het natuurlijk koffiedik kijken is, zou ik wel eens willen weten welke landen hier achter zitten. "
Ben het er niet mee eens dat alleen landen of regeringen zoiets kunnen fabriceren.
Volgens mij kom je met een paar afgestudeerde informatici of wiskundigen ook een heel eind.
Genoeg mensen die op compilerbouw zijn afgestudeert.
En speculeren dat de programeurs dit ergens voor loon zouden hebben gemaakt is ook maar speculeren.
En een goed leesbare screenshot van mijn desktop met dit tweakersbericht open is kleiner dan 200k en dan is dat geen optimaal algoritme voor text (jpeg).
De dataomvang van screenshots valt dus wel mee en als je niet weet hoe de data gecodeert is kan je zoeken naar een speld in een hooiberg ter grootte van de stille oceaan.
Ben het er niet mee eens dat alleen landen of regeringen zoiets kunnen fabriceren.
Volgens mij kom je met een paar afgestudeerde informatici of wiskundigen ook een heel eind.
Genoeg mensen die op compilerbouw zijn afgestudeert.
En speculeren dat de programeurs dit ergens voor loon zouden hebben gemaakt is ook maar speculeren.
En een goed leesbare screenshot van mijn desktop met dit tweakersbericht open is kleiner dan 200k en dan is dat geen optimaal algoritme voor text (jpeg).
De dataomvang van screenshots valt dus wel mee en als je niet weet hoe de data gecodeert is kan je zoeken naar een speld in een hooiberg ter grootte van de stille oceaan.
We praten hier wel over landen waar 512/64 kbps gewoon is, dus dan merk je een upload van 200k wel (=~ 8 sec full speed upload). De Iraniers hebben de malware ook zelf ontdekt (props voor hen) echter verbaas ik me erover dat het zo lang door niemand is opgemerkt (wellicht lage IT/security kennis aan die kant van de wereld?).
Ik heb ook meer dan genoeg kennis om een hele goede dief te worden, echter heb ik er geen reden toe. Dat is het verschil; bij die informatici die jij noemt mis ik het motief. Immers, wie zou er willen betalen voor die gegevens? In mijn ogen alleen de overheid/-heden die al eerder zijn aangehaald. Een gewone burger of crimineel kan bar weinig met deze info, zeker als er zoveel werk in is gaan zitten als door Kaspersky gesteld.Volgens mij kom je met een paar afgestudeerde informatici of wiskundigen ook een heel eind.
Genoeg mensen die op compilerbouw zijn afgestudeert.
[Reactie gewijzigd door Rick2910 op dinsdag 29 mei 2012 12:18]
Een groot bedrijf zou ook willen betalen voor zulke informatie, of een grote internationale criminele organisatie.
Ik weet niet of het versturen van screendumps zo veel uitmaakt in hoe verdacht het is. Dit is 2012, tegenwoordig gaat uploaden en downloaden met flinke hoeveelheden data. Ik vraag me af of die screendumps nog wel enigszins verdacht kunnen zijn, zelfs als je inderdaad zo paranoide bent. In de 56k tijd zou het een ander verhaal zijn geweest, maar goed, dan zou je het alleen al van je telefoonrekening kunnen deduceren. We zitten nu in een tijd waar het wereldinternetverkeer waarschijnlijk al flink in de petabytes loopt. En misschien nog wel hoger.
Professor Alan Woordward (Departement Informatica van de Universiteit van Surrey): Dit werd niet geschreven door een of andere puistige tiener in zijn of haar slaapkamer
voor zo'n uitspraak hoef je geen professor te zijn. Ik vind het zelfs een wel erg onzinnige uitspraak van een professor. Bijna hetzelfde als zeggen dat sneeuw wit is (unless..)
[Reactie gewijzigd door Menesis op dinsdag 29 mei 2012 18:05]
Volgens mij liggen Soedan en Egypte nou niet echt in het Midden-Oosten... /off-topic
Toch wel hoor, Egypte zeker.
Afhankelijk van de bron worden hier ook nog een of meerdere van onderstaande landen bij gerekend:
Afghanistan
Libië
Soedan
Turkije
Zie Wikipedia:
http://nl.wikipedia.org/wiki/Midden-Oosten#Landen
Afhankelijk van de bron worden hier ook nog een of meerdere van onderstaande landen bij gerekend:
Afghanistan
Libië
Soedan
Turkije
Zie Wikipedia:
http://nl.wikipedia.org/wiki/Midden-Oosten#Landen
Dit soort oorlogsvoering gaat wel de toekomst worden. Als je ziet hoe afhankelijk landen/mensen zijn van computers, is het een logistische stap in oorlogsvoering/terrorisme om je daarop te richten. Nog een paar maanden geleden was op het nieuws dat verschillende pompinstallaties via het internet bediend konden worden. Het was mogelijk om sommige meren of polders leeg of vol te laten lopen.
Laat defensie zich hier maar op richten, en die tanks etc lekker verkopen.
Laat defensie zich hier maar op richten, en die tanks etc lekker verkopen.
Verbaas me toch iedere keer weer over artikelen als deze. Worm.32.Flame, Stuxnet en Duqu lijken mij vrij geavanceerd te zijn en ook doelgericht op bepaalde regio's losgelaten te worden. Het lijk mij ook dat hier een land achter zit en denk dan toch echt in eerste instantie aan de USA. En China zou een goede 2e zijn.
(offtopic) Ik was het! 
(ontopic) Tis wel ernstig toch, dat zoiets pas na 2 jaar gevonden word? Of dat in ieder geval de ontdekking naar buiten gebracht word?
Eigenlijk zou M$ in zijn OS al moeten beginnen met een controle op opstart bestanden. Als deze verschillen moet de gebruiker een keuze kunnen maken of de nieuw toegevoegde bestanden gebruikt moeten worden bij het opstarten... zoiets....
(ontopic) Tis wel ernstig toch, dat zoiets pas na 2 jaar gevonden word? Of dat in ieder geval de ontdekking naar buiten gebracht word?
Eigenlijk zou M$ in zijn OS al moeten beginnen met een controle op opstart bestanden. Als deze verschillen moet de gebruiker een keuze kunnen maken of de nieuw toegevoegde bestanden gebruikt moeten worden bij het opstarten... zoiets....
MSFT doet dat als jij dat wil: sfc is je gereedschap.
Zoals wel vaker is de gebruiker hier de zwakste schakel, ofwel vanuit onwetendheid danwel gemakzucht.
Zoals wel vaker is de gebruiker hier de zwakste schakel, ofwel vanuit onwetendheid danwel gemakzucht.
Are you sure you want to load 38DG-3483-2434.dll? Nee dat gaat werken 
Ontopic:
Waarom wordt er gesuggereerd dat een land hierachter moet zitten? Zo complex zijn zaken als ssl verbinding, keyloggers, botnet achtige constructies nou ook weer niet. De gebruikte exploits kunnen ze vervolgens ook uit het stuxnet virus gehaald hebben.
Het zou best een clubje hackers kunnen zijn die hun krachten gebundeld hebben. Vaak kan je namelijk kant en klare zaken als keyloggers e.d. gewoon downloaden en knoop je het geheel aan elkaar in modules. Tenslotte lees ik nergens in het bericht dat er een module in zit die zich er op richt om specifieke computers in bepaalde werelddelen te besmetten.
Ontopic:
Waarom wordt er gesuggereerd dat een land hierachter moet zitten? Zo complex zijn zaken als ssl verbinding, keyloggers, botnet achtige constructies nou ook weer niet. De gebruikte exploits kunnen ze vervolgens ook uit het stuxnet virus gehaald hebben.
Het zou best een clubje hackers kunnen zijn die hun krachten gebundeld hebben. Vaak kan je namelijk kant en klare zaken als keyloggers e.d. gewoon downloaden en knoop je het geheel aan elkaar in modules. Tenslotte lees ik nergens in het bericht dat er een module in zit die zich er op richt om specifieke computers in bepaalde werelddelen te besmetten.
Maar een clubje hackers zou niet specifiek op een bepaald werelddeel richten, vooral niet omdat ze het leuk vinden. Als ze zoveel moeite doen (c&c servers etc.), dan verwachten ze meestal wel iets terug. En ik denk niet dat ze daar iets kunnen vinden dat ze meteen door kunnen verkopen voor de hoogste bidder.
Een clubje hackers gaat liever actief bezig zijn in de VS en Europa, omdat ze hier veel meer dingen terug voor kunnen krijgen (creditcardnummers, paypal-accounts, etc.), en dat voor minder moeite.
Nee, ik denk niet dat er een zelfstandig clubje hackers achter deze virussen zit.
Een clubje hackers gaat liever actief bezig zijn in de VS en Europa, omdat ze hier veel meer dingen terug voor kunnen krijgen (creditcardnummers, paypal-accounts, etc.), en dat voor minder moeite.
Nee, ik denk niet dat er een zelfstandig clubje hackers achter deze virussen zit.
Toch knap dat jij de oplossing hebt gevonden. Even mailtje sturen naar Kaspersky en ze schrijven je een mooie cheque uit.
Wel even opletten dat de geheime dienst je niet uitschakelt indien je de bron ook nog eens ontdekt...
Volgens berichtgevingen zou het nog zeker 6 maanden duren eer ze het stukje software doorgrond hebben.
Wel even opletten dat de geheime dienst je niet uitschakelt indien je de bron ook nog eens ontdekt...
Volgens berichtgevingen zou het nog zeker 6 maanden duren eer ze het stukje software doorgrond hebben.
Msconfig?
Vergelijken waarmee? Met een hash? Die kan een virusbouwer ook opnieuw aanmaken / overschrijven...Eigenlijk zou M$ in zijn OS al moeten beginnen met een controle op opstart bestanden. Als deze verschillen moet de gebruiker een keuze kunnen maken of de nieuw toegevoegde bestanden gebruikt moeten worden bij het opstarten... zoiets....
Het probleem is niet MS, maar de mensen zelf. Vele mensen draaien illegale versies of een veroudere windows die niet geupdated worden waardoor alles vol met gaten zit.
Omg omg omg een worm die al sinds 2010 in ontwikkeling rond gaat.. Waarom doet MS niks:0 huilhuil
Misschien wordt het een keer duidelijk dat we met z'n alle minstens 20 stappen achterlopen op dit soort Trojaanse paarden.. En dat MS, Apple nog de ontwikkelaars rond Linux/unix er iets tegen kunnen doen.
Dus, remedie; gewoon nadenken wat je met je computer doet.. En nee, je hebt die auto toch niet gewonnen, en je bent ook niet de 1000.000e bezoeker.
Misschien wordt het een keer duidelijk dat we met z'n alle minstens 20 stappen achterlopen op dit soort Trojaanse paarden.. En dat MS, Apple nog de ontwikkelaars rond Linux/unix er iets tegen kunnen doen.
Dus, remedie; gewoon nadenken wat je met je computer doet.. En nee, je hebt die auto toch niet gewonnen, en je bent ook niet de 1000.000e bezoeker.
En die porno is ook niet helemaal gratis...
Dat kunnen ze wel, maar dan moeten ze wel weten waar de exploits zich bevinden. En aangezien 'de diensten' veel beter betalen dan a) de software vendors zelf en b) de criminele bendes, kunnen deze trojans/wormen/rootkits zich zo lang onopgemerkt verspreiden. Wellicht moeten de security vendors zich meer richten op zaken als het preventief onderzoeken van verdachte bestanden die ze aantreffen op systemen?Misschien wordt het een keer duidelijk dat we met z'n alle minstens 20 stappen achterlopen op dit soort Trojaanse paarden.. En dat MS, Apple nog de ontwikkelaars rond Linux/unix er iets tegen kunnen doen.
Bedrijven kunnen er prima iets tegendoen. Het probleem is dat veel mensen hun OS'en niet updaten (door piraterij of verouderde versies). En dat is het grootste probleem.
Dit is ook een reden waarom MS actief op jacht is naar de personen die achter bepaalde malware, virussen, etc zitten. Het probleem ligt bij de bron.
Dit is ook een reden waarom MS actief op jacht is naar de personen die achter bepaalde malware, virussen, etc zitten. Het probleem ligt bij de bron.
Bewijst nog eens het nu van virusscanners. Die vreten 20% van je recourses, en bieden alleen een psychologische bescherming en bescherming tegen zaken die al verouderd zijn.
Klopt, dat lees ik ook terug in dit interview met een (self-proclaimed) botnet-beheerder. Hij geeft aan dat hij is geschrokken van de slechte kwaliteit van de virusscanners vandaag de dag, zeker omdat je elk stukje malware opnieuw kunt packagen zodat je een andere footprint-hash krijgt. Zaken als heuristics mbt gedrag van de code blijken in de praktijk vrijwel niet te werken.
Die "beheerder" is een Duitser
Lijkt me toch wel praktisch dat je computer op zijn minst beveiligd is tegen virussen van 5 jaar oud? Maar goed, wat betreft nieuwe malware is het inderdaad een wassen neus.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Samsung Websites en communities Mobiele telefoons Google Sony Games Microsoft Politiek en recht Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
