Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 117 reacties
Bron: Security.nl

Security.nl meldt dat een Nederlander zegt dat hij verantwoordelijk is voor het Kournikova virus. Hij zegt het virus te hebben gemaakt met de uit ArgentiniŽ afkomstige 'Visual Basic Worm Generator' omdat hij zelf niet kan programmeren. Hij heeft het virus 'geschreven' naar aanleiding van een onderzoek van IDC waaruit bleek dat internetgebruikers niets geleerd hebben van eerdere virussen. Hieronder een gedeelte uit het artikel:

In de nieuwe Usenet searchengine van Google vonden we een groot aantal postings in o.a. alt.hack.nl van iemand die zich OnTheFly noemt en zich nogal in virussen lijkt te interesseren... Hij vraagt in de nieuwsgroep alt.comp.virus.source.code onder andere "Hi, I have this little question: What programm do you use to get the source code from an *.exe file?? Thanks for any replies..!". [break] Ook op CNET is een artikel verschreven over de Nederlandse 'virusschrijver' OnTheFly: [/break] It's going to be more widespread than Melissa but less than the LoveBug," said Vincent Weafer, director of the Symantec AntiVirus Research Center.

As of 11:15 a.m. PST, major antivirus software makers had either posted patches to detect the virus or were already detecting it with the latest version.

"We are working on detection right now," said Weafer.

Op teletekst is inmiddels te lezen dat OnTheFly is opgepakt:

OnTheFly opgepakt

Thanx Baschie voor de tip.

Moderatie-faq Wijzig weergave

Reacties (117)

1 2 3 ... 6
Wat gek dat iemand die geen verstand heeft van programeren, toch nog heel veel mensen kan benadelen met zo'n virus. Zegt ook wat over de mensen, want als je er .vbs achter ziet staan dan moet je toch al wantrouwig worden. Zeker na het I Love You gebeuren.
Ik krijg trouwens nooit mailtjes thuis met virussen. Waarschijnlijk komt dit omdat mijn adres alleen bekend is bij mensen die wat verstand van computers hebben. En die mensen openen dit soort dingen niet :)
Wat gek dat iemand die geen verstand heeft van programeren, toch nog heel veel mensen kan benadelen met zo'n virus. Zegt ook wat over de mensen, want als je er .vbs achter ziet staan dan moet je toch al wantrouwig worden
Tja, als je breekijzers gewoon in de winkel kunt halen is op een grove manier inbreken ook erg makkelijk. Waar het hier om gaat is dat iemand zonder enige kennis blijkbaar een toolkitje kan gebruiken om zoiets in elkaar te draaien.

Verder zijn de mensen gewoon erg lui en denkt een hele grote groep helemaal niet na over security. Zodra je inspeelt op de nieuwsgierigheid van mensen is er blijkbaar een boel mogelijk.

MS heeft natuurlijk die security update uitgebracht voor Outlook, maar een grote groep (thuis)gebruikers heeft dat nooit geinstalleerd. Je kunt je afvragen in hoeverre MS verantwoordelijkheid draagt door het introduceren van dit soort functionaliteit in een mail-client.

Mail was volgens mij altijd iets dat alleen tekst kon bevatten, eventueel met wat aanhangsels, maar daar schijnt men in Redmond een beetje anders over te denken....

En ja, ik weet dat de gebruiker het doet, maar het wordt de gebruiker ook wel erg gemakkelijk gemaakt om het fout te doen.
- Microsoft heeft wel via Exchange en later via outlook uitgevonden om HTML binnen email te gebruiken dus ook ondersteuning voor verborgen Java scripts ed.
- Microsoft heeft wel het gebruik van internet in de OS geÔntergreerd.
- Microsoft heeft ook ActiveX uitgevonden wat naast Internetfuncties ook binnen Office applicaties met elkaar laat communiceren.
- Microsoft heeft ook binnen alle applicaties de ondersteuning voor Visual Basic.
- En M$ heeft de eigenschap om bij een standaard installatie de extensies niet te laten zien en er dus *.jpg staat ipv *.jpg.vbs

Allemaal feiten waardoor Windows zo lek als een mandje is voor simpel in Basic geschreven programma'tjes :)
Aangezien iedereen steeds meer functionaliteit wilt zitten er natuurlijk altijd nadelen aan deze ontwikkelingen. MS heeft al genoeg oplossingen aangedragen voot dit soort problemen en deze kinderlijke virusjes zijn ook echt makkelijk te onderscheppen.

Je kunt ook iets te ver gaan in je Anti-MS-Syndroom..
Maar wil degene die de volgende keer een ontiegelijklekkerding.jpg.vbs virus produceerd, dan graag de extensies wisselen en er een vbs.jpg virus van maken...uiteraard met een echt plaatje natuurlijk...Is een stuk leuker dan in je inbox kijken, denken een leuk plaatje te zien, en vervolgens .vbs te zien staan en zwaar gefrustreerd je PC van het bureau af te duwen :) Ben benieuwd of ie hier ook schadevergoeding voor moet gaan betalen, trouwens ;) (iemand interesse in het annakournikova.vbs.jpg virus? Heb er wel 1)

Enne...Is wel grappig allemaal, maar ik geloof niet dat alle .vbs bestanden verwijderd worden door VScans...Is zo lullig als ik een vbs script door moet sturen naar een collega. Dus...als een virus niet bekend is, dan is het maar afwachten offie er wel uitgepikt wordt.
MS heeft dat wel allemaal uitgevonden, maar MS heeft nooit het verspreiden van virussen, wormen en trojans ondersteund of aangemoedigd.

Je kunt Magnum toch niet vervolgen voor het vermoorden van mensen? Of de Gamma voor het verkopen van breekijzers? (De echte inbrekert kenniet zonder Gamma)

En dat VBS gezeur. Weet je wel hoeveel EXE filetjes mensen elkaar sturen met "leuk" als subject? En iedereen opent die dingen gewoon, terwijl die godweetwat kunnen aanrichten.
Je kunt Magnum toch niet vervolgen voor het vermoorden van mensen?

waarom niet ? waar zijn die goedkope colts dan anders voor bedoeld, dan om mensen neer te schieten ?
Als je in outlook file types "verbergt", en .vbs is een bekend file type, dan zie je volgens mij dat .vbs niet eens... Net als in de "Verkenner". Dan zou je dus aan het icoontje moeten zien, dat het niet een echte jpg (of .txt in "life stages") is, maar een script. |:(
Zie je dus wel (althans in Outlook 2000, in mijn geval)
De meeste mensen gebruiken Outlook Express, waar je het niet in ziet
Het virus doet verder inderdaad niets. Alleen doorsturen naar alle mensen in je adresboek en een paar reg-settings.

Zie ook:

http://vil.nai.com/vil/virusChar.asp?virus_k=99011

Beetje standaard virus-scanner haalt deze virusjes er wel uit. Het lijkt me ook sterk dat grote bedrijven door dit virus "getroffen" worden.

* 786562 Rene
Veel grote bedrijven hebben vaak wel degelijk last van dit soort virussen. Het blijkt in de praktijk lastig te zijn om antivirussignature's met 100% zekerheid te updaten op alle stations, daarnaast is het zo dat veel grote bedrijven vaak iets achterlopen op OS gebied (bijv. windows 95 gebruiken), waarbij gebruikers vaak zelf lopen te knoeien op de systemen (waardoor antivirusprogramma's niet goed werken). Daarnaast is bij grotere bedrijven de kans ook groter dat een "domme" gebruiker dit soort mailtjes opend.

Een ander mailpakket dan outlook/exchange gebruiken lost uiteraard wel het probleem tijdelijk op (totdat zo'n pakket zo populair wordt dat dit soort knoeiers daar weer speciaal virussen voor schrijven), maar niet de oorzaak !
Of je zorgt ervoor als bedrijf zijnde dat alle binnenkomende e-mail eerst in een apart bak wordt geplaatst ... vervolgens door een virusscanner wordt gehaald ... en als ze virusvrij zijn dat ze dan verdeeld worden onder de gebruikers.

b.v. zoals guinevere doet voor groupwise van novell en zo heb je ook pakketten voor outlook/exchange en vast ook wel voor lotus notes

een bijkomend voordeel dan dit soort pakketten is dat je alle niet toegestane dingen zoals .exe, .com, .mp3, .avi enz. enz. er ook gelijk vanaf kan strippen.
Beetje standaard virus-scanner haalt deze virusjes er wel uit. Het lijkt me ook sterk dat grote bedrijven door dit virus "getroffen" worden.
Hmm da's de theorie... in de praktijk is het helaas zo dat er genoeg virusscanners helemaal net geupdate worden :( zit er een definitie file bij uit 1989 of zo ;)

of:
Note: Ensure that the extensions .VBS is included when scanning. This is a default setting with product version 4.5 and later.
Da's dus van nai.com . Moet je dus wel versie 4.5 hebben, anders neemt 'ie 'm nog niet (standaard) mee tijdens het scannen :(
gewoon zoeken op *.vbs en dan alle bestandjes met dubbele extensie wissen. Daarna ff reg key wissen en klaar is kees
Mmm, op de site die Rene vd Veen had genoemd (McAfee site) staat het volgende:
On January 26th, the script attempts to connect to the web site http://www.dynabyte.nl
Wat zullen ze daar mee bedoelen?
Het mag zielig zijn, het is nogg zieliger dat mensen niet doorhebben dat als ze kournikova.jpg.vbs opstarten geen plaatje te zien krijgen.
Feit is, dat op de meeste peecees van standaard leken, de extentie van bekende bestanden (waaronder dus ook vbs) weggelaten wordt. Zo krijg je dus te zien Anna Kournikova.jpg (en de vbs wordt hier vanaf gehaald). Slimme leek die dit doorheeft in mijn ogen...
Slimme leek die dit doorheeft in mijn ogen...
Precies. Al die mogelijkheden zijn leuk en aardig, maar de gemiddelde gebruiker heeft echt niet meer door wat er op zijn systeem gebeurt.

Bij 'I love you' woedde er een hele discussie in comp.os.linux.advocacy over het gedraag van outlook met betrekking tot attachements. Een goed punt dat daar naar voren werd gebracht is het volgende: wat denk je dat de optie 'Open' doet als je rechtsklikt op zo'n vbs aanhangsel?

De mening onder de Unix-gelovigen was dat er dan een editor gestart moet worden die laat zien wat de inhoud van de file is. MS denkt daar blijkbaar anders over en laat de WSH vrolijk het scriptje draaien, met alle ellende als gevolg.

Ik denk dat het voor MS tijd wordt om de gebruikers eens duidelijk voor te lichten over wat hun software nu precies doet. Ik vind het heel vreemd dat je bij een OS van x honderd gulden standaard alleen maar een boekje krijgt waarin de meest basale dingen staan. De online-help is al niet veel beter.
Dat dacht je maar, stuur maar eens een mailtje met een jpg naar jezelf toe.

Hoewel het formaat bekend is bij Windows, zet hij in Outlook wel de extensie erbij. (ik heb getest met en zonder extensies weergeven, en bij beide liet hij netjes de extensie zien.

Als jij een ander programma gebruikt als Outlook, zal je de extensie misschien niet zien, maar dan heb je zoiezo al minder kans dat dit virus zomaar iets doet.
HHmmzz .. daar zit wat in natuurlijk :)
Had ik niet eens aan ged8 .. (ik heb de extentie van bekende bestanden weergeven altijd aanstaan) ;)
Maar ik sla "AANHANGSELS :P" altijd eerst op voordat ik ze open (ff eigenschappen aanklikken enzo) en dan staat daar wat voor file het is)
Ik heb gewoon mijn standaard actie voor vbs ingesteld op view in notepad... is meteen ook interressant om te zien hoe dit soort dingen werken, je leert zowaar een aantal handige vba trucjes.

Voor diegene die dat ook willen kan dat natuurlijk in het folder options menu in explorer. (niet de meest logische plaats, maar toch)

Jesse
En als je wscript.exe renamed naar .old ben je helemaal van de ellende af.

NT/2K > c:\winnt\system32\wscript.exe
Wintendo (95/98/ME) > c:\windows\wscript.exe

* 786562 Garp
onzin je bouet gewoon een filter in je mailserver die bestanden met een extensie .vbs .inf .scr .exe .com verwijderd.

Als iemand namelijk een exe stuurd wat wel mag binnen komen dan moet hij het maar in een ZIP file zetten. Oja en Groupshiel McAfee op de exchange server installen
Hmmmm....en toen gebruikte je een versie van sendmail die niet op extensie kan blocken.....in combinatie met Netscape Enterprise server.....die niet met groupshield om kan gaan......en nou?

Sendmail kan trouwens wel op subject scannen (en dat doettie dus ook), maar de string ;-) in het subject van AnnaK, daar kannie niet mee omgaan. Dus toch maar ff wscript.exe renamen; dan kan de client 'm gewoon niet openen. Clients die wscript.exe nodig hebben melden zich vanzelf bij de helpdesk :)

Overigens draaien wij geen core-business apps die wsh nodig hebben, dus :Z


edit > typo < edit
Dit vond ik ook errug leuk:
Both Network Associates and McAfee.com refer to the virus commonly known as the "Anna Kournikova Virus" and/or the "Anna Virus" in order to identify a specific public virus threat. Network Associates and McAfee.com intend no reference to the actual person whose name has unfortunately become associated with the Internet virus.
Komt trouwens van: http://vil.nai.com/vil/virusSummary.asp?virus_k=9901 1
hehe best grappig inderdaad.

Hoe maak ik een virus:
kennis 0,0
geile foto ( door de hormonen zien ze 't toch niet )
veel lamers ( zijn dr zat op inet )

en zie daar een 2e love bug :)

Waarom usen mensen eigenlijk foutlook ?
Waarom usen mensen eigenlijk foutlook ?
Nou dat linkje zit al in je taakbalk dus dan ook maar gebruiken hŤ ;) :D
Kennelijk heeft @home eindelijk eens iets goeds gedaan door die vent te vinden en meteen z'n adres aan de politie te geven. Uit het artikel bij cnet:
Meanwhile, a source at Excite@Home has acknowledged that the company is trying to identify and ban a Dutch subscriber who appears to be OnTheFly. A previous virus, known as Iwa, had been posted to the alt.comp.virus.source.code newsgroup using Excite@Home Netherlands' network
Op advies van zijn ouders heeft hij zich aangegeven
Pap/mam, ik heb vandaag ongeveer 120.000 computers geinfecteerd in Europa/Azie/Amerika, de meeste grote bedrijven in amerika heb ik helemaal plat gelegd, en voor ongeveer tja hoeveel miljoen eigenlijk aan schade berokkent.

En dat allemaal met jullie pc-prive project computertje, wat moet ik nu doen ?

;)
Paar jaartjes werken voor schadevergoeding lijkt me eerder.....ik weet trouwens niet hoe schadelijk het is. Verder vraag ik me af waarom een bedrijf een plaatje nodig heeft van Anna Kournikova....voel ik daar een paar onstlagen aankomen..... :)

Dit had eigenlijk een reactie op O.D.Smolik moeten zijn :Z
Goed gezien Edwin Sollie,

Hier bij ons op het bedrijf komt nu ook de vraag, waarom iemand op zijn werk een mailtje opent om een foto te bekijken van Anno Kournikova, niet dat iedereen gelijk ontslagen word, maar er word wel naar gevraagd. En je moet met **** goede reden komen wil je geen uitbrander krijgen :>

Bij ons bedrijf waar ik nu stage loop is een houtzagerij waar alles werkt met SAP. Er werken ongeveer 300 mensen, en een boel pc's uiteraard. Vanochten om 8:30 kwam het mailtje binnen via de directrice, ja een vrouw :'(

En om 8:41 lag alles plat, incl de exchange server. om excact te zijn waren er 32.456 mailtjes gestuurd, we hebben hier een gedeeld adres boek en het bedrijf heeft meerdere vestigingenn ( 1200 medewerkers ).

Dus de PDC was down, en de BDC werkt niet. Dus niemand kon meer op zijn home directory en kon dus ook niet meer werken. Toen gingen alle machine's plat omdat ze niet meer aangestuurd werden. 5 uur geen arbeid,
Paar jaartjes werken voor schadevergoeding lijkt me eerder.....
schade ongeveer 1.200.000 DM. }>

Klopt , een backup had moeten werken en de BDC uiteraard ook, maar ja ... achteraf.
Hear hear, Rene vd Veen.

Niet alleen hebben antivirus-bakkers kilo's utils uitgebracht om dit soort simpele exploits tegen te gaan, na "I Love You" stond heel inet vol met huis tuin&keuken oplossingen hiertegen, zoals bijvoorbeeld de scriptinghost op de 9x client deleten.

Tel daarbij op dat de directrice een koe is, zoiets als opletten WAT je opent, VAN wie, is aan haar blijkbaar nie besteed.

En dan is het ook nog mogelijk om exchange opdracht te geven bepaalde bestanden met ditto extensies te filteren, enz.

Naar het daadwerkelijke niveau van jullie beheerders valt dus te raden.
Tel daarbij op dat de directrice een koe is, zoiets als opletten WAT je opent, VAN wie, is aan haar blijkbaar nie besteed.
Quote : Ja, maar het kwam van mijn man. Waarom zou hij mij een mailtje sturen ....aarghhhhhh :(

Dan wel in het duits, want ik zit in duitsland. En ik loop hier ook stage, en heb mijn eigen deel project. Heb verder niks te maken officieel met systeembeheer.
Sorry hoor maar als je zo laks met de anti-virus software omgaat dan verdien je zoiets gewoon...
Helemaal gelijk, maar het rare is dat de Exchange server hier om 11:34 een mailtje naar iedereen stuurde. Hť je hebt een virus ontvangen, bij voorbaat hebben we de attachment eruit gehaald. En ja hoor, kijk je dan in je Postvak IN dan waren alle attachments weg. Maar ja, als dat pas na 3 uur komt ....
Beetje raar trouwens dat alles van je mailserver afhangt. Niet echt lekker ontworpen config lijkt me..
Stimmt, dat moet nog opgelost worden. We hebben een PDC waarop Exchange staat, maar ook alle home-directorys, de users loggen daarop in etc.

Dual Xeon 600 met 1024mb ram. En we hebben nog een Xeon 500 met 512mb waarop alleen een fax server staat |:(
Dit valt natuurlijk heel makkelijk te ondervangen met de Management Console van McAfee. Vol automatisch en continu de nieuwste (anti-virus) updates.

Sorry hoor maar als je zo laks met de anti-virus software omgaat dan verdien je zoiets gewoon...

/edit

Beetje raar trouwens dat alles van je mailserver afhangt. Niet echt lekker ontworpen config lijkt me..

Ohh en hiermee had je dit kunnen voorkomen:

http://www.mcafeeb2b.com/products/groupshield-exchan ge/default.asp
Dit soort ongein is de reden dat ik gewoon lekker Eudora 5.02 gebruik. Gratis, goed, en geen enge integratie spullen.

Al moet ik er wel bij zeggen dat tegenwoordig mensen wel heel weinig nadenken bij het openen van email. Misschien dat een mentaliteitsverandering meer teweeg kan brengen dan een anti-virus pakket...
Al moet ik er wel bij zeggen dat tegenwoordig mensen wel heel weinig nadenken bij het openen van email. Misschien dat een mentaliteitsverandering meer teweeg kan brengen dan een anti-virus pakket...
Dat kun je misschien nog als het positieve aspect van deze affaire uitleggen: het hele gebeuren toont maar weer eens aan dat mail-ontvangers inderdaad achteloos handelen en zich niet bewust zijn van de consequenties die het openen van 'vreemde' mail kan hebben.....
Gelukkig zijn de consequenties in dit geval niet echt ernstig of schadelijk, laten we hopen dat het voor de getroffenen een wijze les mag zijn en dat ze in 't vervolg beter nadenken :).

* 786562 Renť
Ik denk er wel even 2x over na als ik in mijn email 'nude.jpg.exe' ontvang.... ik denk alleen dat ik een van de weinigen ben ;)
Info over de eventuele straf voor onze grote vriend |:(
http://www.planet.nl/planet/0,1114,86_1211_77507,00. html
Hij zal wel met een waarschuwing wegkomen...
Tegen de virusmaker is procesverbaal opgemaakt inzake overtreding van artikel 350 a en artikel 161 van het Wetboek van Strafrecht. Voor de eerste overtreding, kortgezegd het vernielen of beschadigen van andermans digitale gegevens, staat maximaal 4 jaar, voor artikel 161, het vernielen of beschadigen van 'geautomatiseerde werktuigen', staat maximaal 3 maanden gevangenis of een geldboete.
Aangezien de worm geen files heeft gewist of veranderd, lijkt dat eerste artikel me niet van toepassing. De schade bestaat uit het overbelasten van mailservers ed, vergelijkbaar met DoS aanval.

Ik vraag me trouwens af of het nog iets uitmaakt dat de slachtoffers zelf het script opgestart hebben door het attachment te openen.
Aangezien de worm geen files heeft gewist of veranderd
Afgezien van de registry niet, nee. Maar zoals elders is te lezen ontregelt het virus wel mailservers van bedrijven. Bovendien is het wetsartikel niet zuiver geciteerd.
161septies Sr:
Hij aan wiens schuld te wijten is dat enig geautomatiseerd werk voor opslag of verwerking van gegevens of enig werk voor telecommunicatie wordt vernield, beschadigd of onbruikbaar gemaakt, dat stoornis in de gang of in de werking van zodanig werk ontstaat, of dat een ten opzichte van zodanig werk genomen veiligheidsmaatregel wordt verijdeld, wordt gestraft:
1ļ. met gevangenisstraf of hechtenis van ten hoogste drie maanden of geldboete van de vierde categorie, indien daardoor verhindering of bemoeilijking van de opslag of verwerking van gegevens ten algemenen nutte, stoornis in een openbaar telecommunicatienetwerk of in de uitvoering van een openbare telecommunicatiedienst, of gemeen gevaar voor goederen of voor de verlening van diensten ontstaat;
Ik vraag me trouwens af of het nog iets uitmaakt dat de slachtoffers zelf het script opgestart hebben door het attachment te openen.
In beginsel niet. Als ik gif in je koffie doe en jij drinkt dat op, ben ik echt wel strafbaar. Maar degenen die het mailtje hebben geopend om verder voor verspreiding te zorgen zijn natuurlijk evengoed strafbaar.

Voor de liefhebbers 350 lid 3 Sr:
Hij die opzettelijk en wederrechtelijk gegevens ter beschikking stelt of verspreidt die bedoeld zijn om schade aan te richten door zichzelf te vermenigvuldigen in een geautomatiseerd werk, wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.
hij kan 4 jaar krijgen. Belachelijk!!! als je iemand vermoord krijg je 5 jaar en mag je na 3 jaar weg wegens goed gedrag :(
omdat hij zelf niet kan programmeren
tja het is ook wel heel makkelijk zo... :(

Als het nou heel cool geprogrammeerd was ofzo, dan kon ik nog wel enig respect opbrengen voor een virusmaker, maar dit is gewoon te laag voor woorden !
Het is gewoon triest dat zo iemand de code van iemand anders jat en dan een virus maakt dat dan weer over heel de wereld wordt versprijd.
... versprijd ...
Het is triest dat jij geen Nederlands kunt. ;)
...kunt...

Pffffff... LOL :P
1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True