Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 55 reacties
Bron: Newsbytes

Op Newsbytes staat te lezen dat er twee nieuwe wormen zijn uitgebracht die erg veel op CodeRed lijken. CRClean wacht tot een CodeRed-geinfecteerde machine een connectie naar hem maakt en installeert dan de patch op die machine. Daarna kopieert hij zichzelf er naar toe en wacht daar op nieuwe connecties. Na een reboot de-installeert hij zichzelf. De worm 'CodeGreen' is iets aggressiever:

CodeRed CodeGreen, written by a German security expert who uses the nickname "Der HexXer," is designed to randomly scan the Internet for servers running Microsoft's IIS software that are infected with Code Red version II. When it finds a compromised IIS machine, the worm will attempt to download and apply the patch from Microsoft, and then will close the "back doors" left by the worm. The cleaned host will then itself begin the scanning process. [break] Snel na de eerste meldingen van CodeRed was er op de security mailinglijst bugtraq een discussie over dit idee, maar de ethische consequenties hadden tot nu toe programmeurs er van weerhouden om een schoonmaak-worm te schrijven. Ook nu laait de discussie weer op: [/break] Security professionals have for weeks debated the pragmatic and ethical issues involved in releasing a "benign" worm to combat the thousands of systems apparently still infected with Code Red. But Saturday marked the first time that developers have released such code.

A spokesperson for the Computer Emergency Response Team (CERT), told Newsbytes today that the federally funded security clearinghouse believes there are "serious ethical and legal problems with these kinds of clean-up worms."

De twee wormen zijn nog niet in het wild aangetroffen, maar aangezien de broncode ervan naar de 'vuln-dev' mailinglist van securityfocus is gestuurd, is het een kwestie van tijd voordat ze actief aan het ontsmetten zullen zijn.

Moderatie-faq Wijzig weergave

Reacties (55)

Da's wel bijdehand bedacht. Nou, nog ff en Microsoft gaat hun webservers zo opzetten dat ze je hele systeem scannen bij een bezoekje aan hun site en meteen alle patches en service packs installeren die er maar te krijgen zijn. :)
Ik vind dat WindowsUpdate al heel aardig die kant op gaat, zij het dat ze natuurlijk vanaf www.WindowsUpdate.com ieders privacy redelijk respecteren en niet ongevraagd allerlei (compromitterende) informatie van jouw systeem opslaan/doorseinen.
Ja dat dacht ik dus ook. Totdat ik hfnetchk.exe ging gebruiken, bleek dat geen enkele patch toegepast was. Windowsupdate mag nog heel wat up to dater.
Als ze willen controleren of ik/jij/wie dan ook een illegale versie draait betekend dat schending van de persoon z'n privacy. Ik geloof niet dat meneer M$ nog meer met privacy schending in aanraking wil komen, hij is er vroeger al iets te vaak mee in aanraking gekomen voor de zin van veel gebruikers. Bovendien, als er niet zoveel illegale kopieeen waren was windows NOOIT zo groot geworden, net als heel veel andere programma's. Heel veel bedrijven vinden het niet eens erg als jij hun hele dure pakket thuis illegaal gebruikt, als jij dan op de zaak maar gaat zeiken dat je het nodig hebt en het daar wel aangeschaft word dan hebben ze hun doel bereikt. Immers, veel programma's zouden nooit zo populair geworden zijn als ze nu zijn zonder de undergroud.
Het zal niet altijd de perfecte oplossing bieden maar het is wel een gratis dienst waar de meeste Windows-gebruikers dankbaar hun updates doen, inclusief de lieden met illegale windows versies. Dat Microsoft nog geen authentication voor windowsupdate heeft ingesteld lijkt mij pure goodwill en het helpt hen ook bugs te vinden waarschijnlijk.
Dit is heel makkelijk opgelost met het welbekende vinkje.

Dan kan je een vinkje zetten bij: Update this computer automatically with the newest and not-installed patches.

Dan zouden ze nog 3 lagen daarin aan kunnen brengen. Een waarde die aangeeft hoe belangrijk de patch is. En dat je in windows dan het level aan wil geven, van welk level je de patches wil downloaden (simple,important,crucial bijvoorbeeld).
Helaas zie je over het hoofd dat deze manier van patchen alleen kan werken wanneer een security hole als deze gepatched moet worden. Als CodeGreen eenmaal gewerkt heeft, kan CodeGreen niet nogmaals proberen zich te installeren op dezelfde server: hij heeft zijn eigen toegang dan dichtgegooid.
het idee van "goedaardige" virussen is natuurlijk nobel in aanleg. Maar in hoeverre het bij nobele bedoelingen zal blijven. De kans op misbruik is enorm. En niet alleen door cr(h)ackers. De verleiding voor het bedrijfsleven om hier "gebruik" van te maken is denk ik ook onweerstaanbaar..
het idee van "goedaardige" virussen is natuurlijk nobel in aanleg. Maar in hoeverre het bij nobele bedoelingen zal blijven. De kans op misbruik is enorm.
Dat misbruik is er toch gewoon al? (bijv. Code Red)
Ja, maar moet je dat misbruik verdubbelen? Dat is net zo iets als een tshirt met een gat repareren door het gat er uit te knippen. Het oorspronkelijke gat is er dan niet meer (en misschien rafelt het niet zo) maar het totale gat is groter...
Deze virussen gaan zelf op het Internet zoeken en genereren daarmee allemaal Internetverkeer. Hiermee zijn de niet-gehackte systemen ook de dupe.

Waarom is het niet passief? De Code Red-geinfecteerde server scannen zelf andere computers. Dit kun je herkennen en ze dan patchen. Dan lijkt me het ook ethisch om zo'n 'goedaardig virus' te gebruiken. Je beschermt jezelf dan immers tegen het gedrag van een ander.
Dit is opzich goed voor de geinfecteerde machienes maar slecht voor iedereen. Het is namenlijk de verantwoordelijkheid van de systeem beheerder om er voor te zorgen dat de laatste updates worden uitgevoerd.
Als dit met meerdere beveilings lekken gaat gebeuren dan neemt de verantwoordelijkheid alleen maar af. Wat slecht is voor de veiligheid van systemen.
Op zich was dit natuurlijk wel te verwachten, het was ook al enkele malen gesugereerd op /.

De werking van de CRClean 'worm', vind ik zeer aangenaam, hierdoor raakt en het systeem van de worm af, en eventuele andere, en na de reboot is het dataverkeer weg..

die andere 'worm' moet echter wel weer geuninstalled worden voordat hij stopt met het nutteloos data verzenden en zo toch weer geld kost...
Dieven vang je met dieven, ok, maar etisch is het niet. Je gaat ook niet zomaar een huis binnen als daar de achterdeur openstaat om de lichten aan te doen en de deur af te sluiten. Ik vind dat je hiermee te veel de privicy van anderen schendt, ook al zijn jou bedoelingen wel goed.
Privacy ? welke privacy ?

En welke privacy wordt er dan wel geschonden, er gebeurd niets, alleen het ding update je systeem.
Nou je zegt het al: Het ding update JE systeem.

Dus het is iemands eigendom waar je dus eigenlijk van af moet blijven zonder toestemming van de eigenaar.

Hoe goed bedoelt het ook is, vind ik dat Laphroaig het goed weergeeft mbt tot het huis. Als ik er achter kom dat iemand bij mij of mijn systeem is binnen geweest dan vertrouw ik het gewoon niet en zal ik ongerust zijn of er uiteindelijk niet iets meer gebeurd is dan dat jij op het eerste oog of na lang zoeken kan zien.

Het blijft natuurlijk ieders eigen verantwoordelijkheid om z'n systeem uptodate te houden. En om geen ellendige virussen te verspreiden.
Er moet gewoon een speciale overheidseenheid opgericht worden die niets anders doet dan virussen op dit soort manieren bestrijden. Ethiek leuk, maar als we het met z'n allen er over eens zijn dat virussen slechts VEEL schade aanrichten dan zou ik zeggen dat het middel het doel wel heiligt. Vergelijk het eens met het blussen van je huis door de brandweer als je ze zelf niet gebeld hebt :). Daar wordt toch ook niet eerst een ethische discussie gevoerd voordat die brandslangen uitgerold worden, of wel? }>

Nog een vb-tje, dacht je dat je vrij mocht blijven rondlopen in onze samenleving als je besmet bent met bv het EBOLA-virus? Of je wilt of niet, maar dan zit je in no-time in quarantaine.

\[off-topic]
Er wordt vaak gezegd dat in de geneeskunde van de toekomst door onszelf gefabriceerde/modificeerde goedaardige virussen wellicht gebruikt kunnen om mensen te genezen. Die virussen kunnen namelijk in theorie gewoon ff ons DNA patchen :7. Gentherapie noemen ze dat. Misschien ook een aardig naampje om te gebruiken voor CodeGreen, CRClean e.d.?
\[/off-topic]

[way off-topic]
De meeste tweakers hier hebben een heleboel verstand van computervirussen, maar wellicht niet zo veel van biologische virussen. Het is wel leuk je te realizeren dat de analogie echt heel groot is. Een DNA virus bv, nesteld zichzelf in ons DNA (zoals een computervirus zich vaak in exe-files vestopt), zet de cel (computer) aan het werk om zichzelf vele malen te kopieren en op te sturen in kleine pakketjes naar nieuwe gastheren/cellen (waar het proces zich herhaalt). Het virus kan eigenlijk niks zonder gastheer (heeft geen eigen OS) en parasiteerd op specifieke zwakheden van specifieke soorten (client/OS). Een DNA-virus is echt niks anders dan een klein stukje code (DNA), zonder enige hardware. Meestal openbaart het zich pas nadat het zich al verspreid heeft.
[/way off-topic]
Laat deze worm voor mijn part maar los, al die irri XXXX-en van servers van mensen die NOG steeds niet de patch hebben geinstalleerd (naja irri XXX, ik kan me af en toe irriteren aan de laksheid van sommige mensen of wat 't ook moge zijn waarom ze die patch nog steeds niet hebben geinstalleerd).
Yup yup laat maar los, ik krijg op m'n webserver nog steeds 20+ hits per dag van allemaal verschillende!! IIS servers die nog steeds besmet zijn. Hadden ze maar apache moeten draaien, wat zijn die NT'ers toch veelal lui zeg begin d'r echt moe van te worden. Heb ze in het begin nog proberen te waarschuwen maar het beginnen er echt veel en veelste veel te worden om al die systeembeheerders te achterhalen. PS ik heb ook allemaal NNNNNN's (code red 2? heb ze in ieder geval pas vanaf die tijd)

edit:

heh die flamebait van jou komt zeker van die luie nt mensen die het nog steeds niet gepatched hebben.
NNNN is code red 1
XXXX is code red 2
tja ik heb eigenlijk liever geen automatische updates op mn server door m$ laat staan door een 3rth party
het is erg gaaf dat dit er is.
maar was een bijeffect van die wormen juist dat ze zoveel internet verkeer veroorzaakte?
als deze op precies dezelfde manier gaan werken (scannen,infecteren,verder scannen) dan krijgen we weer dat gedoe dat alles plat gaat!
Als je de tekst had gelezen had je geweten dat CRClean passief wacht tot Code Red connectie maakt met het hem om vervolgens de machine waar Code Red op staat cleaned. En dat Code Green inderdaad zelf op zoek gaat en traffic veroorzaakt.

Dus als je gewoon de nieuw-posting had gelezen was die vraag van jou overbodig.
Dit is net een stap te ver. Signaleren en waarschuwen, daarna moet het ophouden. Waarom willen we geen van allen een snelheidsbegrenzer in onze auto terwijl dat ons rijgedrag mogelijk gunstig beinvloedt? Dat is ook net die stap te ver.
Een gevolg kan zijn dat we nu gescand zullen worden door zowel white als black hats zodat het ontaardt in een 'live' wedstrijd wie het slimste is ..
Een ander mogelijk gevolg is het 'lui' maken van de willekeurige beheerder - 'Ik hang 'm gewoon in het net, zie ik morgen wel of t'ie gepatcht is'.
Als het script alles klaar zet en dan een melding op het scherm zet - voor mijn part met een annoying beep elke tien seconden - met de vraag 'Doen of niet' blijven we aan de goede kant.
Ik vind dat dat ene buttontje er tussen moet zitten.
Een beheerder OK, daar heb je wel een punt. Maar wat dacht je van je grootje die net weet hoe ze een e-mailtje moet sturen? Die zou er wel bij gebaat zijn als er iemand het actief voor haar opnam. Maar goed, misschien dat voor haar filtering/support bij de ISP ook een oplossing zou zijn.

De bolle: nu is het IIS, de volgende keer is het weer vbs of zo. Het gaat om het principe.
Ehm - net weten hoe ze een email stuurt en IIS geinstalleerd hebben staan? Dat soort gebruikers (en da's niet negatief bedoeld) zullen niet gauw IIS hebben draaien - voor de rest hebben ze Windows Update.

Beheerders die net weten hoe ze een email sturen en toch Win2K AS hebben staan met twaalf virtual hosts - da's de categorie die in aanmerking komt om van het net gemept te worden :)
Ja. Ik zal daar op letten. Sterker nog, ik heb daar op gelet - de opmerking met betrekking tot VBS is namelijk door mars toegevoegd NADAT mijn reactie was geplaatst.

Terug naar het in het deze thread verschijnende 'principe' - ik mag concluderen dat jij vindt dat VBS scripters op mijn PC elkaar mogen bestrijden zonder dat ik daarvan weet?

Code Green scant, vindt, patcht en reboot zonder tussenkomst van de eigenaar/beheerder. Als ik dat principe toepas op m'n thuis- of werk PC'tje dan zou ik moeten toestaan dat anderen regelmatig hetzelfde doen? Bij een spontane reboot moet ik dan m'n schouders ophalen en zeggen 'Zal wel weer een virus/script/trojan verwijderd zijn'?

Dat overtuigt me allerminst - dat ene buttontje met 'Doen of Niet doen?' wil ik gewoon zien om te weten wat er gebeurt.
Let even op wat er getypt werd. Hij zegt dat het de volgende keer bijvoorbeeld net zo goed met VBS kan gebeuren en dat is dus wel iets wat iedere boere lul die net een emailtje kan versturen binnen kan halen dus het gaat om het principe
CodeGreen lijkt mij zelf een worm, die op de duur voor net zoveel ellende kan zorgen als CodeRed.

Als ik het goed begrijp gaat hij zelf op zoek door te scannen, nou lekker dan wordt het internet nog een stukje trager. Nee dit is geen goede oplossing.
CodeGreen is idd gewoon CodeRed alleen dan goedaardig. Die is dus een stuk "agressiever" dan CRClean. CRClean komt pas in actie zodra een server die besmet is met *Red verbinding met hem maakt. Maar ja, dit stond ook al in de posting. :)
Ik vraag me af in hoeverre CodeGreen goedaardig is. Je vervangt een portscannende worm door een andere portscannende worm. Het enige verschil is dat CodeGreen alleen servers "besmet" die al besmet zijn door CodeRed.

En moet er straks nog een patch uitkomen voor CodeGreen?
Laat ik het anders zeggen:

CodeRed is destructief (in een bepaalde vorm)
CodeGreen is niet destruktief. Owke, eens, het zorgt voor dataverkeer, maar verwijdert het destructieve CodeRed. Het zal misschien niet lang duren voordat er iets is wat de CodeGreen code gebruikt, alleen dan voor de wat misdadige praktijken. Denk ik :)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True