Jonathan Wignall: Webworm op komst

Jonathan Wignall kondigde afgelopen vrijdag op de hackersbijkomst HAL (Hackers At Large) een nieuw soort worm aan: een webworm. Wignall heeft een 'proof of concept'-versie van zo'n webworm op zijn site gezet. Deze worm maakt gebruik van een kevertje in de versie 5 en 5.5 van Microsoft Internet Explorer. De webworm kan via de mediaplayer en een Outlook-bestand de computer van de gebruiker besmetten. De worm van Wignall is onschuldig, maar het is vrij eenvoudig om een schadelijke variant te maken.

Code Red"Waarschijnlijk zullen we niet echt veel met deze wormen te maken krijgen. Het is namelijk niet waarschijnlijk dat de beheerders van drukbezochte sites een webworm op hun site zetten. Volgens André Post van het SARC (Symantec Antivirus Research Center) zullen we niet veel van webwormen gaan horen. "Het gebeurt vaak dat er wordt gewezen op een zogenaamd veiligheidsprobleem dat bij nadere bestudering niet veel blijkt voor te stellen. Alleen onder omstandigheden die in werkelijkheid niet voorkomen, zou zo'n 'veiligheidsprobleem' werkelijk een gevaar kunnen worden."

Wignall noemde de wormen waarmee we afgelopen jaar zijn geconfronteerd tijdens zijn presentatie ontzettend amateuristisch. Volgens hem hebben we pas het topje van de ijsberg gezien en kunnen we het aankomende jaar nog veel meer wormen verwachten:

Een goede worm is klein, goed geschreven, richt zich op onervaren gebruikers en systeembeheerders, kan zichzelf eenvoudig reproduceren, komt in de publiciteit en heeft een payload die niet eenvoudig ongedaan gemaakt kan worden. Bovendien richt een goede worm zich op een grote populatie van bijvoorbeeld Windows-gebruikers en is de bron niet te traceren", aldus Wignall.

Surf voor het hele artikel naar WebWereld. Met dank aan Smoothy_ voor de tip.

Door Robin van Rootseler

Developer

Feedback • 13-08-2001 20:48 20

13-08-2001 • 20:48

20

Bron: WebWereld

Lees meer

Voyager Alpha Force bedreigt webservers
Voyager Alpha Force bedreigt webservers Nieuws van 23 november 2001
Nieuwe Linux trojan ontdekt
Nieuwe Linux trojan ontdekt Nieuws van 8 september 2001
Microsoft komt met tool om IIS veiliger te maken
Microsoft komt met tool om IIS veiliger te maken Nieuws van 31 augustus 2001
Nieuwe Code Red variant?
Nieuwe Code Red variant? Nieuws van 4 augustus 2001
Chinese experts: Code Red niet uit China afkomstig
Chinese experts: Code Red niet uit China afkomstig Nieuws van 31 juli 2001
Code Red worm waarschijnlijk 1 augustus in heraanval
Code Red worm waarschijnlijk 1 augustus in heraanval Nieuws van 29 juli 2001
Code Red worm valt duizenden webservers aan
Code Red worm valt duizenden webservers aan Nieuws van 20 juli 2001
Meer producten en artikelen
Bedrijfsnieuws

Reacties (20)

-Moderatie-faq
20
19
16
3
0
0
Wijzig sortering
SlaSauS 13 augustus 2001 20:59
Jonathan Wignall kondigde afgelopen vrijdag op de hackersbijkomst HAL (Hackers At Large) een nieuw soort worm aan: een webworm...
maar wat het nieuwe aan deze "soort" worm is ontgaat me nu een beetje? We kennen dit soort wormen toch, een programma (de worm) wat een bekende bug exploiteert en zichzelf vervolgens via een zelfde/andere bug verspreid?

http://www.tweakers.net/nieuws/16338
http://www.tweakers.net/nieuws/13082

edit: links toegevoegd
JeroenNietDoen @SlaSauS13 augustus 2001 22:23
het nieuwe aan deze worm is dat ie, in tegenstelling tot de meeste worms, via een website binnenkomt ipv een e-mail.

kijk, je weet bv dat als er een e-mail binnenkomt met een raar bestandje eraan dat je die niet opent en 99 van de 100 keer voorkom je daarmee een infectie.

maar, een web-worm is bv een index.html die geinfecteerd is met een worm. jij surft lekker naar een site en download die index.html die besmet is. en je bent gelijk geinfecteerd zonder dat je je erzelf tegen hebt kunnen beschermen zoals je met mail kan.

maar zulke worms zouden natuurlijk ook, zoals boven beschreven, de bugs van IE etc kunnen gebruiken.
SlaSauS @JeroenNietDoen13 augustus 2001 23:45
maar zulke worms zouden natuurlijk ook, zoals boven beschreven, de bugs van IE etc kunnen gebruiken.
dat bedoel ik dus :)
de bugs van welk programma dan ook exploiteren...
Verwijderd @JeroenNietDoen14 augustus 2001 00:05
Is niet nieuw. Als je een scriptje (VBS of Java ofzo) op je page hebt staan, en je hebt het op de een of andere manier voor elkaar dat die "marked as safe for scripting" is, dan kun je gemakkelijk je bezoeker infecteren. Als die z'n security level niet hoog genoeg heeft staan tenminste. Voor zover ik weet voert internet explorer scripts altijd uit als ze "marked safe for scripting" zijn (in de default instellingen), dus de kans om te "scoren" is hoog.

Kijk als voorbeeld eens op deze pagina (PAS OP: GEINFECTEERD MET HET HAPPYTIME VIRUS!):

www.asma.hpg.com.br/index1.htm

edit: dit was ik nog vergeten te zeggen. Als je op die site bent geweest moet je de kopieen in je temporary internet files nog verwijderen! (zoek naar de tekst "I am sorry! Happy time") In ieder geval niet dat script uitvoeren!
Steven 13 augustus 2001 21:00
En als zoiets nou icm Code Red gebruikt wordt... Een worm die op elke niet beveiligde ISS server deze worm op de index.html zet... Voordat de beheerders dat door hebben zijn er soms al duizenden mensen "besmet"...
TheGhostInc @Steven14 augustus 2001 00:13
Maar dan heb je het niet meer over een standaard hacker die problemen probeert op te sporen, dan heb je het over een destructief programma, dat is vaak toch anders dan bv. een 'I Love U' virus (als dat al een virus is). De intentie is dan echt slopen, en de meeste viri-makers hebben dat toch niet.
HurrI @TheGhostInc14 augustus 2001 01:30
de meeste ja.. maar er hoeft maar 1 gek tussen te zitten
Verwijderd 14 augustus 2001 02:23
Ik ben wél bezorgd. Via HTML mail kan je Inline-frames in je mail zetten ( <iframe> ) en zo een website tonen in een aparte ruimte in je html document/email.

Wat zou er gebeuren als iemand een worm maakt die een email rondstuurt met een <iframe> in die verwijst naar een webworm? Van het moment dat je de mail leest wordt je geïnfecteerd... daar gaat het "don't open stange attachments" principe. (Iframes werken in HTML mail... Ik weet niet of deze worm werkt vanuit een iframe.)

Dit geldt waarschijnlijk alleen voor Outlook, maar als je ziet wat voor een ravage VBScripts hebben aangericht kan je er zeker van zijn dat het door het overgrote deel van mensen gebruikt wordt...

(Edit: een < gevolgd door een haakje werd aan zien als ;))
iceblink @Verwijderd14 augustus 2001 06:47
Dan wordt die site overbelast en binnen de kortste keren offline gehaald.
Haaguit 13 augustus 2001 21:04
Ik kan me ook nog wel herinneren dat een hoop sites zeiden: "Zo'n erge impact zal een code red virus niet hebben, de patch is gratis te downloaden en vrij verkrijgbaar."

Tuurlijk. Een beetje hacker zet een dergelijke code bij een drukke site ertussen en presto. Ik denk aan een eBay, Google of Compaq.

Als het kan gebeurt het :Y)
DMT 13 augustus 2001 21:27
Inderdaad, wanneer een hacker de kans krijgt om hem op een heel druk bezochtesite te zetten, dan is het kwaad eerder geschied dan het nieuws. in dat geval zijn er gewoon veel slachtoffers. Nu heb ik het natuurlijk over een worm die zich niet laat zien, en gewoon ongemerkt binnen komt zetten. Tegen attachments kun je met een goed verstand nog wel wat tegen doen; niet openen.

Tja wie weet is het binnenkort WWWar I
zork 13 augustus 2001 21:40
Dat zulke mensen 'kevertjes' in software zoeken en laten zien wat ze door dat 'kevertje' kunnen doen, zodat de software-ontwikkelaars het 'kevertje' kunnen uitroeien, snap ik volkomen. Maar dat zulke scripts vrij downloadbaar zijn snap ik absoluut niet, aangezien er nu allerlei chineesjes ( :) ) dat script aan het aanpassen zijn om zo een agressieve worm te maken...
Roland684
14 augustus 2001 01:58
Als ik het zo zie is het een virus dat zichzelf niet kan verspreiden... En als het zich verspreid via outlook vindt ik het niet echt een nieuw type virus.

Tenzij het programma als het eenmaal binnen is even uitzoekt of IIS, pws, apache of een andere webserver draait en zichzelf installeerd op de webserver van die gebruiker. En dan liefst nog even al je vrienden mailt dat ze eens op je site moeten kijken ;)

* 786562 Roland
Janoz Moderator PRG/SEA 14 augustus 2001 11:59
Je maakt gewoon een webworm die frontpage patched. Elke pagina die de gebruiker vervolgens met frontpage maakt heeft de webworm erin zitten. Dan heb je pas een nieuwe worm.
Bor Coördinator Frontpage Admins / FP Powermod 15 augustus 2001 12:50
Volgens André Post van het SARC (Symantec Antivirus Research Center) zullen we niet veel van webwormen gaan horen. "Het gebeurt vaak dat er wordt gewezen op een zogenaamd veiligheidsprobleem dat bij nadere bestudering niet veel blijkt voor te stellen. Alleen onder omstandigheden die in werkelijkheid niet voorkomen, zou zo'n 'veiligheidsprobleem' werkelijk een gevaar kunnen worden."


Deze meneer is niet echt op de hoogte geloof ik. Het is weer de aloude bekende kop in het zand tactiek...
botsai 13 augustus 2001 21:41
Wignall noemde de wormen waarmee we afgelopen jaar zijn geconfronteerd tijdens zijn presentatie ontzettend amateuristisch.
Zo, amateuristische wurmen dus? Hahaha! Gaan we straks ook allemaal weer naar school om professionele wurmen te schrijven? "Microsoft Certified Wurm Provider", jezus man . . .

:7
* 786562 botsai

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq