Eerste wormvirus verspreidt zich over Gnutella

Sinds het afgelopen weekend wordt er een worm verspreid via Gnutella. De worm is waarschijnlijk ontwikkeld om te bewijzen dat virussen verspreid kunnen worden via peer-to-peer netwerken. De worm werkt als een soort kameleon. Voor elke zoekopdracht die je doet neemt de worm de naam aan van je zoekopdracht. De worm is wel makkelijk te herkennen, omdat zijn grootte altijd 8.192 bytes is. Dit maakt het onwaarschijnlijk dat de worm zich snel zal verspreiden, aldus Vincent Gullotte van Network Associates. Hieronder een gedeelte uit het artikel van CNet:

Similar to viruses such as Hybris and Happy99, the Gnutella worm infects a PC and then monitors a computer's network connection.

Hybris and Happy99 watch for e-mail addresses; this worm looks for Gnutella connections. When the PC's owner connects to the Gnutella network, the worm looks for file requests--most commonly music files--and sends back a positive match. Other people will seemingly see the file they want on the victim's computer for any request they send.

[...] Although the low response rate indicates that the worm has not spread far, the fact that a single infected PC responds to every request makes it appear as though the Trojan horse has massively infected a computer.

Door Robin van Rootseler

Developer

Feedback • 27-02-2001 16:10 19

27-02-2001 • 16:10

19

Bron: CNet

Lees meer

Eerste worm ontdekt in Windows desktop theme
Eerste worm ontdekt in Windows desktop theme Nieuws van 4 september 2001
Gnutella onder vuur door filmindustrie
Gnutella onder vuur door filmindustrie Nieuws van 18 april 2001
Eerste virus ontdekt dat Windows en Linux infecteert
Eerste virus ontdekt dat Windows en Linux infecteert Nieuws van 29 maart 2001
Bedrijfsnieuws

Reacties (19)

-Moderatie-faq
19
18
14
4
2
0
Wijzig sortering

Sorteer op:

Weergave:
ToAoM 27 februari 2001 16:19
Het moest er natuurlijk een keer van komen. een virus dat zich innestelt in gnutella. Er was al langer een systeem waarmee een gehackte client een HTML pagina stuurde met daarin een link naar een prono site, en clients die ongeacht de gevaagde zoekactie een bericht als bestandsnaam stuurden in de trand van:
## Microsoft is currently logging all search requests...
Zo erg moeilijk is het ook niet, lijkt me, om iets als dit te schrijven, de client/server is opensource, dus alles is bekend over hoe het eruit moet komen te zien.

Nu nog een systeem dat als bestandsgrootte een grootte van 4 of 5 Mb teruggeeft, en laatlijken dat ie de goede extensie heeft.

Dat kan overigens heel makkelijk met gnutella, stuur namelijk maar eens een filename van zo'n 256 tekens:

"The searchrequest you did.mp3                    .exe"

Bij het merendeel van de clients zal alleen .mp3 zichtbaar zijn, omdat die de filename maar deels weergeven. Kijk, dan wordt het echt interessant (of gevaarlijk. Hoe je het maar noemen wilt.)
Verwijderd @ToAoM27 februari 2001 19:25
Kan ook gewoon 'extenties voor bekende bestandstypen verbergen'.

en .exe bestanden koppelen aan mp3 programma.

Hoef je je spaties niet te tellen ;)
ToAoM @Verwijderd27 februari 2001 19:33
Maar die extensie blijft dan zichtbaar in gnutella, het ging er juist om 'm daar ook te kunnen verbergen (of iig minder duidelijk zichtbaar te maken...
Scorpion 27 februari 2001 16:14
Wat voor virus is het? Geen macro virus neem ik aan, maar een executable... :? wie weet er meer van? Lijkt me een beetje vaag als je een mp3 request, en deze dan opstart als executable enzow..
cire @Scorpion27 februari 2001 16:24
Meer informatie staat hier: http://www.exocortex.org/gnutella/

Het is een executable die runt onder Windows. Het systeem zoekt contact met een gnutella netwerk en reageert dan positief op veel of alle zoekopdrachten.

Als je het bestandje download en runt wordt jouw systeem ook geinfecteerd. Als je tenminste Windows draait.
Verwijderd @Scorpion27 februari 2001 16:30
Op http://www.exocortex.org/gnutella/ valt te lezen hoe het virus werkt.
Het virus is inderdaad een executable en bij uitvoeren probeert het zicht als een service te installeren (Windows NT/2000) of als een onderdeel van de Startup-folder. (Windows 9x/Me)
De bovenstaande bron meldt ook dat het risico op verspreiding niet zo groot is omdat gebruikers niet snel een 8kB bestand zullen executen.
GA!S 27 februari 2001 16:12
Afkomstig van BUMA/Stemra misschien?
Verwijderd @GA!S27 februari 2001 16:14
=) Nee, van de platenmaatschappijen. Ze hebben die ene computer specialist uit sneek ingehuurd. =)

edit:
dit was reactie op GA!S... kan een admin of modje em ff verplaatsen? sorry mij fout.
Verwijderd 27 februari 2001 21:20
juist... nou, eigenlijk heet deze worm g-spot, maar dat vinden de av'ers kennelijk niet zo'n goeie naam ;)

enneh, deze worm is van een heel wat ander niveau dan die vbs worms van de laatste tijd, tis rauwe win32asm :)
Soultaker @Verwijderd28 februari 2001 00:03
Inderdaad. Dit is eindelijk een worm waar goed over na gedacht is en die fatsoenlike code bevat. Heel wat beter dan het 'werk' dat scriptkiddies als de makers van het I Love You- en Kournikova-virus leverden. Jammer dat de binary niet meer op exocortex.org staat - ik zou 'm wel willen hebben om eens uit elkaar te pluizen. Heeft iemand 'm? Mail 'm dan even naar me.

Behalve deze magere poging biedt peer-to-peer-networking natuurlijk legio mogelijkheden voor de verspreiding virussen. Aangezien GNUtella ook voor apps wordt gebruikt, hoeft het niet moeilijk te zijn om de .exe files in zip files die worden opgevraagd (of natuurlijk .exe files direct, voor zover die worden uitgewisseld) te besmetten zodra ze opgevraagd worden en op die manier verder te verspreiden.

Peer-to-peer networking brengt nog heel wat risico's met zic mee, maar natuurlijk is het grootste gevaar geweken voor iedereen die een fatsoenlijke virusscanner draait - al dan niet illegaal gedownload.
Verwijderd 27 februari 2001 16:19
vraag me af als de overheidsdiensten (fbi, etc.) er nu ook zo snel bij zijn om de maker/ poster van dit virus te pakken.


nee dus :(
walterg @Verwijderd27 februari 2001 18:32
dat zal wel niet, hoewel me het interessanter lijkt om deze gast een baan aan te bieden dan dat koernikova joch ;)
Fevida 27 februari 2001 16:21
Het moet inderdaad een executable zijn, en dat is dan natuurlijk ook de reden dat ze Gnutella hebben uitgekozen. Als het een virus zal dat via MP3 files te verspreiden was hadden ze zeker Napster gekomen }>
Verwijderd 27 februari 2001 16:55
Hmm, ze hebben bewezen dat het kan, voelen ze zich nu cool ofzo |:(
Maar ja, iedere tweaker snapt wel dat als je een divx of mp3 zoekt, ie niet 8kb is!
ToAoM 27 februari 2001 17:08
Nog even nagezocht...

Je kan in een gnutella zoekopdracht idd de grootte gewoon zelf instellen, daarnaast kan je het icoontje van een .mp3.exe gewoon het actieve icoontje voor mp3's laten weergeven in windows met een klein beetje progwerk. Dat maakt dat Gnutella alweer een stuk gevaarlijker wordt....
ScrooLoose 27 februari 2001 16:19
<off-topic>
laatst op tv gezien (discovery dacht ik?) dat ze bij een paard een LINTworm van iets over de 8 Kilo weghaddengehaald, goor joh.
Eetlust ook gelijk weg
</off-topic>
Dexyrunner 27 februari 2001 16:55
Jongens waar hebben we het over.. de zoveelste virus-warning die zo onschuldig is als het I love you virus. (Alhoewel de gevolgen wat minder erg zijn atm) Zolang men de executable niet opent, is er geen probleem, en niemand zal een 8 KB bestand openen uitgaande van het feit dat een gemiddeld mp3tje 4 MB is. Maar ja, er zijn altijd uitzonderingen .... :P

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq