Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 20 reacties
Bron: WebWereld

Jonathan Wignall kondigde afgelopen vrijdag op de hackersbijkomst HAL (Hackers At Large) een nieuw soort worm aan: een webworm. Wignall heeft een 'proof of concept'-versie van zo'n webworm op zijn site gezet. Deze worm maakt gebruik van een kevertje in de versie 5 en 5.5 van Microsoft Internet Explorer. De webworm kan via de mediaplayer en een Outlook-bestand de computer van de gebruiker besmetten. De worm van Wignall is onschuldig, maar het is vrij eenvoudig om een schadelijke variant te maken.

Code Red"Waarschijnlijk zullen we niet echt veel met deze wormen te maken krijgen. Het is namelijk niet waarschijnlijk dat de beheerders van drukbezochte sites een webworm op hun site zetten. Volgens André Post van het SARC (Symantec Antivirus Research Center) zullen we niet veel van webwormen gaan horen. "Het gebeurt vaak dat er wordt gewezen op een zogenaamd veiligheidsprobleem dat bij nadere bestudering niet veel blijkt voor te stellen. Alleen onder omstandigheden die in werkelijkheid niet voorkomen, zou zo'n 'veiligheidsprobleem' werkelijk een gevaar kunnen worden."

Wignall noemde de wormen waarmee we afgelopen jaar zijn geconfronteerd tijdens zijn presentatie ontzettend amateuristisch. Volgens hem hebben we pas het topje van de ijsberg gezien en kunnen we het aankomende jaar nog veel meer wormen verwachten:

Een goede worm is klein, goed geschreven, richt zich op onervaren gebruikers en systeembeheerders, kan zichzelf eenvoudig reproduceren, komt in de publiciteit en heeft een payload die niet eenvoudig ongedaan gemaakt kan worden. Bovendien richt een goede worm zich op een grote populatie van bijvoorbeeld Windows-gebruikers en is de bron niet te traceren", aldus Wignall.

Surf voor het hele artikel naar WebWereld. Met dank aan Smoothy_ voor de tip.

Moderatie-faq Wijzig weergave

Reacties (20)

Jonathan Wignall kondigde afgelopen vrijdag op de hackersbijkomst HAL (Hackers At Large) een nieuw soort worm aan: een webworm...
maar wat het nieuwe aan deze "soort" worm is ontgaat me nu een beetje? We kennen dit soort wormen toch, een programma (de worm) wat een bekende bug exploiteert en zichzelf vervolgens via een zelfde/andere bug verspreid?

http://www.tweakers.net/nieuws/16338
http://www.tweakers.net/nieuws/13082

edit: links toegevoegd
het nieuwe aan deze worm is dat ie, in tegenstelling tot de meeste worms, via een website binnenkomt ipv een e-mail.

kijk, je weet bv dat als er een e-mail binnenkomt met een raar bestandje eraan dat je die niet opent en 99 van de 100 keer voorkom je daarmee een infectie.

maar, een web-worm is bv een index.html die geinfecteerd is met een worm. jij surft lekker naar een site en download die index.html die besmet is. en je bent gelijk geinfecteerd zonder dat je je erzelf tegen hebt kunnen beschermen zoals je met mail kan.

maar zulke worms zouden natuurlijk ook, zoals boven beschreven, de bugs van IE etc kunnen gebruiken.
maar zulke worms zouden natuurlijk ook, zoals boven beschreven, de bugs van IE etc kunnen gebruiken.
dat bedoel ik dus :)
de bugs van welk programma dan ook exploiteren...
Is niet nieuw. Als je een scriptje (VBS of Java ofzo) op je page hebt staan, en je hebt het op de een of andere manier voor elkaar dat die "marked as safe for scripting" is, dan kun je gemakkelijk je bezoeker infecteren. Als die z'n security level niet hoog genoeg heeft staan tenminste. Voor zover ik weet voert internet explorer scripts altijd uit als ze "marked safe for scripting" zijn (in de default instellingen), dus de kans om te "scoren" is hoog.

Kijk als voorbeeld eens op deze pagina (PAS OP: GEINFECTEERD MET HET HAPPYTIME VIRUS!):

www.asma.hpg.com.br/index1.htm

edit: dit was ik nog vergeten te zeggen. Als je op die site bent geweest moet je de kopieen in je temporary internet files nog verwijderen! (zoek naar de tekst "I am sorry! Happy time") In ieder geval niet dat script uitvoeren!
En als zoiets nou icm Code Red gebruikt wordt... Een worm die op elke niet beveiligde ISS server deze worm op de index.html zet... Voordat de beheerders dat door hebben zijn er soms al duizenden mensen "besmet"...
Maar dan heb je het niet meer over een standaard hacker die problemen probeert op te sporen, dan heb je het over een destructief programma, dat is vaak toch anders dan bv. een 'I Love U' virus (als dat al een virus is). De intentie is dan echt slopen, en de meeste viri-makers hebben dat toch niet.
de meeste ja.. maar er hoeft maar 1 gek tussen te zitten
Ik ben wél bezorgd. Via HTML mail kan je Inline-frames in je mail zetten ( <iframe> ) en zo een website tonen in een aparte ruimte in je html document/email.

Wat zou er gebeuren als iemand een worm maakt die een email rondstuurt met een <iframe> in die verwijst naar een webworm? Van het moment dat je de mail leest wordt je geïnfecteerd... daar gaat het "don't open stange attachments" principe. (Iframes werken in HTML mail... Ik weet niet of deze worm werkt vanuit een iframe.)

Dit geldt waarschijnlijk alleen voor Outlook, maar als je ziet wat voor een ravage VBScripts hebben aangericht kan je er zeker van zijn dat het door het overgrote deel van mensen gebruikt wordt...

(Edit: een < gevolgd door een haakje werd aan zien als ;))
Dan wordt die site overbelast en binnen de kortste keren offline gehaald.
Ik kan me ook nog wel herinneren dat een hoop sites zeiden: "Zo'n erge impact zal een code red virus niet hebben, de patch is gratis te downloaden en vrij verkrijgbaar."

Tuurlijk. Een beetje hacker zet een dergelijke code bij een drukke site ertussen en presto. Ik denk aan een eBay, Google of Compaq.

Als het kan gebeurt het :Y)
Inderdaad, wanneer een hacker de kans krijgt om hem op een heel druk bezochtesite te zetten, dan is het kwaad eerder geschied dan het nieuws. in dat geval zijn er gewoon veel slachtoffers. Nu heb ik het natuurlijk over een worm die zich niet laat zien, en gewoon ongemerkt binnen komt zetten. Tegen attachments kun je met een goed verstand nog wel wat tegen doen; niet openen.

Tja wie weet is het binnenkort WWWar I
Dat zulke mensen 'kevertjes' in software zoeken en laten zien wat ze door dat 'kevertje' kunnen doen, zodat de software-ontwikkelaars het 'kevertje' kunnen uitroeien, snap ik volkomen. Maar dat zulke scripts vrij downloadbaar zijn snap ik absoluut niet, aangezien er nu allerlei chineesjes ( :) ) dat script aan het aanpassen zijn om zo een agressieve worm te maken...
Als ik het zo zie is het een virus dat zichzelf niet kan verspreiden... En als het zich verspreid via outlook vindt ik het niet echt een nieuw type virus.

Tenzij het programma als het eenmaal binnen is even uitzoekt of IIS, pws, apache of een andere webserver draait en zichzelf installeerd op de webserver van die gebruiker. En dan liefst nog even al je vrienden mailt dat ze eens op je site moeten kijken ;)

* 786562 Roland
Je maakt gewoon een webworm die frontpage patched. Elke pagina die de gebruiker vervolgens met frontpage maakt heeft de webworm erin zitten. Dan heb je pas een nieuwe worm.
Volgens André Post van het SARC (Symantec Antivirus Research Center) zullen we niet veel van webwormen gaan horen. "Het gebeurt vaak dat er wordt gewezen op een zogenaamd veiligheidsprobleem dat bij nadere bestudering niet veel blijkt voor te stellen. Alleen onder omstandigheden die in werkelijkheid niet voorkomen, zou zo'n 'veiligheidsprobleem' werkelijk een gevaar kunnen worden."


Deze meneer is niet echt op de hoogte geloof ik. Het is weer de aloude bekende kop in het zand tactiek...
Wignall noemde de wormen waarmee we afgelopen jaar zijn geconfronteerd tijdens zijn presentatie ontzettend amateuristisch.
Zo, amateuristische wurmen dus? Hahaha! Gaan we straks ook allemaal weer naar school om professionele wurmen te schrijven? "Microsoft Certified Wurm Provider", jezus man . . .

:7
* 786562 botsai

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True