Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 19 reacties
Bron: CNet

Sinds het afgelopen weekend wordt er een worm verspreid via Gnutella. De worm is waarschijnlijk ontwikkeld om te bewijzen dat virussen verspreid kunnen worden via peer-to-peer netwerken. De worm werkt als een soort kameleon. Voor elke zoekopdracht die je doet neemt de worm de naam aan van je zoekopdracht. De worm is wel makkelijk te herkennen, omdat zijn grootte altijd 8.192 bytes is. Dit maakt het onwaarschijnlijk dat de worm zich snel zal verspreiden, aldus Vincent Gullotte van Network Associates. Hieronder een gedeelte uit het artikel van CNet:

Similar to viruses such as Hybris and Happy99, the Gnutella worm infects a PC and then monitors a computer's network connection.

Hybris and Happy99 watch for e-mail addresses; this worm looks for Gnutella connections. When the PC's owner connects to the Gnutella network, the worm looks for file requests--most commonly music files--and sends back a positive match. Other people will seemingly see the file they want on the victim's computer for any request they send.

[...] Although the low response rate indicates that the worm has not spread far, the fact that a single infected PC responds to every request makes it appear as though the Trojan horse has massively infected a computer.
Moderatie-faq Wijzig weergave

Reacties (19)

Het moest er natuurlijk een keer van komen. een virus dat zich innestelt in gnutella. Er was al langer een systeem waarmee een gehackte client een HTML pagina stuurde met daarin een link naar een prono site, en clients die ongeacht de gevaagde zoekactie een bericht als bestandsnaam stuurden in de trand van:
## Microsoft is currently logging all search requests...
Zo erg moeilijk is het ook niet, lijkt me, om iets als dit te schrijven, de client/server is opensource, dus alles is bekend over hoe het eruit moet komen te zien.

Nu nog een systeem dat als bestandsgrootte een grootte van 4 of 5 Mb teruggeeft, en laatlijken dat ie de goede extensie heeft.

Dat kan overigens heel makkelijk met gnutella, stuur namelijk maar eens een filename van zo'n 256 tekens:

"The searchrequest you did.mp3 .exe"

Bij het merendeel van de clients zal alleen .mp3 zichtbaar zijn, omdat die de filename maar deels weergeven. Kijk, dan wordt het echt interessant (of gevaarlijk. Hoe je het maar noemen wilt.)
Kan ook gewoon 'extenties voor bekende bestandstypen verbergen'.

en .exe bestanden koppelen aan mp3 programma.

Hoef je je spaties niet te tellen ;)
Maar die extensie blijft dan zichtbaar in gnutella, het ging er juist om 'm daar ook te kunnen verbergen (of iig minder duidelijk zichtbaar te maken...
Wat voor virus is het? Geen macro virus neem ik aan, maar een executable... :? wie weet er meer van? Lijkt me een beetje vaag als je een mp3 request, en deze dan opstart als executable enzow..
Meer informatie staat hier: http://www.exocortex.org/gnutella/

Het is een executable die runt onder Windows. Het systeem zoekt contact met een gnutella netwerk en reageert dan positief op veel of alle zoekopdrachten.

Als je het bestandje download en runt wordt jouw systeem ook geinfecteerd. Als je tenminste Windows draait.
Op http://www.exocortex.org/gnutella/ valt te lezen hoe het virus werkt.
Het virus is inderdaad een executable en bij uitvoeren probeert het zicht als een service te installeren (Windows NT/2000) of als een onderdeel van de Startup-folder. (Windows 9x/Me)
De bovenstaande bron meldt ook dat het risico op verspreiding niet zo groot is omdat gebruikers niet snel een 8kB bestand zullen executen.
Afkomstig van BUMA/Stemra misschien?
=) Nee, van de platenmaatschappijen. Ze hebben die ene computer specialist uit sneek ingehuurd. =)

edit:
dit was reactie op GA!S... kan een admin of modje em ff verplaatsen? sorry mij fout.
juist... nou, eigenlijk heet deze worm g-spot, maar dat vinden de av'ers kennelijk niet zo'n goeie naam ;)

enneh, deze worm is van een heel wat ander niveau dan die vbs worms van de laatste tijd, tis rauwe win32asm :)
Inderdaad. Dit is eindelijk een worm waar goed over na gedacht is en die fatsoenlike code bevat. Heel wat beter dan het 'werk' dat scriptkiddies als de makers van het I Love You- en Kournikova-virus leverden. Jammer dat de binary niet meer op exocortex.org staat - ik zou 'm wel willen hebben om eens uit elkaar te pluizen. Heeft iemand 'm? Mail 'm dan even naar me.

Behalve deze magere poging biedt peer-to-peer-networking natuurlijk legio mogelijkheden voor de verspreiding virussen. Aangezien GNUtella ook voor apps wordt gebruikt, hoeft het niet moeilijk te zijn om de .exe files in zip files die worden opgevraagd (of natuurlijk .exe files direct, voor zover die worden uitgewisseld) te besmetten zodra ze opgevraagd worden en op die manier verder te verspreiden.

Peer-to-peer networking brengt nog heel wat risico's met zic mee, maar natuurlijk is het grootste gevaar geweken voor iedereen die een fatsoenlijke virusscanner draait - al dan niet illegaal gedownload.
vraag me af als de overheidsdiensten (fbi, etc.) er nu ook zo snel bij zijn om de maker/ poster van dit virus te pakken.


nee dus :(
dat zal wel niet, hoewel me het interessanter lijkt om deze gast een baan aan te bieden dan dat koernikova joch ;)
Het moet inderdaad een executable zijn, en dat is dan natuurlijk ook de reden dat ze Gnutella hebben uitgekozen. Als het een virus zal dat via MP3 files te verspreiden was hadden ze zeker Napster gekomen }>
Hmm, ze hebben bewezen dat het kan, voelen ze zich nu cool ofzo |:(
Maar ja, iedere tweaker snapt wel dat als je een divx of mp3 zoekt, ie niet 8kb is!
Nog even nagezocht...

Je kan in een gnutella zoekopdracht idd de grootte gewoon zelf instellen, daarnaast kan je het icoontje van een .mp3.exe gewoon het actieve icoontje voor mp3's laten weergeven in windows met een klein beetje progwerk. Dat maakt dat Gnutella alweer een stuk gevaarlijker wordt....
<off-topic>
laatst op tv gezien (discovery dacht ik?) dat ze bij een paard een LINTworm van iets over de 8 Kilo weghaddengehaald, goor joh.
Eetlust ook gelijk weg
</off-topic>
Jongens waar hebben we het over.. de zoveelste virus-warning die zo onschuldig is als het I love you virus. (Alhoewel de gevolgen wat minder erg zijn atm) Zolang men de executable niet opent, is er geen probleem, en niemand zal een 8 KB bestand openen uitgaande van het feit dat een gemiddeld mp3tje 4 MB is. Maar ja, er zijn altijd uitzonderingen .... :P

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True