Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 101 reacties, 22.103 views •

Onderzoekers van SophosLabs hebben een trojan ontdekt die is ontworpen om afbeeldingen en memory dumps te kopiŰren van een ge´nfecteerd systeem. De bestanden worden naar een ftp-server geŘpload die in Irak zou staan.

De trojan, genaamd Troj/PixSteal-A, zoekt op de C-, D- en E-schijven van een besmette Windows-computer naar bestanden met de extensie .jpg, .jpeg of .dmp en negeert alle andere bestanden. Vervolgens worden deze naar een ftp-server in Irak geüpload.

Op de server waar de trojan contact mee zocht vonden de SophosLabs-onderzoekers onder andere afbeeldingen van ingescande documenten en dumps van Google Talk-gesprekken. Omdat de trojan zich specifiek richt op afbeeldingen en memory dumps vermoeden de onderzoekers dat de makers op zoek zijn naar vertrouwelijke informatie. Zij zouden met deze informatie bedrijven of personen kunnen afpersen. Tevens kan bepaalde persoonsgebonden informatie gebruikt worden voor het plegen van fraude.

De onderzoekers sluiten niet uit dat de trojan ook ontworpen kan zijn voor spionagedoeleinden. Verder stellen zij dat het niet alleen voor deze specifieke trojan, maar in alle gevallen verstandig is om in de firewall ftp-verkeer te blokkeren omdat het protocol sterk verouderd en fundamenteel onveilig zou zijn.

Troj/PixSteal-A (trojan) disassembly

Reacties (101)

Reactiefilter:-1101099+169+23+30
Moderatie-faq Wijzig weergave
Verder stellen zij dat het niet alleen voor deze specifieke trojan, maar in alle gevallen verstandig is om in de firewall ftp-verkeer te blokkeren omdat het protocol sterk verouderd en fundamenteel onveilig zou zijn.
_/-\o_

HTTP met basis authenticatie is onveilig, POP3, IMAP, allemaal hetzelfde. Kan dus beter alleen SSH en HTTPS/IMAPS toestaan en de rest dicht kappen.

Ben benieuwd hoe ze dat hier gaat bevallen...
SSH is veilig?

Hoe dan? Als een trojan een verbinding maakt via SSH om je bestanden over te zetten dan zijn je bestanden opeens niet gekopieerd of zo?

Dit artikel toont maar weer eens aan hoezeer tweakers afgegleden is.

Er zijn drie methoden om jezelf te beschermen tegen trojans die data van jouw PC naar buiten versturen.

1. Zorg ervoor dat de trojan nooit op je systeem komt.
2. Verwijder hem meteen.
3. Laat de trojan lekker zitten maar ga proberen firewall regels op te stellen die deze specifieke trojan dwarsbomen waarbij je onzin verhalen als FTP is onveilig erbij haalt.

1 is de beste
2 is voor mensen die denken dat anti-virus voor anderen is

en 3 is voor stumpers.

Niets aan deze trojan heeft te maken met de oudheid van FTP of eventuele gebreken in het protocol. Deze trojan had ook met http upload kunnen werken, s3 (amazon), scp (ssh), bittorrent of een van de vele andere manieren om data over te zenden.

En het kan daarbij over iedere willekeurige poort gaan en zelfs over een random poort als de trojan schrijver dat zou willen.

Als software van derden eenmaal op jouw machine staat heb je slechts twee opties om data verkeer betrouwbaar te blokkeren. Kabel eruit of alle onbekende addressen blokkeren en dan maar hopen dat geen van de bekende adresen gekraakt zijn (jouw PC is dat immers ook).

Dit is ondoenlijk. Daarom laat je NOOIT een trojan op je systeem staan en als er geen specifieke bekende trojan meer op je systeem is, dan heeft het geen zin om een specifieke trojan te gaan blokkeren op de firewall.

Dit advies is best vertaald als volgt:

Als je huis in brand staat, dan moet je op de vloer gaan slapen zodat je het minste rookt in ademd.

Klopt helemaal, maar persoonlijk zou ik toch echt eerst het vuur blussen voor ik ging slapen, en is het vuur eenmaal geblust, dan hoef jeje ook niet meer zorgen te maken over stikken.
Je zegt het wat bot, maar het was ook mijn eerste gedachte. FTP is een veel gebruikt protocol. De veiligheid (of het gebrek daaraan) heeft niets te maken met dit virus. Het gebruikt gewoon een veel gebruikt protocol om de bestanden te uploaden, maar maakt geen misbruik van eventuele zwaktes in het protocol. Dit artikel had net zo goed kunnen melden dat het veiliger is om al je foto's af te drukken en te verwijderen van je pc. Want pc's zijn onveilig.

Voor mensen die thuis geen FTP server draaien is de oplossing dus een firewall. Al het uitgaande FTP verkeer blokkeren is de beste methode. Maar de volgende keer komt er een virus die upload via HTTP. En poort 80 blokkeren is geen optie omdat je dan jezelf afsluit van de buitenwereld.

De allerbeste methode is dus preventie. Zorg dat je niet besmet raakt. Verwijder Java om een grote vorm van besmetting buiten te sluiten en gebruik een goede virusscanner die je regelmatig (iedere dag) update. Gebruik een goede browser die minder vatbaar is voor virussen en gebruik eventueel add-ons die foute scripts of scripts van derden kunnen blokkeren. Voor de echte die-hards, encryption voor al je foto's. Maar dat maakt het bekijkenvan de foto's alweer een stukje lastiger.
SSH is veiliger dan FTP. Simpelweg omdat het verkeer encrypted is en dus moeilijker af te luisteren.

Als je alle niet aangehaalde aspecten bij elk puntje aan wilt halen prima, maar trek er dan een pagina of 30 voor uit, want je komt er zeker nog wat te kort.

Bovendien raden ze aan om FTP te blokkeren omdat het protocol fundamenteel onveilig is (en dat klopt) en veroudert (en dat klopt ook). Ze hadden het er niet over dat je geen bestanden via andere methoden kan kopieeren. Want ik kan, als ik het zelf ontwikkel, nagenoeg ieder protocol misbruiken voor bestands overdracht. En ik ben echt niet de enige... zo moeilijk is het niet.

Maar goed, je hoeft je brand ook niet te blussen, want je kan je huis net zo goed af laten branden. Al de oplossingen voor je brand verhinderen mij nog steeds niet om met een vrachtwagen je huis in te rijden. Dat aspect van beveiliging van je huis sloeg je over, evenals vele anderen en zo kunnen we alle opmerkingen makkelijk uit context trekken, niet?
Inderdaad, het hele internet hangt aan elkaar met jaren '80 protocollen, die uit een tijd komen waarin er over veiligheid blijkbaar nog niet erg goed was nagedacht. Een van mijn grootste ergernissen is bijvoorbeeld ARP, waarbij mijn eigen PC (tot mijn eigen afgrijzen) iedereen maar geloofd als die zegt dat hij een bepaald MAC adres heeft en de gateway is. Email is idd. ook een goed voorbeeld, biedt enorm veel mogelijkheden voor misbruik.

Tegelijkertijd zijn er tal van geldige redenen om van al die oude protocollen gebruik te blijven maken, in het bijzonder wanneer er geen vertrouwelijk materiaal over het net wordt gezonden. Ik download zelf bijvoorbeeld vrij vaak source code van ftp servers. Als ik op een vertrouwd netwerk zit kan dat waarschijnlijk weinig kwaad.
Het downloaden van source code van een ftp server kan juist wel kwaad. Er is geen bescherming tegen een man-in-the-middle aanval, en dan kan er zomaar een stukje malware in jouw broncode terechtkomen.

Ontopic: de malwaremaker moet over flinke servers beschikken. Zodra deze malware populair wordt, gaat het al gauw om gigabits per seconde die ontvangen en verwerkt moeten worden.
Deze malware gaat uiteindelijk ze eigen servers plat ddos'en
Een heleboel dingen op het internet vereisen absoluut geen encryptie. Het is dan simpelweg efficienter om een "oud" protocol als http te gebruiken.

FTP is wel weer een beetje ander verhaal, met poorten die over en weer geopend worden. Dat doet echt verouderd aan, en is voor serieuze toepassingen veelal al jaren geleden in onbruik geraakt.
In het bedrijfsleven word het door softwareleveranciers en ontwikkelaars anders nog volop gebruikt. Bij een van mijn opdrachtgevers worden zo zelfs de exportbestanden van de salarisadministratie aangeleverd, dit pakket is dit jaar in gebruik genomen.

Ik gebruik het zelf ook volop, zelfs intern, omdat het het enige protocol is dat al mijn hardware, zowel gloednieuw als de verouderde, 100% ondersteund.

[Reactie gewijzigd door Maikel_1976 op 8 november 2012 10:01]

FTP is wel weer een beetje ander verhaal, met poorten die over en weer geopend worden. Dat doet echt verouderd aan, en is voor serieuze toepassingen veelal al jaren geleden in onbruik geraakt.
Dat doet helemaal niet 'verouderd aan'. Dat is gewoon het scheiden van control en data.

Wel's van SIP gehoord? Doet precies hetzelfde.
Als je uitgaand HTTP blokkeert, hoe ga je dan browsen?
Okee, dus ik moet al mijn foto's gaan encrypten zodat de trojan er niet bij kan komen?
Want dan heet het geen ''.jpg'' meer o.i.d.

En wat nou als ik alle foto's in word zet, in een groot wordbestand. Wat dan?

[Reactie gewijzigd door Frozen op 7 november 2012 14:11]

"De trojan, genaamd Troj/PixSteal-A, zoekt op de C-, D- en E-schijven van een besmette Windows-computer naar bestanden met de extensie .jpg, .jpeg of .dmp en negeert alle andere bestanden."

.doc(x) zal hij dus negeren. Zoveel staat in de tekst.
Het is mi. niet zo moeilijk voor te stellen dat het voor de schrijver van zo'n trojan een fluitje van een cent is om naar willekeurig welke extensie dan ook te zoeken. Dat heeft misschien nog wel grotere gevolgen.
Inderdaad. Het gaat er niet om dat deze versie van dit virus naar dit soort bestanden kijkt op die schijven. Wel dat die persoonlijke gegevens upload via FTP. En FTP blokkeren is ook niet voldoende want zodra er niet meer genoeg binnenkomt gaan die hackers gewoon een ander protocol gebruiken.
"De trojan, genaamd Troj/PixSteal-A, zoekt op de C-, D- en E-schijven van een besmette Windows-computer naar bestanden met de extensie .jpg, .jpeg of .dmp en negeert alle andere bestanden."

.doc(x) zal hij dus negeren. Zoveel staat in de tekst.
Ik ben ook veilig, want mijn foto's staan op de F-schijf :)
[...]
Ik ben ook veilig, want mijn foto's staan op de F-schijf :)
Ik ben op elke schijf veilig:
/dev/sda2, /dev/sda3, /dev/sda4 .... :+

[Reactie gewijzigd door Xubby op 7 november 2012 20:58]

Encrypten zal niets helpen als je uw partitie mount en dus decrypt kan hij deze toch nog vinden.
Kan ook op file level encrypten hoor, is maar net welke methode je gebruikt.
Nee je moet een uitgaande firewall hebben.
Nee, je moet ze als RAW laten staan. De jpegs kan je zo weer genereren, dat zijn eigenlijk maar tijdelijke bestanden, dus die kunnen weg.
Kennelijk loopt de virusschrijver een beetje achter, geen ondersteuning voor netwerkdrives?
haha idd, ik heb naast C D en E nog 6 letters voor harde schijven in gebruik (3 daarvan in een nas)
ook infecteren en lokaal laten scannen, gaat veel sneller :+
Wanneer je alle foto's in een Word-bestand plaatst zal deze trojan ze niet vinden en uploaden. Een andere trojan kan mogelijk naar *.doc-bestanden zoeken en zal dan je grote bestand met foto's uploaden.

Een goede firewall en enige kennis over processen op je pc is vaak een goede methode, maar ook niet waterdicht.
Maar waarom zou je je foto's in een Word document willen opslaan? :s
Het is al genoeg om je drive letters naar iets anders dan C, D en E te veranderen :+
Windows tot VISTA MOET MOET MOET een C drive hebben. ja je krijgt echt hele gekke vage foutmeldingen :) Vanaf VISTA weet ik niet of die verplichting nog steeds er is.
Nee hoor. Ik draai al sinds Win NT4 zonder C: schijf. Waarom zou dat moeten?
Windows zeker niet, geen enkele versie. Al installeer je hem in een partitie die Z heet. Als je hem geinstalleerd hebt op een C-partitie en je verplaatst de installatie, dan krijg je gezeur, maar waarom zou je dat in godsnaam doen?

Sommige crappy custom software moet dat wel, wegens bepaalde padverwijzingen, maar dat valt onder dezelfde categorie software die zichzelf niet laat installeren van een CD-rom met een hogere schijfletter dan E en de files en buffer handles van DOS nog nodig heeft.
Gewoon je foto's opslaan als png en er is geen probleem
Dat is een workaround, geen fix. 6 letters extra in de code en PNGs worden ook meegenomen.

We zijn helaas in een tijd aangekomen waarbij de consument zich bezig moet gaan houden met zijn (internet) beveiliging.
Veel mensen hoor ik al roepen "Maar ik heb een virusscanner!", roep ik gelijk terug "Voorkomen is beter dan genezen". Een virusscanner is een pleister, en detecteerd ook vaak de nieuwste malware niet. Het wordt gewoon tijd dat mensen niet meer als een stelletje achterlijken op elke 'gratis ipad' link klikken en hun software (firefox/java/flash/windows) up to date houden. De tools zijn er al decennia, nu de gebruikers nog.
mmm, en ik maar denken waarom me upload zo slecht was :P

Ik weet het niet hoor maar een gemiddeld persoon heeft ondertussen misschien wel honderden foto's a 3 / 4 mb. Als alleen deze bestanden al geupload worden zou je dit merken aan je upload snelheid, laat staan de .dmp bestanden.

FTP blokkeren zou voor veel mensen geen problemen opleveren, maar een beetje tweaker kan volgens mij nog niet helemaal zonder.
Dat merk je volgens mij niet meteen in je snelheid. Het is puur upload, en bij normaal browsen etc. ben je bijna alleen maar aan het binnenharken.
Onzin. Als ik een video upload gaat alles erg traag. De twee zijn wel degelijk verbonden.
Als jouw maximale uploadsnelheid van je abonnement gelijk is aan je lokale netwerk snelheid/ snelheid vanaf het lokaal distributie centrum dan is dit inderdaad het geval.
Maar als jouw snelheid gelimiteerd wordt door je abonnement, en niet door het netwerk (en je computer natuurlijk) merk je dit voor zover ik weet niet. Er van uitgaande dat de trojan wel wat http requests de ruimte geeft.
Dat is simpelweg niet waar. Als je uplink vol zit loopt de latency op. Gezien TCP zgn. ACK pakketjes moet versturen ter bevestiging dat dingen ontvangen zijn en dat het TCP window aangepast wordt e.d. ga je dat echt wel merken. De verhouding tussen downstream en upstream is dan ook niet relevant, wel hoe vol je upstream pijp zit.

Als je QoS hebt dat ACK voorrang verleent is de kans weer wel groot dat je het niet merkt echter :)
Wat ik dan weer stom vind is dat ik reacties op mijn reacties niet kan beoordelen :(
Waarom zou je dat willen? Als je het met een reactie eens bent kan je dat gewoon melden, en als je het ermee oneens bent ga je de discussie aan.

Tegen die vrijheid kan geen (mening)moderatie op!
Daar ben je fout, als deze malware de afbeeldingen zo snel upload als je verbinding maar kan hebben, dan gaat er ook niet veel meer gedownload worden.

En zelfs al open je maar wat google, of surf je even naar tweakers, je zal het wel geweten hebben dat jou uplink dicht zit.
FTP blokkeren zou voor veel mensen geen problemen opleveren, maar een beetje tweaker kan volgens mij nog niet helemaal zonder.
Een firewall hoeft niet perse alle FTP te blokkeren. Je kunt programma's op een whitelist zetten. Zij mogen dan FTP doen, maar andere programma's niet. Als de malware zelf als een ftp client gaat werken, wordt het door de firewall tegengehouden.
Vaak kun je als tweede regel ook nog een keer ip-ranges blokkeren.

Mijn comodo firewall blokkeert standaard alles. Ieder nieuw programma zal ik de eerste keer (en na iedere update) toegang moeten geven bepaalde poorten te gebruiken.
Dat is leuk op je eigen PC ja... Bedrijven firewallen meestal echter op de gateway en die heeft in ver uit de meeste oplossingen geen flauw idee van welk programma het af komt.
Maar daarbij wil je juist FTP alleen naar vertrouwde hosts zoals die van leveranciers toe laten. Dus niet FTP naar [ANY] maar alleen naar een specifieke lijst van hosts.
En waarvoor gebruik jij FTP dan nog? Als je een beetje om veiligheid geeft, gebruik je SFTP of SCP.
Voornamelijk om website te uploaden.
Ook download ik regelmatig software van FTP servers. Ik weet dat dit van buiten naar binnen is, maar FTP wordt gewoon nog vaak gebruikt.
SCP gebruikt SSH v. 1 nog, dus is ook niet echt veilig..
Err? uit de 'man scp' op mijn laptop hier :

-1 Forces scp to use protocol 1.
-2 Forces scp to use protocol 2.
Er zijn relatief weinig mensen die veel uploaden, en het zullen merken. Er zijn echter genoeg eenvoudige gebruikers die foto's van hun geslachtsdelen beschikbaar houden voor cyberseks, wat een irakees daar nou weer mee moet?

Als je een netwerkmonitor hebt staan zoals etherape kun je het trouwens gewoon zien, en als je twijfeld ga je wiresharken.
Is het niet typootje in de code, waar dmp eigenlijk bmp had moeten zijn?
Lijkt me een logische lijst met extenties van afbeelding.... de combi van afbeeldingen en dumps komt me zo raar over.
Wellicht heb je het zinnetje
en dumps van Google Talk-gesprekken
uit het hoofdartikel over het hoofd gezien? De logs van Google talk zouden zomaar op .dmp kunnen eindigen ;)

[Reactie gewijzigd door Bioman op 7 november 2012 14:35]

Ik bedoel dat de oorsponkelijke ontwikkelaar de fout er in heeft gezet..............
Het zou kunnen dat ze .bmp bestandjes wilden binnen hengelen. Maar ik denk dat ze met die google talk bestanden een stuk informatievere informatie binnen trekken, dan het nauwelijks meer gebruikte bitmap.
Wellicht is de bug per ongeluk een feature geworden :+

edit: typo

[Reactie gewijzigd door Bioman op 7 november 2012 14:49]

Nauwelijks gebruikte BitMaP ? Vind het het nog altijd beter dan die vermaledijde JPG's, beter om te bewerken, cleaner, echter, vergroot maar eens een jpg tegenover een BMP > ja Bioman, je zult je een hoedje met ezelsoren moeten dragen en in de hoek gaan staan, zelf neem ik mijn foto's in RAW (lekker bewerken) en converteer ze dan naar BMP
Ik vind het wel een slimme opmerking van TheOmen. Dat het toevallig een google talk gesprek betreft, betekent niet dat die getarget zijn. Aangezien er een boel afbeeldings extensies gebruikt worden, is het best aannemelijk dat de maker van de trojan eigenlijk Bmp had bedoeld in plaats van Dmp.
One file is named "Google_Talk_1.0.0.104_121002-170904.dmp"... You private instant messaging conversations could likely be inside of the memory space of a program like Google Talk.
DMP files zijn memory dump bestanden. Kijk maar eens in je Windowsmap ;)
Zie reactie van Wh4ck0.

Ik denk dat door de typefout van de oorspronkelijke malware-schrijver er toevallig dmp-bestanden worden buitgemaakt, ipv bitmaps.
Ik denk het eigenlijk niet, omdat:

1. de malware-schrijver zijn malware getest heeft (daar mag je toch hopelijk van uit gaan) en een dergelijke bug nogal opvalt;
2. de 'd' niet dicht genoeg bij de 'b' zit voor een echte typo, alhoewel ze in Irak wellicht een andere keyboard layout gebruiken?
3. Bitmap bestanden de onhebbelijkheid hebben vrij groot te zijn (bandbreedte) en ik er nog nooit van gehoord heb dat camera's de foto's als zodanig opslaan;

Het binnenhalen van .png zou ik dan wel weer een logische keuze vinden.
dat bedoelt hij dus ook, waarom zou je deze willen hebben als je doel is plaatjes verzamelen.

Ik snap zowiezo niet waarom je JPEG's en JPG's wilt hebben. Als je documenten wilt hebben voor Fraude zou ik toch echt op PFD zoeken. met Jpeg haal je bij mij hoogstens wat prive porno binnen alhoewel het meeste gewoon RAW format is. ik ken echt geen enkel bedrijf dat dingen (bewust) opslaat als Jpeg als het enegsinds belangrijke info betreft ook.
Ze hebben denk ik toch ook nu het adres van de server? Die ook blokkeren.

Overigens, waarom zoeken naar .jpeg? Ik denk dat je dan meer foto's en porno plaatjes binnen krijgt dan bruikbare informatie. :)
Kunt mensen aanzienlijk chanteren als je hun prive porno vind anders ;)
En hoe weet je dat het van hen (de gebruiker) is dan? ;)
IP adressen, dump files, andere info die het wellicht vergaard.

Het is daarbij echter wel een stuk aantrekkelijker om bijv. Bill Gates te chanteren (of andere bekende mensen) dan mij. Zij hebben immers meer geld. Als je bij mij een ton los geld vraagt dan rest mij weinig keus dan je te laten publiceren, kan dat simpelweg niet op brengen (afgezien van het feit dat ik daar moreel onoverkomelijke bezwaren tegen heb en het waarschijnlijk uit principe toch al niet doe, al was het een euro. Maar is makkelijk praten zo lang je niet voor het blok gezet wordt).
Omdat ze vaak ook vakantiefoto's vinden waarop die persoon dan met kleren aan, opstaat.
Tsja als je zo dom bent om je te laten chanteren, zelf kunnen ze zich gek chanteren want ik raak er niet van onder de indruk, want er zijn maar twee soorten mensen op aarde, man en vrouw, het is allemaal van hetzelfde en niet dat er mensen lopen met 6 lullen of 8 vagina's, dus niet nieuws onder de zon. |En misschien kunnen die gasten dan nog wat leren als ik met mijn vriendin op 1 avond 5 x de Kamasutra doorneem, onder het genot van een glaasje Alpenmelk, alhoewel de bijenkwestie in de kamasutra wel wat pijnlijk uit zal vallen voor die gasten als je niet weet wat je moet doen :+
Porno is misschien moeilijk aan te komen in Irak?
De discussies over onveilig FTP etc gaan er gemakshalve aan voorbij dat je eerst die trojan moet oplopen.

Akkoord, FTP is niet perfect maar het echte probleem is de trojan.

Het is zoals klagen over voortijdig bedorven melk terwijl je de koelkastdeur open heb laten staan. ;)
Echter is er bijna geen mogelijkheid om bekende en actieve trojans tegen te houden of te stoppen. Dus moet je echter wel naar je firewall grijpen...
Ik heb Little Snitch aan staan en die laat een nieuw process niet zomaar verbindingen maken.

Dan nog zie ik in het miniatuur van Activities als er lang / veel data verstuurd wordt. Ik zie niet alles maar heel mijn fotoverzameling zou me waarschijnlijk wel opvallen.

Tja en dan laat ik die zooi er echt niet op staan, ik zie immers welk proces het is?
Ik gebruik FTP om naar mijn webserver te uploaden, dus FTP blokkeren is voor mij geen optie...
Ik heb mijn afbeeldingen op een hogere schijfletter staan dan E, dus dat scheelt.
Maar het beste blijft natuurlijk: voorkomen is beter dan genezen.
Als het je eigen webserver is heb je het zelf in de hand, en zijn er wel degelijk goede alternatieven beschikbaar. Bijvoorbeeld WebDAV, of sftp. Die laatste is waarschijnlijk zelfs al gewoon beschikbaar als je webserver op een Linux variant draait.
Zou de maker hiervan niet gewoon een spelfoutje gemaakt hebben, en .bmp bedoelt hebben?
Zou wel grappig zijn als zijn (of haar...?) FTP server uit zijn voegen barst door al die grote memory-dump bestanden :)
De foto's van tegenwoordig zitten ook al snel op 4mb (als het niet meer is). Ik heb op mijn nas zeker 10.000 foto's staan. En ook nog wel een tb op mijn pc (D schijf). Dat wordt dus oppassen met de verspreiding van het virus.
Beetje oud nieuws. De FTP server welke hard coded in de source stond is dood sinds 5 november.
bron: http://blogs.mcafee.com/m...-be-first-stage-of-attack
Dat is een ander IP dan bijv. in http://blog.trendmicro.co...image-files-from-systems/ is te vinden. Op dit IP is nog wel een FTP service actief waar gebruikersnaam / wachtwoord op werken.

(edit: directe bron)

[Reactie gewijzigd door PowerSp00n op 7 november 2012 15:50]

Wellicht dat ze aan de hand van deze data gezichtsherkenning toe passen en wellicht 3D modellen van personen genereren. Idem van de omgeving waardoor met de timestamp in je files ook de locatie (i.v.m. belichting, schaduw hoek) te achterhalen is. Hierdoor is zeer gedetailleerd een hele omgeving in een 3D kaart te brengen incl. tijdschema's.
De mem-dump bevat in veel gevallen de naam van de persoon, het e-mailadres en nog wat persoonsgegevens. De foto's vertellen persoonskenmerken als lengte, haarkleur, oogkleur, huidskleur etc. en met wat slimme software ook een redelijke leeftijdschatting. Daarnaast geven foto's ook inzicht in persoonlijke relaties.

Mooie databron zou ik zo zeggen. Zouden ze ook veel grafische hardware hebben aangeschaft of gebouwd voor de data-analyse?

[Reactie gewijzigd door djwice op 7 november 2012 22:23]

Niet zo paranoide:p
Ik denk dat het oorspronkelijk een virus was voor een specifiek doel, dat in het wild terecht is gekomen.
Als je iemand wil vinden dan kun je met veel minder informatie af ;)

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True