Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 68, views: 24.701 •
Submitter: Mikke8

De broncode van de Carberp-malware is openbaar geworden, kort nadat internetcriminelen het pakket voor 50.000 dollar te koop hadden gezet. Deskundigen vrezen een flinke toename van malware op basis van de uitgelekte Carberp-code.

Vorige week werd de broncode van Carberp op een ondergronds Russisch forum aangeboden. Deze malware is in diverse vormen gebruikt voor het opzetten en benutten van botnets, en is vermoedelijk door Russische developers in elkaar gezet. De aanbieder hanteerde aanvankelijk een vraagprijs van 50.000 dollar. Daarvoor zou de koper niet alleen de broncode in handen krijgen, maar ook 'extra' malware in de vorm van de Gazavat-worm en een aantal Windows-exploits.

Omdat een van de criminelen achter de Carberp-malware het pakket aan verschillende personen zou hebben verkocht, zou de software aan veel meer partijen zijn aangeboden. Niet lang daarna verscheen de broncode van de malware in een versleuteld rar-bestand in postings op een aantal fora, evenals het benodigde wachtwoord.

Nu de broncode vrij beschikbaar is, vrezen deskundigden dat er veel meer varianten van Carberp zullen verschijnen. Criminelen hebben de code al eerder gebruikt om bankgegevens te onderscheppen. Waarom Carberp te koop werd gezet, is niet geheel duidelijk, maar er wordt gespeculeerd dat het de vermoedelijke Russische eigenaar te heet onder de voeten werd.

Carberp-malware

Reacties (68)

Is het, nu de broncode is vrij gekomen, ook niet eenvoudiger voor makers van anti-virus producten om dit soort malware te weren?
Klopt, maar dan moet het doel ook wel AV draaien natuurlijk ;-)
Anti-virus programma's werken vaak met bepaalde herkenpatronen. Pas de source wat aan, dan herkent het virusprogramma hem niet meer. Als je vervolgens fanatiek een stuk of 50/100 varianten gaat maken dan is het dweilen met de kraan open..
de waarheid zal waarschijnlijk wel in het midden liggen. in eerste instantie zullen virus scans de malware stoppen waarna deze aangepast word en de aangepaste versies geblokkeerd worden, na een tijdje ben je zo ongeveer door je varianten heen en houd het op met deze malware maar tot die tijd zul je best een stijging zien.
dat valt vies tegen hoor, uiteindelijk kun je loops e.d. blijven toevoegen.
voor de code maakt het niet uit of iets nu x1 heet of x12834684762578366927 en daardoor kun je ontelbare varianten maken, zeker in een complex stuk code als dit zijn er redelijk wat stukken om te wijzigen.

maargoed ik denk dat dit te geavanceerd is voor de gemiddelde scriptkid, ik gok eerder dat er nu een hele rits malware schrijvers gedeeltelijk de source doorspitten op backdoors en daarna bepaalde modules gaan rippen.

edit:: hier nog wat meer info http://threatpost.com/carberp-source-code-leaked/
blijkt dat het ook mbr infecteerd e.d. hopen dat dat geen makkelijk uitwisselbare module is o.i.d. anders krijgen we straks een shitload aan mbr infecties..
dit gebruik ik om een mbr van een hdd te checken
http://www.majorgeeks.com/files/details/mbrcheck.html

[Reactie gewijzigd door the-dark-force op 25 juni 2013 19:13]

Ik neem aan dat de source code ook inmiddels bij Microsoft op een systeem staat (of althans dat mag ik hopen). Daarbij ga ik er even vanuit dat het een exploit in Windows betreft.
Hiermee is het misschien iets eenvoudiger om anti-virus software te maken maar helaas voor kwaadwillenden ook veel eenvoudiger om nieuwe virus/malwarevarianten te maken en/of exploits op een andere manier te benutten....
Het bestaat uit 2 componenten:
1) de exploit
2) de RAT (Remote Administration Tool)

De exploits veranderen per dag, kan je zien als een soort plugin. Dit is dus de RAT, maar is net zo belangrijk. Ik heb er geen kennis van, maar hier is het belangrijk dat het ondetecteerbaar is en blijft.
9 van de 10 keer zit er al functionaliteit in om AV pakketten te detecteren en te verwijderen of uit te schakelen.

Dus aan detectie heb je niet veel omdat de exploits veranderen. Dit is vervelend omdat het nu voor meer mensen toegankelijk is en dus meer mensen gaan etteren.
In de praktijk hoeft maar 1% geinfecteerd te worden om al 'succes' te hebben met zo'n virus. De makers zijn dan ook niet bang voor de mensen die een (recent) antivirusprogramma hebben maar focussen zich op de weerlozen, met stokoude Windows versies die niet worden geupdate (in China zie je bijvoorbeeld overal Windows XP bakken zonder licentie, zonder viruskillers, worden niet geupdate, welke elke maand opnieuw geinstalleerd omdat ze vollopen met virussen :)
Ach dat zie ik hier in NL ook nog regelmatig.
En we gaan een nieuwe XP periode krijgen met iedereen die Win8 haat en op Win7 gaat blijven hangen :D
Op welke OS'en en of programma's is deze malware getarget?
Mac, linux, freebsd gebruikers moeten wel erg voorzichtig zijn :+
Zeker Windows maar het schijnt ook voor OSX te werken.
Als het zo doorgaat trek ik de internet stekker uit mijn Windows bak en gebruik hem alleen nog voor games (pff maar online gaming wordt wel moeilijker erdoor zonder internet...)
Ik stap gewoon over op Fedora of Mint, dan is de kans sowieso haast nihil dat in ooit last van een virus krijg.
Als het zo doorgaat trek ik de internet stekker uit mijn Windows bak
Ik vind dat je overdrijft.
Ok, af en toe moet ik bij familie wel eens het politievirus gaan verwijderen, maar dat ligt 99% aan zichzelf. Ook al beweren ze van niet ;-)
Als het enkel windows XP betreft is het trouwens echt wel dik je eigen schuld.

Hier denk ik al een stuk of 7 jaar geleden dat ik nog last had van een virus. En nee, ik ben niet vies van een vage .rar uit dubieuze bronnen en ik draai meestal enkel windows defender of security essentials. (vaak ook uitgeschakeld om bronnen te sparen)

Het is en blijft de gebruiker die meestal verantwoordelijk is voor virussen. Een beetje argeloos er op los klikken op een Mac of Linux is natuurlijk ook geen oplossing, daar wordt niemand beter van. Dat nonchalant gedrag zal uiteindelijk de Apple-base nog eens zr zuur komen te staan me dunkt. we zien wel ;-)
Als het enkel windows XP betreft is het trouwens echt wel dik je eigen schuld.
Waarom? Windows XP word nog gewoon bijgewerkt tot April 2014. Security wise is dat in principe geen issue onder de voorwaarde dat de updates geinstalleerd worden. Als dat niet het geval is ben je met Windows 7 of 8 niet beter af. Dat is een mentaliteitsissue geen softwareprobleem. (sommige mensen zetten auto-updates om volstrekt arbitraire redenen uit)

[Reactie gewijzigd door Alpha Bootis op 25 juni 2013 14:20]

Windows 6.x is veel beter opgewassen tegen aanvallen van buitenaf dan windows xp (5.x)

mensen haatten wel vaak dat user account control venster als ze iets willen installeren, maar tegelijk beschermt het hen ook als een programma rare dingen doet ...

verder spreek ik uit ervaring dat besmette toestellen met windows 6.x (dus vista, 7 en 8) vaak minder erg er aan toe zijn en veel sneller weer op de been zijn dan een toestel met windows xp, die ik regelmatig nog moet herstellen en waar dan ineens uit de bus komt dat er al tal van besmettingen op zaten en een reinstall nog het enige is dat soelaas brengt... win6 laat veel sneller opmerken als er virussen zijn en zorgt dus dat je veel sneller handelt...
Windows Vista, 7 en 8 hebben verbeteringen ten opzichte van Windows XP als het aankomt op beveiliging ja, vooral op het gebied van gebruikers tegen zichzelf beschermen, maar dat maakt Windows XP niet fundementeel onveilig. Het is nogsteeds datzelfde OS wat het 10 jaar geleden was en is net zo veilig zolang het bijgewerkt word.

Ik zeg niet dat je niet zou moeten upgraden maar het per definitie als onveilig bestempelen is gewoon ongeinformeerd van de toren blazen.
"Het is nogsteeds datzelfde OS wat het 10 jaar geleden was"

inderdaad , het is nog steeds het zelfde(ook al is het bijgewerkt) , maar de malware is 10 jaar verder geevolueerd. Het loopt dus 10 jaar achter tenzij je extra maatregelen hebt getroffen zoals het installeren van 3rd party ASLR en andere anti exploit maatregelen zoals zerovulnerabilities labs ExploitShield.
Pffff.... Ik wordt altijd zo moe van dit soort opmerkingen...
Windows XP heeft gewoon nog ondersteuning daarom is het nog prima.... Dit is gewoon onzin. Sommige onderdelen van Windows XP worden al jaren niet meer geupdate en beschouw ik al totaal onveilig. Neem bijvoorbeeld Internet Explorer 8, noem je dat een veilige browser?

Tevens kan vaak bepaalde software niet meer geupdate of geinstalleerd worden op XP. Veel van die software heeft .NET 4.x of hoger nodig en deze is niet beschikbaar op XP. De meeste software leveranciers laten XP support gewoon vallen (en ik moedig ze hard aan!)

Moderne besturingssystemen hebben tevens veel meer beveiligings onderdelen en features zoals ingebouwde virus en malware scanners en bijvoorbeeld User Account Control waardoor deze inderdaad veel veiliger zijn. Ook als je geen Windows update aan hebt staan.

[Reactie gewijzigd door dycell op 25 juni 2013 16:18]

IE8 word nog steeds geupdate hoor. Krijgt gewoon security patches. Het is niet zo dat IE8 al sinds uitkomst van IE9 nooit meer geupdate is.
Pffff.... Ik wordt altijd zo moe van dit soort opmerkingen...
Windows XP heeft gewoon nog ondersteuning daarom is het nog prima.... Dit is gewoon onzin. Sommige onderdelen van Windows XP worden al jaren niet meer geupdate en beschouw ik al totaal onveilig.
Prima hoor, zoals?
Neem bijvoorbeeld Internet Explorer 8, noem je dat een veilige browser?
Dan moet je eerst uit de doeken doen wat je zelf als veilig verstaat. IE8 ontvangt gewoon security updates.
Tevens kan vaak bepaalde software niet meer geupdate of geinstalleerd worden op XP. Veel van die software heeft .NET 4.x of hoger nodig en deze is niet beschikbaar op XP. De meeste software leveranciers laten XP support gewoon vallen.
Klopt, omdat WIndows XP in softwaretermen redelijk antiek is en in die zin aan vervanging toe is. Wat heeft dat met beveiliging te maken?
(en ik moedig ze hard aan!)
You go girl.
Moderne besturingssystemen hebben tevens veel meer beveiligings onderdelen en features zoals ingebouwde virus en malware scanners en bijvoorbeeld User Account Control waardoor deze inderdaad veel veiliger zijn. Ook als je geen Windows update aan hebt staan.
Dat er iets is wat beter is geregeld betekend niet volautomatisch dat het oudere bij juist gebruikt direct afgeschoten moet worden omdat het het digitale equivalent is van je voordeur open laten. :')

Edit: +2 voor niet onderbouwde onderbuik data en -1 voor het aan de kaak stellen van diezelfde reactie. Moderatie systeem van T.Net boekt niet echt vooruitgang.

[Reactie gewijzigd door Alpha Bootis op 26 juni 2013 09:21]

Dat nonchalant gedrag zal uiteindelijk de Apple-base nog eens zr zuur komen te staan me dunkt.
Welk nonchalant gedrag? Ik weet niet wat voor mensen jij tegenkomt, maar voor zo ver ik weet heeft zulk gedrag niet echt iets te maken met de leverancier van hard- en software van de persoon die zich dus nonchalant gedraagt en lekker willekeurig in het rond klikt op internet.
Waarschijnlijk wordt er bedoeld dat Apple users tot nu toe weinig te vrezen hadden en er dus lustig op los konden klikken. En dat als en wanneer OSX een main target wordt voor malware deze lustige klikkers er hard last zullen van hebben. (Waar was de verwarring trouwens?)
Dit geldt voor andere OS'n en systemen die ooit een main target zouden worden.
@musback

Hou toch op met die onzin. Wat kan een gebruiker met een volledig bijgewerkte PC, Windows 7, alle software 100% orgineel en up-to-date, een bijgewerkte AV eraan doen dat hij via nu.nl een virus krijgt? Ja inderdaad, dat is wat mij overkomen is, nog wel het Citadel virus die probeerde mijn banksessie te kapen.

Ik vind het zo zwak van die Microsoft boys om maar elke keer te proberen te bal bij de gebruiker te leggen. De gebruiker kan zich niet beschermen tegen zero-day exploits.
Het is een stukje realisme. Uiteraard als je een zero-day exploit via bijvoorbeeld nu.nl binnenkrijgt kan je er bijzonder weinig aan doen (al dacht ik dat die van nu.nl niet door een gepatchde installatie kwam, maar misschien was dat degene daarvoor). Echter veruit het merendeel van de virussen zijn geen zero-day exploits bij normaal gesproken betrouwbare sites. En het 'leuke' van er eentje krijgen via zo'n geval is dat normaal gesproken het ook bijzonder snel bekend is dat die zijn geserveerd.
Schakel je java en flash uit en gebruik een alternatieve pdf reader. Ik ben ook in die tijd op nu.nl geweest maar ik heb nergens last van (oef) maar gezien de nalatige reactie van nu.nl kom ik sinds die datum nooit meer op nu.nl
@Floor

In mijn werkomgeving kan ik Java niet uitschakelen, dan werkt een deel van de bedrijfssoftware niet.

En ik wil ook niet direct nu.nl de schuld geven, het probleem zit in de advertentie distributie. Als iemand daar kwaad wil, kan ook nu.nl er weinig tegen doen. En om al je plugins en javascript uit te schakelen, tja dan blijft er weinig internet over.

Het blijft een kat-en-muis spel tussen MS samen met de AV bouwers tegen de kwaadwillenden. Ik heb er ook geen moeite mee, ik weet dat Microsoft genoeg inspanning levert om zaken op te lossen. Ik kan er alleen niet tegen als mensen de schuld bij de gebruiker proberen te leggen terwijl ze donders goed weten dat zero-day exploits een heel groot probleem zijn.
Jawel hoor, je gaat naar configuratiescherm, Java.
Daar vink je op tabblad Security, Enable Java content in the browser uit.

Alle Java applicaties die op je bedrijfspc staan werken nog. Enkel werkt Java niet meer in de browser.

+ gebruik Chrome en vink de optie "Click-To-Play" aan voor alle plugins.
Hmm, veel bedrijven sofware werk ook vaak dmv een browser....
In een verouderde IE versie ;)
Gebruik dan IE, waar je per site Java kan inschakelen of niet.
Als het bedrijf het gebruikt lijkt me de kans dat deze bedrijfs programma's/sites geinfecteerd worden met advertentie malware.
nu.nl heeft meerdere malen malware verspreid , maar voor zover ik weet nog nooit via 0day exploits , dus als je echt volledig gepatched was dan had je niet geinfecteerd kunnen raken.Bovendien zijn er genoeg simpele dingen die je kan doen tegen de gemiddelde drive-by download , zoals het gebruiken van Exploitshield , een addblocker of simpelweg een goede HIPS gebruiken en juist configureren zodat nw executables niet zonder jou toestemming gerund kunnen worden.

[Reactie gewijzigd door mvh69 op 27 juni 2013 01:51]

"Hier denk ik al een stuk of 7 jaar geleden dat ik nog last had van een virus. En nee, ik ben niet vies van een vage .rar uit dubieuze bronnen en ik draai meestal enkel windows defender of security essentials. (vaak ook uitgeschakeld om bronnen te sparen)"

Ik vind dit complete larie, de enige reden dat het bij jou goed gaat is omdat je geluk hebt gehad. Maar hou ditsoort onzin voor je want mensen die het hier lezen geloven je en doen het zelfde en dat kan ze een hoop gedonder opleveren. Ooit vertrouwde ik ook op ditsoort grootspraak en had ik systemen die enkel en alleen draaiden op een geupdate versie van windows met defender en security essentials. Ging ook jaaaaren goed, tot de bom knapte en ik twee keer in een jaar met een morsdood systeem voor mijn neus zat. Ik met mijn goede gedrag naar een gerenommeerde computerzaak en nog naief vragen "Zaten er virussen op?" die man kijkt me aan en zegt bulderend van de lach "Virussen? Virussen!? Het is jah goddomme een complete kinderboerderij op die HD van jou!". En ik ben zeker een voorzichtige gebruiker en download vrijwel nooit en al helemaal geen obscure .rar's.

Sindsdien, altijd een goede up-to-date virusscanner en dat soort larie geloof ik nooit meer. Ik wil geen causale verbanden leggen zonder statistische onderbouwing, maar erna nooit meer last gehad. Maar elk nieuw systeem dat ik hier aansluit krijgt wel altijd standaard de eerste paar uur een shitload meldingen van aanvallen.

[Reactie gewijzigd door Kasparov13 op 25 juni 2013 20:35]

ik heb zelf windows 98 nog draaien al 11jaar op het zelfde systeem..
voor jou heb ik nog eens het systeem gescanned. maar geen virus.

nou larie koek is het niet.. het ligt aan de persoon die het systeem gebruikt en een goeie hardware matige firewall doet wonderen hoor ;)
Zoals ik al zei ben ik een voorzichtige gebruiker die donders goed weet wat hij doet. En ik denk dat de markt voor win98 virussen op zijn minst een neerwaardse trend vertoont de laatste jaren, die antieke scriptkiddy meuk die wordt natuurlijk al sinds jaar en dag door zo'n beetje elke software afgevangen, dus dat vind ik ook niet zo gek. Daarnaast is een goeie harwarematige firewal nou niet bepaald iets dat de gemiddelde gebruiker thuis heeft.

Daarom, voor de niet tweaker, knal er gewoon een goede AV op, kost een paar tientjes per jaar en de betere hebben ook leuke system tools ingebouwd, en dan ben je teminste 'redelijk' veilig, en het scheelt een hoop gedoe. Voor mij is een AV een typische geval van, je mist het pas als je het nodig hebt, en als je een paar keer een goed geinfecteerd systeem hebt gehad dan leer je het wel af ;) En ookal scheelt het misschien geen flikker, het voelt wel prettiger, dat alleen is me die paar tientjes al waard.

[Reactie gewijzigd door Kasparov13 op 26 juni 2013 15:35]

99 van de 100 malwares gaat uit van exploits die al gepatched zijn. Meestal komen ze als attachment via de mail of een link linksom of rechtsom en gebruikt vervolgens een exploit in de gatenkaas die Java heet of Adobe's PDF en in mindere mate Flash. Zo nu en dan ook een Windows exploit.

Kern van het verhaal is gewoon, wees alert op wat je doet online en houd je programmatuur up to date. Je bent dan met aan zekerheid grenzende overtuiging gewoon veilig.
Je moet het jezelf zeker niet moelijk maken machines af te koppelen want daar heb je echt niets aan.

[Reactie gewijzigd door Alpha Bootis op 25 juni 2013 14:17]

Als je gewoon niks download en niet surft kan je geowon die stekker in je windows PC laten hoor en gewoon online gamen...

Je denkt toch niet dat een virus helemaal uit zichzelf op je PC komt? nee dat komt door de gebruiker die alles wat los en vast zit aan klikt...

[Reactie gewijzigd door watercoolertje op 25 juni 2013 14:19]

Vertel dat de gebruikers maar die windows XP gebruikten toen het net uit was. Pc aan internet hangen, niks doen en binnen 10 minuten had je een virus te pakken.

Ik had toevallig gisteren ineens het politievirus op mijn computer, ik deed werkelijk niks bijzonders, zat een youtube filmpje te kijken en wat op tumblr te browsen. Was wel snel hersteld maar was wel even een teken voor mij om windows update weer eens even te laten draaien. Het is dat het installeren van die updates onder windows altijd zo'n vreselijk drama is anders liet ik dat automatisch gebeuren. Herstarten vereist, zo niet dan een irritant ding wat om de 10 minuten terug komt, updates op updates, het duurt eeeeeeeeeeeuwen voordat alles binnen is en geinstalleerd is (op mijn netbook gisteren 4 uur (!) bezig geweest voor alle updates er op stonden en die was echt al meerdere keren bijgewerkt) . Als Microsoft dat eens zou verbeteren zette niet heel veel mensen het uit!

Waarom kan ik onder linux wel binnen 10 minuten alle nieuwste updates binnenharken en moet het onder windows zo vreselijk lang duren??
Blaster is het virus waar je naar refereerd en dat betrof een ernstig gat in Windows XP ergens een miljard jaar geleden. Dit is 100% een uitzondering op de regel.
Dat politievirus word binnengeharkt via z.g.n. Downloaders. Het betekend dus niet dat je het opgelopen het op het specifieke moment dat je er last van hebt gehad.
Downloaders kunnen dagen of maanden op je PC staan en niets doen totdat het opeens een commando krijgt.
De regel is gewoon dat je een linkje hebt geklikt, Nu.nl weer zit te falen en malware zit te versprijden of dat je antieke software hebt die e.e.a mogelijk maakt i.c.m. andere genoemde scenario's.
Het is niet altijd verwijtbaar maar het gebeurd in de regel niet "zomaar".

Weet niet hoe lang die netbook van je niet bijgewerkt is maar ik heb elke week een patch of 3 die automatisch installeren op mijn gaming rig. Het up-to-date houden van mijn Windows iteratie kost mijn helemaal geen tijd.
Doe jij met Linux maar eens een distro update van een wat achterstallige verzie, ben je ook makkelijk een uur of 2 verder. Ben zwaar voorstander van Linux overigens dus zit niet Windows te verdedigen, voordat je denkt zo'n conclusie te kunnen trekken. :)

[Reactie gewijzigd door Alpha Bootis op 25 juni 2013 14:43]

Alpha Bootis

Linux Mint update helemaal automatisch en doet dat sneller dan Microsoft, ik zou zeggen probeer het eens.

En zoals ik al boven opmerkte, een virus zoals Citadel verspreid zich gewoon via de adservers van normale sites zoals nu.nl. Die kunnen niet elke reclame link controleren en doen dat dus ook niet. Ondanks een volledig gepatched systeem ben je gewoon kwetsbaar door het gebruik van zero-day exploits.
Heb je mijn reactie uberhaupt in zijn geheel gelezen? :) Daar zie je dat ik erken dat NU.nl geregeld zit te falen, en ervaring heb met Linux.

[Reactie gewijzigd door Alpha Bootis op 25 juni 2013 19:35]

Was wel snel hersteld maar was wel even een teken voor mij om windows update weer eens even te laten draaien. Het is dat het installeren van die updates onder windows altijd zo'n vreselijk drama is anders liet ik dat automatisch gebeuren. Herstarten vereist, zo niet dan een irritant ding wat om de 10 minuten terug komt, updates op updates, het duurt eeeeeeeeeeeuwen voordat alles binnen is en geinstalleerd is (op mijn netbook gisteren 4 uur (!) bezig geweest voor alle updates er op stonden en die was echt al meerdere keren bijgewerkt) . Als Microsoft dat eens zou verbeteren zette niet heel veel mensen het uit!

Waarom kan ik onder linux wel binnen 10 minuten alle nieuwste updates binnenharken en moet het onder windows zo vreselijk lang duren??
Wellicht duurt het vier uur omdat je weken, zo niet maanden aan updates aan het binnenhalen bent?
In Linux (Ubuntu) zijn kleinere updates idd binnen enkele minuten klaar, en ze zijn daarnaast minder recourse heavy. In Windows ( 8 ) moet je voor twee kleine updates een half uur wachten, en daarnaast slokt het een groot deel van alle recourses op.

Dat is iig mijn ervaring, maar het kan best zijn dat dit per mens en per machine verschilt.

[Reactie gewijzigd door L3TH4L_BR op 25 juni 2013 15:33]

Is ook mijn Windows ervaring.
En daar komt het herstarten ook nog eens bij.
Wil je je PC uitzetten, kan dat niet want hij is de updates nog aan het verwerken.
En dan begint het hele drama ook weer als je hem daarna weer een keer aanzet, 5 minuten is geen uitzondering.

Voor mij de reden om Windows alleen nog virtueel te draaien (en updates uit), voor de zaken waarvoor het moet. Eens in de zoveel tijd weer een oude snapshot terugzetten. Ben ik altijd virus vrij :)
Als je gewoon maandelijks je Windows update, zijn de updates echt geen half uur bezig.

Als je inderdaad je Windows nauwelijks update en je Ubuntu elke fokking dag, is het niet bepaald een eerlijke vergelijking nou. of wel?
haha De Kernel van Linux is natuurlijk wel vele malen kleiner en minder complex dan die van Windows, dus ja, dat update wat sneller en effectiever. Windows is een van de meest bloated programma's die er zijn, maar dat heeft ook een doel, vrijwel alles wat je aansluit werkt en stuurprogramma's, codecs en allerhande plugins zijn zeer ver geintegreerd, dat heeft Linux dan weer niet.

Appels...peren?
Je denkt toch niet dat een virus helemaal uit zichzelf op je PC komt? nee dat komt door de gebruiker die alles wat los en vast zit aan klikt...
in definitie maakt een virus gebruik van externe applicaties om op je PC te komen.
Worms gaan actief het internet af lopen opzoek naar Systemen waar ze zich zelf op kunnen dupliceren.
Maar een beetje "virus" maakt gebruik van virus en worm technieken om zich zelf te verspreiden.
ook niet altijd, sommige spellen openen een webpagina voor bepaalde acties (bijv in-game geld aanschaffen of om nieuwe acties te promoten)
als een hacker toevallig een systeem in je netwerk heeft zitten of een geinfecteerd systeem in je netwerk is het alleen maar afwachten...
of het nu is dmv een java drive-by dmv dns spoofing/poisoning of een vage exploit uiteindelijk is het heel simpel: waar een wil is is een weg.

zelfs zonder internet is het niet te garanderen dat een systeem malware vrij blijft.
zo heeft razer al een keer malware bij drivers geleverd en is een usb stick ook niet altijd virus vrij (u3 sticks kunnen ook autorun forceren)

uiteindelijk kun je wel veel voorkomen door bijv. java uit te zetten.
alleen bepaalde dns servers te accepteren (ik heb bijv. comodo dragon met hun secure dns)
het gebruiken van een firewall en alle onnodige poorten dicht te gooien(comodo fw heeft zich bij mij meerdere keren bewezen door 0/40 fud* malware alsnog te detecteren)
*0/40 fud: volledig ondetecteerbaar bij 40 virusscanners (scan en runtime)
md5 checksums genereren en vergelijken van alle software dat uitgevoerd word op je systeem.
kabel gebruiken en wifi uitzetten indien mogelijk (wps ALTIJD uitschakelen)
of wifi met een goed password beveiligen en regelmatig logs bekijken.
Dit klopt helemaal, zeker het Comodo gedeelte. Heeft zich bij mij ook vaak bewezen door door virus/malware scanners ondecteerbare zooi toch te ontdekken door in en outgoing connecties.

illegale software (keygens, cracks) zitten echt vol met die meuk. Veel gebruikers denken ow zal wel een false/positive zijn maar vergis je niet.

Ook vrij logisch, als ik maanden bezig was om iets te kraken waarom zou ik het met iedereen delen zonder er zelf profijt van te hebben? Dat kunnen ze juist goed gebruiken om een botnetwerkje op te bouwen en zo wat extra inkomsten naar binnen te tikken.

Maar ook op normale sites zie je steeds vaker dat gebruikers besmet raken (afgelopen 2 jaar via Nu.nl 2x al gebeurd).
ALs de source code bekend is lijkt het me makkelijker voor partijen als MCafee e.d. om er bescherming voor te schrijven?

Edit: mischi mara was me voor in de fipo. Mod maar weg dit...

[Reactie gewijzigd door j-phone op 25 juni 2013 13:56]

Dit is zo'n malware framework gemaakt door programmeurs die zelf geen vieze handen willen. Daar zijn er al veel van. Gaat waarschijnlijk niet meer malware door in omloop komen.
Zeer zeker wel. Als er private frameworks publiek worden gemaakt, maken de scriptkiddies hier massaal gebruik van. Het scheelt die scriptkiddies namelijk een hoop werk, ze hoeven alleen de code te shufflen en wat stukjes code encrypten en hij is weer moeilijker detecteerbaar voor de Anti Virus companies.

Nadat bovenstaande gebeurd is, worden de plugins op zijn dode gemak weer toegevoegd. Waarna het voor iedereen een issue wordt. :*)
Er zijn inmiddels al +200.000 nieuwe exemplaren per dag, dus een beetje meer of minder worden we ook niet veel anders van.

https://www.security.nl/a...aren_per_dag_ontdekt.html
Die nieuwe exemplaren per dag bestaan vooral uit RAT's(Scriptkiddie tools), en ander soortgelijke malware. Niet het grote werk, waarvan dit Framework er 1 van duizenden is.
daarvan is het merendeel dezelfde malware wat een andere signature heeft verkregen door een crypter of een lichte aanpassing van de source, malware makers roepen dat alleen om hun bloatware te verkopen. (uiteindelijk doet een goede firewall meer als een antivirus sinds die altijd achter de feiten aanloopt)
Er zijn inmiddels al +200.000 nieuwe exemplaren per dag, dus een beetje meer of minder worden we ook niet veel anders van.

https://www.security.nl/a...aren_per_dag_ontdekt.html
Een onderzoek volgens Kapersky Lab. Dat zegt toch genoeg. Wij van WC Eend ....
8612320/Win32.Carberp_sources op TPB, voor de nieuwsgierigen.
ze zijn nogal snel met die weg te halen blijkbaar... mirror? :-)
De link in het artikel zelf aanklikken en naar onder scrollen, staat gewoon in de reacties daarop vermeld.
Hmmm, zit er doorgaans in zo'n RAT ook geen optie om remote de agent te wissen en alle sporen te verwijderen?
In zo'n geval kunnen een boel botnets misschien wel onklaar gemaakt worden.

(al klinkt dit zelfs mij redelijk naief in de oren)
Botnets kennen authorisatie, encryptie, anoniemisatie, update/versie beheer. Het is gewoon netwerkbeheer software waar alle moderne technieken worden toegepast, omdat er gewoon grof geld mee te verdienen valt.
Inmiddels heb ik de RAR binnen gehaald. Het concept is erg aardig, de komende dagen eens kijken welke bijzonder vondsten ze hier in verwerkt hebben. Een aantal van de IP's en URL's in de code zijn of lijken nog operationeel.

Het wachtwoord van de RAR bevat een kleine fout ... er moeten drie spaties tussen de K en O staan dan kan de RAR uitgepakt worden.
Ik dacht dat het zo goed als onmogelijk was om bankgegevens (challenge - response) te ontcijferen? Kan iemand uitleggen hoe dit loopt?
Gebruiken ze de kracht van hun grid om deze te ontcijferen?

Op dit item kan niet meer gereageerd worden.