Meer informatie over de nieuwe NTFS-virussen

Via een E-Mailtje bracht de persvoorlichter van Kaspersky Lab mij op de hoogte van een nieuw persbericht over de NTFS-virussen die vorige week ook al in het nieuws waren. In het bericht wordt onder andere geschreven dat de ADS-virussen (Alternate Data Stream) zeker niet zo onderschat moeten worden als de meeste grote anti-virus bedrijven op dit moment nog doen. Volgens een woordvoerster is het betrekkelijk eenvoudig om via de onderliggende lagen van het bestandssysteem een virus te programmeren dat zo door de detectie van alle huidige scanners heen komt. Door middel van een test heeft Kaspersky dit al bewezen. Een nieuwe versie van Kaspersky's AVP met ADS-ondersteuning zal hierom binnen zeer korte tijd uitkomen:

Kaspersky Lab considers it necessary to reconfirm its position on this matter and declares once more that the use of ADS in Windows 2000 by virus writers poses a serious potential threat for both home users and coporate–wide networks. By continuing to ignore this new method of infection, anti-virus companies risk another virus epidemic.

The main argument--which some anti-virus experts are putting forward refuting the seriousness of the threat--is the necessary modification of the main NTFS stream by the implantation of a "starting code," which activates the virus from the ADS. So, the reasoning goes, anti-virus scanners will detect this modification. This argument is flawed, because the procedure for the finding of the "starting code" seems to be extremely problematic, since this code does not differ from any other subprogram calling data from the ADS. Just imagine how many false positives will occur by using this method of detection.

“Unlike creating an antidote for a new macro-virus that takes just a couple of minutes, anti-virus companies will require at least one week to add ADS support. When true ADS-viruses appear, users will be without any protection until their anti-virus software has been upgraded," said Denis Zenkin, Head of Corporate Communications for Kaspersky Lab. "We consider that the scanning of all alternative streams has to become an essential attribute of every up-to-date anti-virus software. Taking this into account, we have already added the anti-virus support for NTFS alternative streams to Kaspersky Anti-Virus 3.5 (AVP), which will be released this week."[break]Overigens wordt mij in de E-Mail ook nog eens duidelijk gemaakt dat de persberichten over de W2K.Stream-virussen niet bedoeld zijn om aandacht te trekken, zoals veel concurrenten beweren. Al eerder voorspelde Kaspersky Labs bepaalde virusgeneraties, en kwamen deze voorspellingen ook uit. Zo had het bedrijf aanvallen via internetwormen en script-virussen al voorspeld. Ook toen werd het bedrijf voor gek verklaard, maar uit de enorme heisa over het I Love You virus is het ongelijk hiervan wel bewezen:[/break]We would also like to note that it is this very Kaspersky Lab information-policy principle-which KL has had from the very beginning-that underscores our validity. In 1997, we warned about the danger of Internet-worms spreading, and today more than 80% of all active viruses have the possibility of self-sending via e-mail. In 1998, we were once again accused of causing "virus-hysteria," because of our prediction about the development of script-viruses. Today, 70% of all virus attacks occur in this form. And concerning the "Chernobyl" virus that was first detected by Kaspersky Lab experts in 1998; even at that time, many people refused to believe in its existence altogether.
Kaspersky Lab

Door Mark Timmer

Feedback • 12-09-2000 12:34 23

12-09-2000 • 12:34

23

Bron: Kaspersky Lab

Lees meer

Rootkit maakt mogelijk stap naar BIOS
Rootkit maakt mogelijk stap naar BIOS Nieuws van 28 januari 2006
LoveLetter-script ruim jaar oud: tijd voor een overzicht
LoveLetter-script ruim jaar oud: tijd voor een overzicht Nieuws van 5 mei 2001
Nieuw zichzelf updatend virus
Nieuw zichzelf updatend virus Nieuws van 17 november 2000
Nieuwe generatie virussen voor Windows NT / 2000!
Nieuwe generatie virussen voor Windows NT / 2000! Nieuws van 6 september 2000
Meer producten en artikelen
Software

Reacties (23)

-Moderatie-faq
23
23
16
5
0
0
Wijzig sortering

Sorteer op:

Weergave:
AuteurVerwijderd 12 september 2000 13:13
Doordat steeds meer particulieren NTFS gaan gebruiken (Windows 2000), komt dit soort virussen natuurlijk erg in trek.

Het doel van een virusmaker is toch vaak zoveel mogelijk "klanten" te krijgen. Ik ben benieuwd of we hier nog veel van gaan horen.
The Flying Dutchman 12 september 2000 14:58
Als ik het goed begrijp voorspelt Kaspersky Labs dat er een bepaald soort virussen in opkomst is. Is het dan niet zo, dat juist door deze voorspelling een aantal mensen op een idee komen en het inderdaad eens gaan proberen? Of zie ik het nu verkeerd?
Gert 12 september 2000 12:49
Hoeveel zou die Fillipijn van hen gekregen hebben voor het rond sturen van dat virus? }>

Waarom komen ze nu pas achter die NTFS virsussen als ntfs al vrij lang bestaat? Of is het alleen toepasbaar op NTFS 5 in windoos 2000?
AuteurVerwijderd @Gert12 september 2000 12:52
Dit wordt niet zo duidelijk vermeld. De ene keer wordt er gesproken over "NTFS-virus" en de andere keer over "Windows 2000 virus".

Ik ga er echter wel van uit dat het virus alleen kan werken in Windows 2K, maar ik ben er niet helemaal zeker van.
Jaymz @Verwijderd12 september 2000 12:56
Als mijn geheugen goed is, was het Win2k EN Win NT4. Dus gewoon NTFS, welk OS met NTFS maakte niet uit. Het ging om de zogeheten Streams in NTFS.

Volgens deze link: www.kaspersky.com/news.asp?tnews=0&nview=1&id=108&page=0 Te volgen via gerelateerde nieuwspostings lees ik dat het om NTFS gaat.
AuteurVerwijderd @Jaymz12 september 2000 13:06
Ach, ik zou het niet erg vinden, picobyte. Heb ik weer wat leuks om over te schrijven :).
picobyte @Jaymz12 september 2000 13:02
Kan nog leuk worden want VMS gebruikt een bijna identiek bestands systeem en daar draaien nogal wat servers op in de financiele wereld :)

Zou volgens mij tevens ook een primeur zijn !
Het eerste VMS virus? :o
Eagle0 @Jaymz12 september 2000 18:08
Ja, dat klinkt heel slecht. Ik wil niet eens nadenken over wat er zou gebeuren, als Wall street er een halve dag uit zou liggen. :o

Ik hoop dat virusmakers verstandig genoeg zijn, om in te zien, dat dat ook heel slecht voor hun is. (Behalve als ze natuurlijk uit een of ander midden-oosten land komen als iraq ofzo :( )
picobyte @Jaymz13 september 2000 12:58
Daar heb je wel gedeeltelijk gelijk in.
Maaruh voor een beetje programmeur die wat van VMS weet is het heel makkelijk om aan de x86 viruscode nog een staartje te hangen die in de gaten houdt of de gebruiker naar een VMS bak telnet waarna hij z,n lading dumpt :(
Verwijderd @Jaymz12 september 2000 19:18
ik kan alleen over open vms praten,zoals gebruikt bij digital vax atations,, maar dat is toch een andere structuur , vooral de opbouw van het OS bedoel ik dan , ik denk dat dat virus geen effect heeft .
EfBe @Verwijderd12 september 2000 12:58
Streams worden al gebruikt sinds 3.1. Bv CreateDirectoryEx() heeft NT 3.5 nodig, maar bv StgCreateStorageEx() heeft weer windows2000 nodig, omdat het specifieke NTSF5 functionaliteit gebruikt.

Maar bv in Knowledgebase (KB) article ID: Q105763 'HOWTO: Use NTFS Alternate Data Streams', staat dat de informatie van toepassing is vanaf NT 3.1, de initiele release.

[edit: version typo ]
EfBe 12 september 2000 12:53
The main argument--which some anti-virus experts are putting forward refuting the seriousness of the threat--is the necessary modification of the main NTFS stream by the implantation of a "starting code," which activates the virus from the ADS. So, the reasoning goes, anti-virus scanners will detect this modification. This argument is flawed, because the procedure for the finding of the "starting code" seems to be extremely problematic, since this code does not differ from any other subprogram calling data from the ADS.
Dus, kasperskylab heeft gelijk omdat zij vinden dat hun redenering juist is en de redenering van virusscanner software bouwers (een gesloten wereld van specialisten) niet. Klinkt mij wat hol in de oren, zeker vanuit de mond van kasperskylab zelf

Tuurlijk zijn ze kundig, echter er gaat wel wat mank in hun redenering:
1) De virusscan wereld is er een van een select groepje topspecialisten en niet een van een grote groep middelmatige programmeurs. Je kunt er rustig van uitgaan dat wanneer een topspecialist van bv Symantec zegt dat het wel meevalt, DAT het ook wel meevalt.
2) Kaspersky lab baseert zn correctheid op het feit dat de startup code (de code die het virus in memory plaatst en aangezien het IN het process zit wat gebruik gaat maken van de streams, kan het daarop inspelen) moeilijk te tracen is. Maar... elk virus heeft startup code nodig. Dat is dus ALTIJD moeilijk te tracen, echter men past andere truuks toe om virii op te sporen dan de default thunk check methodes (die allang uitgemolken zijn).

maw: de kracht van de opmerkingen van kasperskylab hangt af van de opmerking of virusscanners op dit moment wel of niet bij machte zijn een virus te herkennen wat van streams gebruik gaat maken.

IMHO is die kracht niet zo erg groot. (mede omdat dit probleem al lang speelt en er al veel over te doen is geweest.)
AuteurVerwijderd @EfBe12 september 2000 12:59
Dus, kasperskylab heeft gelijk omdat zij vinden dat hun redenering juist is en de redenering van virusscanner software bouwers (een gesloten wereld van specialisten) niet. Klinkt mij wat hol in de oren, zeker vanuit de mond van kasperskylab zelf.
Dit is niet waar. Het gaat juist om de laatste regel van die alinea, die vergeet je te quoten:
Just imagine how many false positives will occur by using this method of detection.
Kaspersky heeft dus wel gelijk, en ook gebaseerd op feiten. De anti-virus firms zeggen dat de startup code zo te onderscheppen is, maar dit is dus niet waar. Deze code in niet te onderscheiden van startup codes die niet van een virus zijn. Hierdoor worden de virussen dus over het hoofd gezien, of krijg je oneindig veel valse virusmeldingen.
EfBe @Verwijderd12 september 2000 13:06
Hoezo, 'dit is niet waar' ? ze beweren dat de startup code identiek is aan code dat ook gewoon een stream gebruikt. Echter: dat kan wel zijn, maar het virus IS dan al geladen. en DIE startup code, DAAR gaat het over. Als het virus niet is geladen, big deal, de code zit dan niet in memory en komt er ook niet. Waar het hier om gaat is dat een virus dmv ADS rechtstreeks in bv een executable file kan schrijven DOOR het gebruik van een stream, en die stream wordt dan NIET onderschept door de virusscanner.

Maar... zo werkt een virusscanner niet, althans ze gebruiken ook vele andere methoden. Tuurlijk wordt disk i/o gemonitored echter er is meer dan monitoring van datastreams.

Ik blijf erbij dat als je een executable op je harddisk zet, en je start een virusscanner op en die virusscanner gaat de executable scannen dat hij het virus gewoon vindt, op basis van allerlei zaken: thunks van code, specifieke datasequences etc. Dat wordt bedoeld met de 'opstart' code. IMHO heeft kasperskylab in theorie gelijk, in de praktijk niet, omdat het virus niet in actie KAN komen omdat het VOORDAT het tot leven wordt gewekt in memory al opgepakt is, het moet nl via de reguliere startup methode worden gestart door zn host.
AuteurVerwijderd @EfBe12 september 2000 13:10
Dan moet je natuurlijk wel een TSR-virusscanner aan hebben staan. En zoals Kaspersky al meldt, veel bedrijven hebben dit niet om de systeembronnen zo min mogelijk te belasten. Er wordt dan 's nachts gescant, als het virus dus waarschijnlijk al geactiveerd is.

Als ik het goed begrijp ziet de scanner het virus dan wel over het hoofd.
EfBe @EfBe12 september 2000 14:33
De grotere bedrijven met een netwerk op windows(NT) systemen, hebben veelal een policy dat virusscanners wel degelijk draaien op de client. TSR is iets van de dostijd, tegenwoordig zijn virusscanners gewoon sublayers in het OS.

Ik begrijp de opmerking dan ook niet dat 'veel' bedrijven niet scannen op de client 'ivm systeembronnen' en servers alleen snachts scannen.

Een lek netwerk is kwetsbaar voor ELK virus, dus ook voor dit type virii, dus dat is niet speciaal, en een goed beheerd netwerk is NIET kwetsbaarder met deze virii omdat ze een goede scanpolicy hebben. Dus levert dit soort virii geen extra kwetsbaarheid op, indien je goed nadenkt over virusprotectie. Als kaspersky aanvoert dat dat er wel aan schort en dat netwerken dus op die manier kwetsbaar zijn, tja, dat zijn ze dus dan ook voor andere virii.
Verwijderd @EfBe12 september 2000 21:11
1) De virusscan wereld is er een van een select groepje topspecialisten en niet een van een grote groep middelmatige programmeurs. Je kunt er rustig van uitgaan dat wanneer een topspecialist van bv Symantec zegt dat het wel meevalt, DAT het ook wel meevalt.

Tja, alleen jammer dat ze een groot commercieel belang bij bepaalde zaken hebben. De grote specialisten zitten niet echt bij Symantec of andere antivirus bouwers. Kaspersky heeft (en ik heb veel van hun rapporten gelezen) een beter inzicht in de richting waarin virussen zich bewegen. Als ze bij Symantec en Co zo slim waren hadden ze allang met hun scanners de lekken in bv. VBscript gedicht.
Verwijderd 12 september 2000 12:53
Tja, ik gebruik AVP anti-virus op mijn copy-bak. Het is gewoon de meest up-to-date virus / trojan horse-scanner, hij herkent echt alles. Maar op mijn werksysteem wil ik hem niet hebben, want hij veroorzaakt teveel conflicten met andere software en maakt het systeem te traag.

Ze zouden het eens goed moeten debuggen, en een echte un-install maken etc. McAffee is veel stabieler, maar wat heb je eraan als hij de nieuwste virii niet ziet. :r
Jrz 12 september 2000 12:58
Mensen, dit soort virii kunnen op alle NTFS volumes worden gedraait (NTFS4 of hoger)

.. lees mijn post van vorige keer meaar
Verwijderd 12 september 2000 13:04
je hebt voor Zowat alles wel virussen. zelfs GSM's kunnen er last van hebben :)

was pas iets over Nokia gsm's.. maar dat was niet echt een virus meer een fun proggie om je gsm te laten vastlopen
Verwijderd 12 september 2000 13:16
Zijn we hier in een welles <-> nietes spelletje beland?

Zo lang het tegendeel niet is bewezen, wil ik best luisteren naar wat Kaspersky labs te melden heeft! Pijn doet het tenslotte niet, kost me alleen wat tijd, da's alles! Ik zou me doodschamen als ik níet geluisterd had en deze heren inderdaad gelijk krijgen, en m'n Pc'tje inderdaad morgen besmet raakt met een dergelijk virus, ondanks de 'bescherming' en wijze woorden van de andere anti-virus software-boeren!

Gewoon met z'n allen realistisch blijven, alert blijven en goed opletten wat er gebeurt, da's echt niet te veel moeite dunkt mij!

* 786562 rené
Beaves 12 september 2000 13:33
Ze hebben het altijd goed "voorspeld" omdat ze die virussen ze;f gemaakt hebben }>
Verwijderd 12 september 2000 21:05
Dat zie je inderdaad verkeerd :)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq