Provincies en universiteiten besmet met nieuw virus - update 2 - Computer - Nieuws

Steeds meer overheidsinstellingen kampen met het nieuwe virus dat deze week is opgedoken. De provincies Noord-Holland en Noord-Brabant en twee universiteiten zijn getroffen. Of de Rijksoverheid is getroffen, is onbekend.

De provincies Noord-Holland en Noord-Brabant zijn de enige twee provincies die bekend hebben gemaakt met het nieuwe virus te zijn besmet. De provincie Brabant schrijft dat het 'interne computernetwerk van de provincie Noord-Brabant' te maken heeft met een virus. "Om verdere verspreiding te voorkomen is het netwerk van de provincie afgesloten", schrijft de provincie.

Ook is de provincie niet via e-mail bereikbaar. Hetzelfde geldt voor de provincie Noord-Holland, al is niet duidelijk of ook die provincie zijn netwerk heeft afgesloten. Een woordvoerder van de provincie kon geen antwoord geven op die vraag. Ook de universiteiten van Utrecht en Amsterdam zijn getroffen door het virus.

In beide gevallen gaat het om het XDocCrypt/Dorifel-virus, waar eerder op donderdag al de nodige ophef over ontstond. Het virus is opgedoken bij een groot aantal Nederlandse instellingen, waaronder ook diverse gemeentes, zoals Tilburg, Almere, Venlo en Den Bosch. Het virus lijkt vooral in Nederland schade aan te richten.

Het virus versleutelt Word- en Excel-documenten en verandert de extensie van de documenten naar '.scr', de Windows-extensie voor screensavers. XDocCrypt/Dorifel - er bestaat nog geen eensluidende naamgeving voor het virus - verspreidt zich via bestaande infecties: alle netwerken van de getroffen instellingen waren al onder de controle van een botnet. Aanvankelijk werd gedacht dat het om het virus Sasfis ging.

Het is onduidelijk welke overheidsinstellingen nog meer getroffen zijn. Woordvoerster Mary-Jo van de Velde van het NCSC zegt tegenover Tweakers.net daarover geen uitspraken te mogen doen. Daarnaast is op dit moment nog niet duidelijk waar het virus vandaan komt, maar volgens Van de Velde lijkt het er op dat het om een aanval uit de criminele hoek gaat.

Overigens is het ongedaan maken van de versleuteling redelijk simpel, aangezien het virus telkens dezelfde sleutel gebruikt. Surfright heeft een tool uitgebracht waarmee schade aan documenten wordt hersteld. Fox-IT raadt systeembeheerders aan om de ip-adressen 184.82.162.163 en 184.22.103.202 te blokkeren, om te voorkomen dat de malware wordt binnengehaald.

Update, 17:28: Ook elektricteitsnetbeheerder Westland Infra zou getroffen zijn.

Update, 18:30: Enkele systemen van het RIVM zijn besmet met de malware. De instantie zegt het probleem onder controle te hebben.

Reacties (128)

Kalua 9 augustus 2012 17:15

erspreidt zich via bestaande infecties: alle netwerken van de getroffen instellingen waren al onder de controle van een botnet.

Dat is erger dan de besmetting met dit virus. Laat meteen zien dat ook de overheids netwerken zo lek als een mandje zijn. En waarom is het niet opgevallen als er blijkbaar zoveel computers al onder controle zijn.

[Reactie gewijzigd door Kalua op 23 juli 2024 15:01]

kjast @Kalua • 9 augustus 2012 17:53

Dan mag je van geluk bij een ongeluk spreken dat door dit virus het botnet ook is herkend. Blijkbaar een geavanceerd exemplaar aangezien het tot op heden onopgemerkt is gebleven.

Fox-IT: what you should really worry about, is that there apparently was/is a trojan (ZeuS/Citadel) on your network that was doing active C&C communications and has been leaking all kinds of information from your organization for days, weeks or perhaps even months.

Dat is gewoon ronduit eng. Op een gemeentenetwerk barst het van de vertrouwelijke persoonlijke informatie. Ik mag hopen dat bijvoorbeeld de aanvragen van paspoorten via een apart systeem gaan. Zo nee dan kan jouw vingerafdruk + overige data al in criminele handen zijn!

Billiebier @kjast • 9 augustus 2012 18:16

Dus zijn alle computers nog steeds besmet met Citadel na alle ophef van vandaag?

Anoniem: 421923 @Billiebier • 9 augustus 2012 18:19

alle bedrijven die getroffen zijn doen er goed aan om gewoon al hun pc's te formatteren en opnieuw uit te rollen. Dan is in elk geval het pc'tje weer 'schoon'.
Kunnen ze zich daarna gaan richten aan structurele maatregelen om een nieuwe besmetting moeilijker te maken.

R4gnax

Privacy

@dasiro • 9 augustus 2012 20:10

wat voor een kortzichtige onwetende reactie is dat nu weer, en erger nog: wie geeft hier +1 aan ?

We hebben het hier over overheidsinstellingen waarbij mogelijk maanden een achterdeur opengestaan heeft en er ik-weet-niet-wat aan troep op de systemen terechtgekomen kan zijn, inclusief ongedetecteerde rootkits.

De snelste oplossing om dit veilig af te handelen is inderdaad een complete offline herinstallatie van alle systemen op een intern netwerk voordat dit netwerk weer online gebracht wordt.

Je kunt het niet zeker weten en bij dit soort privacy-gevoelige systemen kun je het risico niet lopen dat er nog steeds één of meerdere ongedetecteerde achterdeuren over blijven.

[Reactie gewijzigd door R4gnax op 23 juli 2024 00:59]

Red hot @kjast • 9 augustus 2012 18:54

Inderdaad! Ik ben erg benieuwd hoe dit zit...

Anoniem: 421923 @Kalua • 9 augustus 2012 18:16

genoeg organisaties (waaronder overheid) die denken dat ze er qua beveiliging wel zijn als ze een virusscanner hebben geinstalleerd. Een goede beveiliging bestaat namelijk uit meer onderdelen. Firewall, spamfilter, virusscanner, gebruikersrestricties.

Een aantal virusscanners herkennen het gedrag van deze trojan al sinds 2008. Maar dan moet je wel een scanner hebben die gebruik maakt van behavior/patterns en de hele mikmak in plaats van maar een of twee onderdelen.

Daarnaast zijn er (te)veel bedrijven waarvan de gebruikers lokale admin zijn of in elk geval veel meer kunnen dan je zou willen (installatierechten) dus trojans kunnen zich helemaal te buiten gaan op die computers.
Netwerkschijven waar iedereen overal toegang toe heeft, in plaats van beperkte toegang alleen tot de mappen waar je wat mee moet doen. (vertraging van de verspreiding)

En ja, een botnet kenmerkt zich aan het onopgemerkt blijven. Als je scanner het niet oppikt om wat voor reden dan ook, dan zie je m gewoon niet. Totdat er instructies worden gegeven aan je pc'tje die een flinke impact hebben, en dan gaan er alarmbellen rinkelen ja.

Het toont in elk geval aan dat er teveel bedrijven zijn die gewoonweg hun beveiliging niet goed op orde hebben.
Bedrijf waar ik werk heeft er geen last van. Vorig jaar nog alle pc's opnieuw geinstalleerd voor nieuwe versie van Office, dus pc's die al onderdeel geweest zouden kunnen zijn van een botnet zijn daar uitgeknikkerd vanwege de volledige herinstallatie. Daarnaast kan een virus ook amper wat en onze virusscanner kent dit behavior al een paar jaar. Gebruikers hebben verder geen installatierechten op de lokale machines. Een goeie firewall en ander spul van verschillende merken.
Nergens last van.

kw_nl

@Anoniem: 421923 • 9 augustus 2012 19:26

Ik lees nergens waarom jij niet getroffen had kunnen worden... Bij al onze klanten was de AV op orde. Firewall aanwezig. Gebruikers hebben zeker geen local admin rechten. Dit virus glipt er tussen door. Het maakt gebruik van je NTFS rechten op de shares. Ook is het niet afhankelijk van de Office versie. Dus dat verhaal gaat ook niet op. En hoe kan jou virusscanner dit gedrag herkennen?

Anoniem: 421923 @kw_nl • 9 augustus 2012 19:58

we hebben praktisch al onze machines vorig jaar opnieuw geinstalleerd, Dus eventuele sporen van een botnet waren sowieso weg.
En hoe kan de virusscanner het gedrag herkennen? Omdat dit virus zich gedraagt zoals een aantal anderen, en de scanner ook kijkt naar 'behaviour' wat lijkt op wat al bekend is.

Firewall aanwezig. En hoe istie ingesteld?

Zoals gezegd: sommige virusscanners lijken het toch echt niet opgepikt te hebben. Die van ons ook niet, kan natuurlijk een slecht teken zijn, maar onze bestandsnamen zijn niet gewijzigd (daar heb je overigens geen local admin rights voor nodig).

Daarnaast scheelt het ongetwijfeld ook enorm dat bij ons veel medewerkers op vakantie zijn (risico infecties daalt omdat er minder mensen zijn die de hele dag bijlagen zitten te openen) en misschien minder contact hebben met de tot nu toe getroffen instanties.

bangkirai @Anoniem: 421923 • 9 augustus 2012 22:17

opnieuw geinstalleerd=alle schijven compleet zwaar hergeformateerd, daarna evt weer nieuwe partities opbouwen, zodat er geen enkele hidden partitie overgebleven is?

Anders kun je nog steeds besmet wezen, je wilt niet weten, hoeveel malware/rootkits hidden partities aanmaken.
Sommige mensen denken, ff simpel formateren en daarna weer installeren=klaar en schoon, maar helaas zo werkt het tegenwoordig niet meer.
Veel rootkitdetectors zoals gmer ontdekken de rootkitbesmettingen wel, veel virusscanners niet.

Anoniem: 63628 @kw_nl • 9 augustus 2012 19:53

In tegenstelling tot de troep die in Weert rondhangt (beheerdersfout), is dit een virusje waarbij je als beheerder relatief machteloos staat omdat het gebruik maakt van een aantal heel vervelende vulnerabilities die lastig af te vangen zijn.

Neemt weer niet weg dat het heel typisch gemeenten en universiteiten/scholen zijn die getroffen zijn. Zijn toch de twee groepen met de zwakste IT afdeling en het zwakste IT personeel. In bijna alle gevallen veroorzaakt door het management overigens. Ik heb lange tijd in die hoek gewerkt (scholen+gemeenten, etc.) en wat je daar vaak ziet, het is een wonder dat die boel überhaupt nog werkt.

mOTiVe @Anoniem: 63628 • 9 augustus 2012 21:16

Het zijn de scholen en gemeenten die dit openbaar maken. Het duurt niet heel lang meer voordat dit openbaar maken ook verplicht wordt.

De grote bedrijven die de sterkste IT afdeling en beste IT personeel (of in ieder geval het duurste?) rond hebben lopen hebben ook last van grootste probleem: er loopt altijd wel sukkel van een gebruiker rond die op zo'n scr-bestandje klikt!

Ook zijn ze niet zo happig op het naar buiten brengen van dit nieuws.. terwijl je juist snelle communicatie nodig hebt om dit probleem zo snel mogelijk op te lossen!

Sando @mOTiVe • 10 augustus 2012 01:00

Het zijn de scholen en gemeenten die dit openbaar maken.

Vermoedelijk ook alleen maar omdat je opeens honderden nieuwe rijbewijzen moet weigeren en duizenden scholieren niet meer op het netwerk kunnen komen.. dat 'openbaar maken' is echt geen barmhartige service, ze kunnen niet anders.

[Reactie gewijzigd door Sando op 22 juli 2024 19:07]

wildhagen

Malware
Beveiliging
Privacy

9 augustus 2012 17:23

Wat ik frappant vind is dat de command&control servers (die IP-adressen dus) nog niet onbereikbaar gemaakt zijn. Deze adressen zijn nu al (minimaal) enkele uren oud, met het blokkeren ervan zou je toch al veel ellende kunnen voorkomen.

Uiteraard kan je per bedrijf je firewall op blokkeren zetten voor die IP's, maar handiger lijkt me als de hoster/ISP die achter het IP zit de zaak gewoon dichtzet.

Is er een reden dat dit nog niet gedaan is?

Arcticwolfx @wildhagen • 9 augustus 2012 17:38

Dat is toch censuur?

Alexxxxxxxxxx @Arcticwolfx • 9 augustus 2012 17:46

Wat mis je dan? Malware?

Robbels @Alexxxxxxxxxx • 9 augustus 2012 18:03

Arcticwolfx heeft gelijk het is een vorm van Censuur, hiervoor zal eerst een schriftelijk bevel van officier van justitie moeten komen lijkt mij.
Waar is trouwens het net opgerichte Nederlandse cyberteam gebleven? horen zij niet actie en reactie uit te voeren in deze situatie. En ook de communicatie te verzorgen naar buiten. Staat deze na enkele maanden nog te jong in zijn kinderschoenen om hiervoor te zorgen.

<paranoide hoedje> OF is dit een vorm van testen hoe alles werkt en eruit zien door dit zelfde cyberteam, werken de nieuw opgezette procedures ook in real life, het is tenslotte een mild virus. Echter het botnet erachter heeft al veel meer informatie over de netwerken buit kunnen maken.
</Paranoide hoedje>

Anoniem: 421923 @Robbels • 9 augustus 2012 18:10

het Nationaal Cyber Security Centrum bedoel je? Die doet z'n werk en heeft een paar publicaties hierover uitgegeven:

https://www.ncsc.nl/actue...ft-office-documenten.html

Robbels @Anoniem: 421923 • 9 augustus 2012 18:11

die bedoelde ik inderdaad!! dank je wist de site niet

mijn schuld dus.

Anoniem: 421923 @Robbels • 9 augustus 2012 18:42

geeft niet. Ik wist het ook niet, maar je komt er normaal gesproken vanzelf mee in aanmerking, met sites waar je dergelijke info kan vinden. Handig om te bewaren voor een volgende keer, of regelmatig even op kijken voor nieuwe ontwikkelingen.

Petervanakelyen @Arcticwolfx • 9 augustus 2012 18:03

Als je eigen ISP het blokkeert kan je het als een vorm van censuur zien, als de hoster gewoon de server uit het rack trekt vanwege schending van de policy (C&C voor malware) natuurlijk niet.

Arietje @Petervanakelyen • 9 augustus 2012 20:43

Inderdaad, de hoster kan de boel gewoon afsluiten. Zou wat moois zijn als spammers en malware verspreiders in de lucht moeten blijven vanwege censuur...

Steyn_E @Arietje • 9 augustus 2012 22:32

Ik zou het toch in dit geval niet erg vinden als deze IP adressen algemeen worden geblokkeerd, nu ingaande, en dat de blokkade dan later weer wordt opgeheven. Het nare van deze besmetting is dat een het een soort auto-update functie heeft. Als je kunt voorkomen dat het virus zicht update, heb je iig de tijd om het te verwijderen.

the-dark-force @wildhagen • 9 augustus 2012 17:53

ik neem aan dat het juist wel handig is om ze online te houden, zul je extra informatie uit kunnen halen dat misschien handig kan zijn in de toekomst.

kjast @wildhagen • 9 augustus 2012 17:58

Op ISP schaal mag dit niet bij wet. Wie bepaald wat een schadelijk IP is, en wanneer is iets schadelijk? Ga er maar vanuit dat de meeste bedrijven software danwel een proxy hebben die automatisch lijsten laadt van malicious IPs. Ben je alsnog aangewezen op een third party, maar beter dan niets.

Voor de thuisgebruiker; aangewezen op je virusscanner met webguard pakket, als je dat hebt.

Anoniem: 445717 @kjast • 9 augustus 2012 18:07

Stichting BREIN heeft er geen moeite mee dat te bepalen anders.

Anoniem: 127111 @wildhagen • 9 augustus 2012 18:35

Gewoon red tape..

Anoniem: 442878 9 augustus 2012 20:08

Update 20:00 NOS
Doel:bankrekeningen leegroven (FOX-IT)
centrale computer (botnet) staat in de Oekraine
we zijn er nog niet vanaf!
http://nos.nl/nieuws/

Anoniem: 59483 9 augustus 2012 17:15

Hebben we hier wellicht te maken met een cyberaanval uit het verre oosten? Kan geen toeval zijn dat met name gemeenten geraakt zijn, of het verspreidt zich over Gemnet (netwerk waar gemeenten en wellicht provincies op aangesloten zijn).

Robbels @Anoniem: 59483 • 9 augustus 2012 17:57

Ik denk dat voornamelijk overheidsinstellingen hiervan een meldplicht hebben. Ik weet van meer bedrijven die hierdoor getroffen zijn maar die zullen niet zo snel in het nieuws hiermee uitkomen.

Anoniem: 101094 @Anoniem: 59483 • 9 augustus 2012 19:01

Het verre oosten?

Nee, eerder Syrie of Iran die hier belang bij zou kunnen hebben.
Iran lijkt me wel kanshebber waarbij dit lijkt op een vergelding voor stuxnet.

En was het niet Iran die ook uitwas op onze sofinummers via de hack op diginotar certificaten?

Dit is geen cybercrime, maar cyberwar aanval.

[Reactie gewijzigd door Anoniem: 101094 op 23 juli 2024 15:01]

Glashelder

@Anoniem: 101094 • 9 augustus 2012 23:02

Iran was niet uit op Nederlandse sofinummers. Daar hadden ze met de Diginotar hack ook nooit aan kunnen komen omdat ze daarvoor ook de servers van de overheidsinstanties waarmee je communiceert als je dat nummer gebruikt hadden moet hacken.

Natuurlijk hadden ze een certificaat uit kunnen geven voor digid.nl. Maar zonder controle te hebben over een van beide endpoints of controle te hebben over het verkeer tussen die endpoints is zo'n certificaat nutteloos.

En dan komen we gelijk aan voor de echte reden voor de Diginotar hack. Iran heeft verregaande controle over het internet. In eigen land hebben ze dus controle over het verkeer tussen diverse endpoints. Een van de doelen was Gmail. Iran gebruikte een vervalst certificaat om Gmail verkeer af te tappen. En het was Chrome die daar een stokje voor stak omdat Chrome controleert of Google certificaten ook echt de certificaten zijn die verwacht worden door te controleren of het certificaat van een door Google gekozen uitgever komt.

[Reactie gewijzigd door Glashelder op 23 juli 2024 15:01]

onox @Anoniem: 101094 • 9 augustus 2012 22:09

Syrie heeft wel wat anders aan z'n hoofd nu. Iran heeft volgens mij via diginotar een vals certificaat geklust om daarmee mee te lezen in de gmail accounts van hun eigen volk. Stuxnet is volgens velen door VS+Israel geklust.

[Reactie gewijzigd door onox op 23 juli 2024 15:01]

Anoniem: 26447 @Anoniem: 59483 • 9 augustus 2012 17:54

Ik denk dat China weinig interesse heeft in jouw doc files over BBQ recepten en ook niet in het gemeentehuis van Balk. Als het verre oosten hiermee te maken had, dan lijkt het mij eerder te gaan om militaire geheimen of de Nederlandse banken.

Anoniem: 421923 @Anoniem: 59483 • 9 augustus 2012 18:44

denk het niet. Lijkt eerder op een pestactie ofzo.
Onder het mom van 'de Nederlandse overheid loopt op te scheppen over een nieuw platform voor cybercrime'. Laten we ze maar even laten zien wat voor faalhazen sommige overheidsinstanties zijn. Die lui werken de hele dag met Word-documentjes, 'wacht maar even, we veranderen de bestandsnamen wel even, kunnen we zien hoe ze reageren'.

Waarom dit gebeurt? Gewoon omdat ze het kunnen waarschijnlijk.

CyberDonky 9 augustus 2012 17:14

Die IP adressen (184.82.162.163 en 184.22.103.202) leiden naar AOL.com...
... Apart

Edit: Staat trouwens wel een interessant blog over dit virus:
http://blog.fox-it.com/20...-network-spreading-virus/

[Reactie gewijzigd door CyberDonky op 23 juli 2024 15:01]

sn33ky @CyberDonky • 9 augustus 2012 19:01

Mooi stukje uit de text van die site:
Should you worry about all those encrypted document files on your network…, what you should really worry about, is that there apparently was/is a trojan (ZeuS/Citadel) on your network that was doing active C&C communications and has been leaking all kinds of information from your organization for days, weeks or perhaps even months

Edit: En er is een tool uit om je office bestanden weer te decrypten

[Reactie gewijzigd door sn33ky op 23 juli 2024 15:01]

sokar24 @CyberDonky • 9 augustus 2012 17:18

Is dat dailysave.info dan? Daar eindigt hij bij mij na een tracert.

Edit: het eerste ipadres dan...

[Reactie gewijzigd door sokar24 op 23 juli 2024 15:01]

BeerenburgCola @sokar24 • 9 augustus 2012 20:44

Het zijn alletwee hostnoc.net adressen (provider), waarbij de eerste ook gebruikt wordt door dailysave.info.

Geen AOL.

Anoniem: 370671 9 augustus 2012 18:47

als ze nou een virus scanner hadden dan hadden ze dit kunnen verkomen, nu zijn ze veel duurder uit.

pe1dnn @Anoniem: 370671 • 9 augustus 2012 21:24

Wat een kletspraat. Dit is gewoon een beetje roepen en toegeven aan een volks sentiment dat de overheid weer eens heeft zitten prutsen zonder je ook maar een moment in de feiten te verdiepen.

Feit is dat vrijwel alle, zo niet alle, virusscanners dit virus niet herkenden. In elk geval alle grote en veel gebruikte. Misschien dat jij denkt altijd veilig te zijn omdat je een AV product hebt lopen, maar in dit geval was dat dus gewoon een schijn veiligheid. Je kan nog zo goede AV hebben lopen, als een virus niet herkent wordt maakt het wel of niet hebben van een scanner niets uit.

Het enige wat zou helpen is een product dat net andersom zou werken, niet met een blacklist van virussen maar met een whitelist van toegestane code. Een onbekend programma zou dan niet kunnen starten. Maar dit zou wel erg onpraktisch zijn, er zou heel veel code gewitelist moeten worden en met elke code wijziging en met elke hotfix zou de list weer bijgewerkt moeten worden. Daarnaast is het de vraag of je dan niet alsnog problemen zou kunnen krijgen via macro's, scripts, enz.

Virusscanners zijn een reactieve beveiliging en werkt totaal niet voor onbekende virussen. En dat is precies wat er hier aan de hand was (was, want inmiddels kennen de meeste scanners dit virus nu wel). De besmette systemen hadden dan ook gewoon een goede bijgewerkte gerenomeerde virusscanner. Het was gewoon niet afdoende deze keer.

Bunzz @Anoniem: 370671 • 9 augustus 2012 21:29

Een virusscanner ? Dan ben je vaak al te laat. Je moet een virus scanner echt zien als een laatste redmiddel. Het gaat erom dat je de voordeur al dicht spijkert voor er ook maar iets binnen komt, of kan binnen komen.

Anoniem: 442878 9 augustus 2012 17:16

Surfright heeft een tool uitgebracht waarmee schade aan documenten wordt hersteld.

Kijk.Dat is mooi dat men al een tool heeft om de zaak (encryptie)ongedaan te maken. Bravo!

GB2 @Anoniem: 442878 • 9 augustus 2012 17:32

Om verdere infectie te voorkomen hebben wij bij een klant file screening aangezet.
Als we nu zien dat een .src bestand wordt weggeschreven lukt dat niet maar krijgen we wel een melding.

Sorcix @GB2 • 9 augustus 2012 18:46

Vernietig je daarmee het bestand niet? Als het virus een .doc bestand encrypt en dan opslaat als .src is waarschijnlijk je originele .doc weg?

Ik zou er in ieder geval mee opletten!

kw_nl

@Sorcix • 9 augustus 2012 19:29

Nee, want het mag niet als .src worden opgeslagen. De gebruiker ziet namelijk een foutmelding dat hij de rechten niet heeft...

mrsmit01 9 augustus 2012 17:17

Je zou haast gaan denken dat er een pissige ambtenaar dit virus heeft ontwikkeld. Wellicht iemand die géén wachtgeld zou ontvangen. Maar volgens mij is de bron toch al te blocken? En McAfee heeft al een extra definitiebestand vrijgegeven. Dus zouden besmettingen nu al voorkomen kunnen worden.

Anoniem: 442878 @mrsmit01 • 9 augustus 2012 17:21

Je zou haast gaan denken dat er een pissige ambtenaar dit virus heeft ontwikkeld. Wellicht iemand die géén wachtgeld zou ontvangen.

Nonsense

Daarnaast is op dit moment nog niet duidelijk waar het virus vandaan komt, maar volgens Van de Velde lijkt het er op dat het om een aanval uit de criminele hoek gaat.

Lijkt me ook aannemelijker.

Sibylle @Anoniem: 442878 • 9 augustus 2012 17:23

Aangezien dit een illegale praktijk betreft is het per definitie criminele actie lijkt me..
Net zoiets als vertellen dat de persoon die je net geeft beroofd waarschijnlijk een dief was....

Zeara @Sibylle • 9 augustus 2012 17:37

Er wordt mee bedoeld dat het virus/de aanval waarschijnlijk gedaan is door een criminele bende. En niet zo zeer 1 hacker. Of dat haal ik er ten minste uit.

i-chat @Zeara • 9 augustus 2012 18:32

maar zo'n aanval, ??? ik zou het meer als oorlogsdaad zien dan als 'criminele vergelding' in dat laatste geval zou ik veel eerder een persoonlijke aanpak verwachten...

Jander 9 augustus 2012 17:19

Hoewel de schade van dit virus nog wel te overzien is, denk ik dat het botnet (dat er schijnbaar al langer lag) stukken gevaarlijker is. Wie weet waarvoor het botnet gebruikt is.

Sibylle @Jander • 9 augustus 2012 17:25

Nou, de directe schade is misschien te overzien, maar de schade die daarna komt is veel groter:
Wegvallen van vertrouwen in systemen en beveiliging, paranoide worden, bewust worden van de afhankelijkheid van techniek.

--Andre-- @Sibylle • 9 augustus 2012 20:46

bewust worden van de afhankelijkheid van techniek.

Schade wil ik dit niet noemen, maar juist een positieve ontwikkeling. Dit was misschien maar een pesttrojan, maar ik hoop dat men wel leert beter met de techniek om te gaan.

Anoniem: 412416 @Sibylle • 9 augustus 2012 20:57

What the... dat noem jij schade? Verklaar je nader ...!

copywizard 9 augustus 2012 19:10

het betrof een 0-day die ook via mail attachment zou kunnen zijn verspreid dus vandaar dat iedere miep achter haar pc die een vreemd mailtje (attachment) krijgt met deze 0day ineens een flinke infectie heeft en omdat het een 0 day was begonnen antivirus boeren pas gisteren aan een oplossing terwijl het virus er al 2 dagen eerder was.

het feit dat als het virus eenmaal binnen is hij naar 2 ip adressen gaat roepen voor verdere instructies en eventuele updates is een andere verhaal er is ook de mogelijkheid dat het inderdaad via een bestaande trojan naarbinnen is geslopen maar dit is nog steeds niet 100% zeker er zijn op dit moment meerdere verspreidings mogelijkheden

^{edit = attachment}

[Reactie gewijzigd door copywizard op 23 juli 2024 15:01]

cowbalt @copywizard • 9 augustus 2012 19:17

ik ga meestal op de conclussies van Fox-IT af....Helaas ontstaan er altijd van die indianen verhalen omtrent dit soort zaken. Lees de eerste en tweede alinea maar eens:

http://blog.fox-it.com/20...-network-spreading-virus/

copywizard @cowbalt • 9 augustus 2012 19:25

ik ga juist nooit 100% van fox it uit maar dat is mijn ervaring

en zeker afgaan op de conclusie van 1 persoon/bedrijf is ook wel erg naief

intraxi @copywizard • 9 augustus 2012 23:17

Ach in het land der blinden is eenoog (foxit) koning.

Op dit item kan niet meer gereageerd worden.

Provincies en universiteiten besmet met nieuw virus - update 2

Lees meer

Reacties (128)

Sorteer op:

Weergave: