Eerste virus ontdekt dat Windows en Linux infecteert

Anti-virus bedrijf Central Command heeft een virus ontdekt dat niet alleen Windows, maar ook Linux kan besmetten. Volgens ingewijden is dit voor het eerst dat een stuk programmacode ontwikkeld is wat allebei de besturingssystemen van infecteren. Behalve het aantonen van deze tot nu toe onbekende mogelijkheid richt Winux geen schade aan, bovendien is het direct door de programmeur zelf naar het betreffende anti-virus bedrijf gestuurd.

Toch zal dit vast en zeker het begin zijn van een nieuwe generatie virussen. Na I Love You was duidelijk te zien dat ineens de halve wereld ook een dergelijk bestandje maakte, wat eigenlijk best handig was. Startte je het afgelopen jaar geen vbs-bestanden, was de kans dat je besmet zou worden praktisch uitgesloten. Nu is de mogelijkheid aanwezig dat hackers van over de hele wereld weer overgaan op executables, om even te laten zien dat zij dat ook wel kunnen. Zeker nu de broncode al op internet te vinden is, zullen gevaarlijkere versies binnen niet al te lange tijd verschijnen:

Central Command today announced the discovery of W32.Winux, the world’s first cross platform virus capable of infecting computers using both the Microsoft Windows and Linux operating systems.

"Today with the discovery of W32.Winux, we have received the world’s first known virus capable of spreading on both Windows and Linux computer systems. While people do not share executables between these operating systems, this new proof of concept virus represents a technology innovation that may lead to more destructive viruses in the future. Our Emergency Virus Response Team Ô discovered this new virus and has analyzed it," said Steven Sundermeier, Product Manager at Central Command.

Met dank aan Sir Abarth voor de tip.

Door Mark Timmer

Feedback • 29-03-2001 16:31 56

29-03-2001 • 16:31

56

Bron: Central Command

Lees meer

Proof-of-concept cross-platform virus ontdekt
Proof-of-concept cross-platform virus ontdekt Nieuws van 8 april 2006
Microsoft werkt aan gratis beveiligingsscanner
Microsoft werkt aan gratis beveiligingsscanner Nieuws van 22 februari 2002
LoveLetter-script ruim jaar oud: tijd voor een overzicht
LoveLetter-script ruim jaar oud: tijd voor een overzicht Nieuws van 5 mei 2001
Magistr: gemener dan Kournikova en NakedWife
Magistr: gemener dan Kournikova en NakedWife Nieuws van 20 maart 2001
Naked Wife script zorgt voor grote opschudding
Naked Wife script zorgt voor grote opschudding Nieuws van 7 maart 2001
Eerste wormvirus verspreidt zich over Gnutella
Eerste wormvirus verspreidt zich over Gnutella Nieuws van 27 februari 2001
McAfee waarschuwt voor Valentijn-virussen
McAfee waarschuwt voor Valentijn-virussen Nieuws van 12 februari 2001
Veel internetters hebben niets geleerd van I Love You
Veel internetters hebben niets geleerd van I Love You Nieuws van 7 februari 2001
Meer producten en artikelen
Software

Reacties (56)

-Moderatie-faq
56
48
38
10
2
0
Wijzig sortering
lucid 29 maart 2001 16:35
Damn... gelukkig heeft de eerste (officieele) virus-kweker besloten om het aan de grote klok te hangen.. Nog even en we zitten allemaal met bluetooth devices en Symbian enabled embedded troepjes, waarvan de blauwdrukken en tech specs zo vrij verkrijgbaar zijn dat ook dat al gekraakt is.. M.a.w. : Straks loop je via UMTS een virusje op, wat zich via je embedded pols-linux-horloge voortplant naar je Windoosbakken en vervolgens vreet het ding een weg in je linux firewalletje/ipchains.. :) Argh...
KeX 29 maart 2001 16:43
Ook bij McAfee zijn ze inmiddels op de hoogte. Hier is het virus profile te vinden.

Met de nieuwe Superdat van 28 maart voor McAfee gebruikers wordt hij herkend.

Virus Information
Discovery Date: 3/27/01
Origin: Virus Hosting Website
Type: Virus
SubType: File Infector
Risk Assessment: Low
Verwijderd 29 maart 2001 16:34
En hoe gaat dat technisch?

Wel interessant. Ik ben alleen benieuwd hoe ze dat hebben gedaan. Het moet dus een script zijn, of .class, anders draait het maar op 1 van de 2. Heeft iemand techische info?

[edit: typo]

Op de site staat "the fie detector can be downloaded here:" en vervolgens de link naar een .EXE bestand. Sorry? Als een linux gebruiker wil zoeken heeft ie daar toch nix aan?

[edit]
Heb het technische verhaal gelezen. Dus in linux kan het weer eens geen kwaad als je maar geen root bent. Alleen de files in current dir en superdir worden gecheckt en if ELF dan bewerkt. Maar als gebruiker kun je de vitale files (lees: alle binaries m.u.v. eigen dir) niet van inhoud wijzigen omdat je de rechten niet hebt. Dus het effect is bij linux niet zo groot.
[/edit]
Verwijderd @Verwijderd29 maart 2001 16:50
onder windows:
Klik op virus.exe -> done

onder linux:
klik op virus.exe -> niets.... --> dan maar downloaden. Vervolgens inloggen als root, wachtwoord opgeven, dan naar het virus toe fietsen. Vervolgens chmod 777 virus.exe -> ./virus.exe -> done.

:D
ThE_ED @Verwijderd29 maart 2001 16:52
Als dit zo is dan vind ik het onder linux niet echt een virus. Dan kan je elk programma dat je systeem vern*kt wel een virus noemen.

Scriptje:

rm -Rf .*

Zo: een virus :)
Verwijderd @ThE_ED29 maart 2001 23:47
dit is hetzelfde als je een Windows NT machine gaat gebruiken en inlogt als user
rechten onder windows worden anders gebruikt als onder unix. windows kent o.a. chmod +x bestand niet.
De echte Linux virussen zullen pas ontstaan als er bedrijven baat bij hebben als hun (Linux) source niet bekend wordt, zoals Corel of zelfs M$, dan kun je ook niet meer 100% zeker zijn dat er geen virus toegevoegd is, en dan zullen er waarschijnlijk meer backdoors gebouwd worden.
1) linux blijf altijd opensource (de kernel dus)
2) closed source software is er ook voor linux (VMWare bijvoorbeeld)
3) backdoors/virussen hebben weinig te maken met of source open of niet open is. Het heeft te maken of er goed geprogrammeerd is. HP unix is ook geen open source, maar net zo virusbestendig als linux of BSD. Windows is niet bepaald virusbestendig omdat het minder veilig opgebouwd is. Opensource draagt bij aan het goed programmeren, dat is de kracht.
TheGhostInc vindt het een bitje hypocriet om te zeggen dat Linux veel beter beveiligd is
noem het wat je wil, maar linux/unix IS nu eenmaal veel beter beveiligd dan windows.

Quote van de McAfee site:
The dropper file for this virus is in native Win32 format. When executed, it will seek PE files and Linux based files and infect them.
native win32 is deze dus. Het is dus geen linux-executable ! M.a.w. je moet wine (windows "emulator") draaien en dan ook nog eens als root om deze specifieke virus te krijgen. ;) Vrij logisch dat als je een windows emulator draait je vatbaarder bent. |:(
TheGhostInc @ThE_ED29 maart 2001 22:09
Daarnaast is Linux eigenlijk een bitje 'flauw', je mag daar nooit werken met alle toegang die je wilt, als root inloggen wordt dan ook afgeraden, dit is hetzelfde als je een Windows NT machine gaat gebruiken en inlogt als user, dan kun je ook de Exe files niet wijzigen en heb je ook geen last van het virus.

De echte Linux virussen zullen pas ontstaan als er bedrijven baat bij hebben als hun (Linux) source niet bekend wordt, zoals Corel of zelfs M$, dan kun je ook niet meer 100% zeker zijn dat er geen virus toegevoegd is, en dan zullen er waarschijnlijk meer backdoors gebouwd worden.

* 786562 TheGhostInc
_Thanatos_ @ThE_ED30 maart 2001 12:47
windows kent o.a. chmod +x bestand niet.
ik hoop dat je hier windows NT bedoelt, niet de gewone windows. wat je zegt klopt, want heel chmod bestaat in NT niet, maar je kunt wel +x op een bestandje doen, alleen in NT noemen ze die x een U.

doe maar es bestand -> eigenschappen -> beveiliging -> machtigingen -> toegangstype: speciale toegang... -> et voila. daar kun je het uitvoeren instellen.
Atmosphere @ThE_ED30 maart 2001 18:18
Trouwens ... lekker virus dus .. je moet een ander os draaien wil je besmet kunnen raken hahaha .. tjs.. het infecteerd linux hoor, NOT !! :7 maaruh .. het zal vast wel kunnen .. echter dit zal dan een grove programmeer fout in een applicatie moeten zijn (in bv een java-vm oid) anywayz iets wat op beide platforms zal draaien .. in geen geval binaries, want ELF-binaries en win32-binaries zijn niet compatbile..
Vrij logisch dat als je een windows emulator draait je vatbaarder bent
Nou .. is aan de ene kant slecht van de programmeurs van w(ine)i(s)n(ot)e (mulator) , aan de andere kant zullen er vast standaard api-calls geemu'ed/vertaald worden en ja dan is het eigenlijk niet zo vreemd.. het is gewoon alsof jij een programma vraagt op een bestandje te schrijven.. Dus ook onder linux kan je een virus op lopen .. maar het hangt er idd vanaf met wat voor gebruiker jij ingelogd bent. De rechten welke die gebruiker heeft worden namelijk overerft door het virus.
* 786562 Atmosphere
NaioN @ThE_ED31 maart 2001 13:02
[edit]
dit was een reactie op _Thanatos_
Sorry verkeerde knopje :)
{/edit]

Dat is ok aan te geven of iemand GEMACHTIGD is om dat bestand uit te voeren. Maar het is en blijft een uitvoerbaar bestand. Onder Linux wordt het helemaal niet meer gezien als een uitvoerbaar bestand en zal het dus ook niet uitgevoerd worden, ongeacht wie je bent. Naja ik geef toe dat je hetzeflde effect kunt creeren, maar het is wel duidelijk een verschil!!!!!!
arnob @ThE_ED29 maart 2001 20:05
DUH |:( dat noemen ze nou een wurm!
Zet het commando in een script en noem het 'I Love You', klinkt het al bekent?
Verwijderd 29 maart 2001 16:42
quote van de site van de maker:
The worlds first Win32/Linux compatible virus. It can infect both of PE and ELF filez. Its structure is very simple, but it 100%-ly worx ;)
Wel netjes van die kerel dat ie 'm netjes bij een anti-virus bedrijfje heeft gebracht.

Maar goed de code is nu de wereld in dus iedereen die kwaad wil kan nu dit virus naar eigen wensen aanpassen :(
_JGC_ @Verwijderd29 maart 2001 20:25
Juist nuttig dat dit virus de wereld en de anti-virus sector is ingebracht. Stel je eens voor dat iemand anders een andere methode had gebruikt, met andere ideen, en dit niet naar antivirus maatschappijen had gesubmit, dan waren we verder van huis.
TiG 29 maart 2001 20:40
Beetje offtopic maar goed. Is er eigenlijk dan wel een goed virus te creeren voor Linux? Zoals ik dit hier lees kan een virus onder Linux dus nooit echte schade aanrichten omdat het simpelweg geen toegang heeft tot de balangrijke bestanden als je het niet onder root draait. Of zitten er nog wat (onontdekte) backdoores in de code van Linux waardoor een virus wel zerieuse schade aan kunnen richten?

Reactie op CoG: Jaja, de mysql servers zijn een 'beetje' van slag :9 :) :) :)
Verwijderd @TiG29 maart 2001 20:04
Hier vindt je vast een berg info over de Vulnerabilities (zwakke punten dus) van Linux:

http://www.securityfocus.com/focus/linux/home .html?& _ref=1150781268

nee, dit is geen flame, persoon vraagt er gewoon om :) .

grappig inderdaad:

Gepost door TiG Vrijdag 30 Maart 2001 - 01:40
Gepost door CoG Donderdag 29 Maart 2001 - 20:04

Ben ik helderziend of wat (8>
dextertje @TiG29 maart 2001 21:49
Of zitten er nog wat (onontdekte) backdoores in de code van Linux waardoor een virus wel zerieuse schade aan kunnen richten?
Ongetwijfeld... Alleen als ik ze wist, dan waren ze niet meer onontdekt. :D Het zal trouwens niet gaan om bewuste backdoors, maar gewoon fouten e.d....
Maar er is bijvoorbeeld niet zo lang geleden een exploit in bind (zeer veel gebruikte dns-server, niet alleen onder Linux) ontdekt. Ondertussen is er ook een virusachtig iets voor geschreven, dat flinke schade kan doen (stond afgelopen vrijdag (?) op WebWereld).
Maar daar staat dan wel weer tegenover dat de patch er veel eerder was dan dat virus. Oplettende gebruikers zouden dat virus dan ook niet hoeven vrezen.
Ik zou het virus waar het in deze post om gaat, niet zo snel echt een virus noemen, aangezien je root moet zijn en het ook nog handmatig moet uitvoeren voordat het je systeem infecteert. Als er nou een tot nu toe onontdekte exploit inzat...

(btw, als deze post nogal laat verschijnt, komt het doordat het me nogal moeite kost om deze reactie te plaatsen, vanwege de nogal koffiedrinkende mysql daemon, die momenteel ook nog eens vreemd met de tijden omspringt :?)
Denhomer 29 maart 2001 16:38
Ik heb gehoord dat het op een zeer oude programmeertaal is gebaseerd, maar weet iemand welke?
Ik denk cobol of dergelijke.
fallen_angel @Denhomer29 maart 2001 16:59
Als het op COBOL gebaseerd is dan mogen de financiele instellingen wel op gaan passen, daar wordt COBOL nog zeer veel gebruikt.

Ga je pinnen, heeft je briefje een virus!
The End @fallen_angel29 maart 2001 17:11
Maakt niet echt uit welke taal.... Een virus kan alles infecteren en hoeft daarbij niet in dezelfde taal geschreven te zijn als de progs die op die machine draaien...
Lijkt me trouwens eerder C of assembly.
johanvdw @Denhomer30 maart 2001 20:41
edit:

Deze posting was helemaal niet als reactie op denhomer bedoeld. Maar nu ik hier toch ben, het is geschreven in assembly (en dat is helemaal geen ouder programmeertaal, maar één die nog in heel veel recente programma's gebruikt wordt, maar dan vooral om bepaalde delen te optimaliseren).


Ik check dagelijks http://www.securitywatch.com/ (krijg hem per email). Daarin lees je vaak over foutjes onder veelgebruikte linux- en windows-programma's.
Hoewel ik hier geen anti-microsoft campagne wil voeren moet ik toch wel vaststellen dat zij om de twee dagen wel vernoemd worden met een fout.
Vandaag: een bepaald soort attachment opent automatisch onder Outlook Express.

BTW: Is het iemand anders ook al opgevallen dat er op deze pagina ontzettend veel terechte flames/trolls gegeven zijn.
Zou die overbelaste server er iets mee te maken hebben?
brid 29 maart 2001 16:36
Is volgens mij oud nieuws.
Maar in ieder geval goed van die programmeur dat hij het virus al naar de nai heeft gestuurd. Kunnen ze teminste al maatregelen nemen tegen dit soort virussen. Moet er niet aan denken dat de faxserver die we hier hebben opgebouwd omzeep gaat.
4of9 @brid29 maart 2001 19:55
Stond dindsdag al op webwereld en Nu.nl
Verwijderd 29 maart 2001 16:44
Ik ben heel blij dat de database weer volop draait, maar nieuws posten dat 2 dagen geleden al op www.nu.nl stond, vindt ik een beetje duf.


Is er hier een nieuwsposter uit zijn winterslaap gekomen ofzo ?

:Z

edit:

flamebait ? Ok, ik geef toe, het is een beetje offtopic
maar een flamebait ?
Geef daar nou es een goede definitie van !
AuteurVerwijderd @Verwijderd29 maart 2001 16:47
Ik weet ook wel dat dit nieuws niet van vandaag is. Gisteren kon ik het alleen niet posten omdat de database down was en eergisteren had ik het nog niet gezien.

Het leek toch nog wel de moeite het alsnog te posten, aangezien het best een major ontwikkeling is.
ThE_ED @Verwijderd29 maart 2001 16:49
Plus nog het feit dat mensen als ik naar Tweakers gaan om niet 1000 andere sites te hoeven checken. (Als een van de redenen om hier te komen btw.)
ThE_ED 29 maart 2001 16:50
Ik kan de code niet neerhalen... Kan iemand misschien hier ff uitleggen hoe het zich dan VERSPREID in Linux? Ik bedoel, zit het aan je mail ofzo, and if so, dan moet je het toch nog eerst zelf saven en executable maken??!
day @ThE_ED29 maart 2001 23:15
verspreid zich via alle vormen van contact en zelfs via de lucht. we praten hier over het uiterst besmettelijke Winux/MKZ

infecteert alle koetjes op windows en linux machines :+
Tom 29 maart 2001 16:40
Stond gister al op Nu.nl: http://www.nu.nl/document?n=28585

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq