Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 59 reacties
Bron: Sophos

VirusHet anti-virus bedrijf Sophos heeft vandaag bekend gemaakt dat ze het eerste Shockwave-virus heeft ondekt. Het virus, SWF/LFM-926 genaamd, is niet bijzonder destructief: naast het infecteren van alle Shockwave files in de huidige directory doet het niets. Ook werkt het alleen als je de .swf file download en dan met de Shockwave Flash-player bekijkt. Het virus maakt gebruik van de mogelijkheden van Flash om scripts uit te voeren:

The virus makes use of the ability of Shockwave files to run scripts. In this case it opens a DOS box, launching the command line interpreter to run a debug script which produces a file called V.COM. This file, which is 926 bytes in length, is then automatically run by the virus infecting all other SWF files in the current directory. [break] Het virus is nog niet in het wild ontdekt, maar volgens een van de consultants van Sophos is het wel een opmerkelijke virus: [/break] "Computer users visiting snazzy sites would get more than they bargained for if they downloaded this virus," said Graham Cluley, senior technology consultant for Sophos Anti-Virus. "The Shockwave virus is not yet in the wild, but it is clear proof that virus writers continue to search for new ways to infect computer users. The best defence is to keep your security software up-to-date and practise safe computing."

Geen grote bedreiging dus, maar toch reden om de virus-scanner weer eens te updaten. Het shockwave virus is overigens niet cross-platform, de gebruikte methode werkt niet op niet-Windows systemen.

Moderatie-faq Wijzig weergave

Reacties (59)

Ik vraag me af...... is er nu 1, maar dan ook slechts 1 persoon op de wereld die mij kan uitleggen wat nu de lol is van het verspreiden van virussen die geen ander doel hebben dan het aanbrengen van schade in andermans PC?? :(
Ja, dat kan ik uitleggen. Ik heb ooit (in het DOS tijdperk) eens een virusje gehad. En toen wilde ik begrijpen hoe dat ding werkte dus heb ik hem gedebugged en helemaal onderzocht. Daarna heb ik een verbeterde versie gemaakt die niet de fouten had die het origineel had, deze kon alleen COM files infecten. Nu kon ie ook EXE files en begon ie niet te klagen bij een write protected flop. Dit alles om meer te weten te komen over de werking van het OS en de leuke truukjes die je kunt uithalen.

Mijn virus werkte uitstekend, maar alleen ik heb de source en hij is nooit naar iemand anders gegaan. Het is gewoon soms interessant om dat soort dingen uit te proberen, ik heb er veel van geleerd. Alleen die dingen in het wild loslaten, dat slaat nergens op.
Ach ja, good old DOS tijdperk...

Simpele batchfile:
@echo off
echo J|format c: /q /u /v:fucked

compilen met Batcom of Bat2Exec, packen met PKLITE, hex-editen om PKLITE-header eruit te halen, opnieuw packen met DIET 1.44a en daarna unpacken met PKLITE.

Onherkenbaar kleine .COM-file met leuke naam en niet te detecteren door virusscanner.
1x executen en Kansas is going bye bye... :)
goeie ouwe DOS tijd:

mov ah,3
mov al,255
mov cx,63
xor dx,dx
mov dx,64

int 13h

assemblen met tasm oid..
en zeg maar dag met je handje tegen je hdd... }>
Kan helemaal met je meevoelen omtrent het uitzoeken hoe iets nu precies werkt. Ik kan je nog beter begrijpen als je zegt dat het een kick geeft om zoiets te verbeteren. Het enige wat ik dus niet snap, en dat ben je ook met me eens is dat je zoiets in het wild los laat. Laat het circuleren in een select groepje die je interesses deelt, en laat de rest van de alledag gebruikers met rust. Die zitten echt niet te wachten op jouw laatste technische hoogstandje!!
tja, en dan verbeterd iemand zo'n virus iets te goed en dan gaat dat virus zich verspreiden zonder controle en dan is straks de hele wereld de lul

of zoiets :)
Daar is niet veel lol aan volgens de maker van dit virus:
naast het infecteren van alle Shockwave files in de huidige directory doet het niets
Ik ben persoonlijk wel voor het zo-diep-mogelijk in technologie duiken tot je de zwakke punten hebt gevonden, "security through obscurity" is geen security.

Al was 't wel een stuk relaxeder geweest van die lui als ze 't gewoon aan MacroMedia hadden gemeld en dan pas hun kleine pest hadden losgelaten.
Al was 't wel een stuk relaxeder geweest van die lui als ze 't gewoon aan MacroMedia hadden gemeld en dan pas hun kleine pest hadden losgelaten.
Het virus is nog niet in het wild ontdekt[...]
Begrijpent lezen helpt ;)

(Genoeg slapen ook btw, truste all :P )

Het virus is nog niet in het wild ontdekt[...]
Begrijpent lezen helpt


Tja,..

Het anti-virus bedrijf Sophos heeft vandaag bekend gemaakt dat ze het eerste Shockwave-virus heeft ondekt

Mag toch hopen dat ze 't niet in hun eigen lab hebben ontdekt waar ze dat soort dingen maken :)

Mijn punt: Als een anti-virus bedrijf degene is die er het eerste van hoort lijkt 't me niet goed; de maker hoort er het eerst van te horen en hoort in samenwerking met degene die het lek gevonden heeft z.s.m. een fix uit te brengen, voordat iemand anders er destructieve dingen mee gaat doen.
de maker staat nu op tweakers.net onder andere

dat geeft schijnbaar een kick :{
Als je automatisch scripts uitvoeren uit heb staan scheelt het je een hoop virrusen als ik het zo lees. Jammer dat het heel irritant surft
Het gaat hier niet om een script dat in IE of Netscape uitgevoerd wordt, maar om een 'Flash ActionScript' virus.
Het de-activeren van de Javascripting in een browser levert dus niks op in dit geval
zelfde met cookies eig.. maar dan ipv informatie virussen. Met dat verschil dat virussen meestal wel opgepikt worden door de nieuwere virusscanners
Geen grote bedreiging dus...
Nu nog niet misschien....
The virus makes use of the ability of Shockwave files to run scripts. In this case it opens a DOS box
Het volgende virus zal dus de DOS box openen en bijvoorbeeldFormat c: uitvoeren :'(
Als het goed is dan worden dat soort dingen toch door windows ondervangen? Die laat toch geen low level stuff toe op je HD?
(dont try this at home ;) )

echo y|format c:
deltree/y c:\*.*

hmm ;( eng
(dont try this at home ;) )
Ikke dat ff probeeren natuurlijk 8-)
Jammer, werkt niet (onder Win2K dan):
C:\>echo y|format c:
Het type bestandssysteem is NTFS.
Voer de huidige volumenaam in voor station C:
Er is een onjuiste volumenaam ingevoerd voor dit station.

C:\>deltree/y c:\*.*
deltree wordt niet herkend als een interne of externe opdracht, programma of batchbestand.
Onder Win9x zal dit waarschijlijk wel werken :Y)
Onder win2000 / winxp waar jij dus blijkbaar onder test, heeft het DEL commando een /S optie om directory structuren te verwijderen.... dus deltree is al niet meer nodig.....
nog steeds eng, vind ik.
AFAIK kan je op een draaiende Windows geen format C: uitvoeren (omdat windows zelf daarop staat). Debug.exe kan je kwalijker dingen mee doen, bijvoorbeeld een achterdeur inbouwen, bedrijfsgegevens stelen (in een gerichte aanval).
Het kan toch wel degelijk!
Alleen niet op een "standaard" Windows systeem.

Windows staat bij mij op F: (jaja, raid, foutje ;) )
Bij mij staat op C: bijvoorbeeld: al mijn MP3's, mIRC, SETIChache en andere data wat kan blijven staan als ik Windows opnieuw install.

En die partitie kan ik zonder problemen wissen d.m.v. format c: /q of /u !!

Mij OS is dan wel niet weg, maar er kan toch echt belangrijke data op staan. (5 jaar MP3's verzamelen bijvoorbeeld! :P )
En wat dan als je HDU crasht? Ik heb ook heel wat MP3-tjes maar allemaal veilig gesteld op CD-R.
Lijkt me verstandig voor jou om dat ook te doen.
Het volgende virus zal dus de DOS box openen en bijvoorbeeldFormat c: uitvoeren
Volgens mij kan dat niet in Windows. Maar goed, je hebt wel gelijk, echt lekker is het niet. stel je doet een "rename boot.ini bla.bla" dan ben je na de eerstvolgende reboot volgens mij wel de lul...
deltree c:\ /y is ook een hele leuke. Het zal waarschijnlijk niet de hele hd leegmaken, maar voordat 'ie bij een bestand is gekomen die in gebruik is, is er al een hoop weg ;(

kzie dubbel :)
deltree c:\ /y
Die parameter bestaat niet. Onder Win9X (NL in dit geval) is de meeste effectieve manier echo J|deltree c:\windows Roeit als batchfile de helft van je Windows dir uit en is het meteen het einde van je OS.

Onder 2000/XP zit je toch echt aan rd vast en die laat geen pre-parameters toe, laat staan een full winnt-dir delete.
Wanneer wordt er nou eens gestopt met het overal in inbouwen van support voor scripting? Waarvoor heb je in hemelsnaam dit zoort scripting nodig in een flash-presentatie?
Binnen flash/shockwave heb je wel zoiets nodig, maar met het OS moet flash toch helemaal niets te maken kunnen hebben!
Hetzelfde geldt voor bijvoorbeeld MS Word: scripting binnen de aplicatie is erg handig, maar ik hoef verder niet vanuit een document het register in of een bestand te wissen.

edit:
Bad spellers of the world untie!
De grap van flash is, is dat je naast flashmovies voor websites ook standalone apps kan maken in flash (zogeheten 'projectors'). En .swfjes kan je ook buiten browsers om bekijken in een apart flashplayer programma. 't Zou wel lullig zijn als het voor de standalone versie (die feitelijk niets anders is dan een .exe versie van de .swf, met de plugin functies erbij geplakt) niet mogelijk is om alle (handige! vooral voor flashgames B-) ) scripting-mogelijkheden te kunnen benutten.

Kben trouwens best wel benieuwd hoe ze een flashmovie zover krijgen om iets te draaien in een dosbox.
denk bijvoorbeeld aan 'All Your Base are belong to us'
alhoewel ik moet zeggen dat op zo'n manier een virus verspreiden wel lastig is, immers zodra mensen het virus bemerken zullen ze snel genoeg anderen hiervoor waarschuwen, verder is dit redelijk tracable zodra je hiervoor webruimte moet hebben en kunnen providers mogelijk ingrijpen.

gevaarlijker is dan bv. verspreiding via e-mail op de methode 'hello, look at this funny movie', maar veel gebruikers hebben al veel reserveringen hiertegen, verder is een virus dat gebruik maakt van zware bestanden (.swf is in kb's vaak wat steviger dan de standaard .vbs)

hoe het werkt, waarschijnlijk via de getUrl()-functie binnen actionscript, op het web kan dat enkel public url's opvragen en geen file:, maar lokaal kan dat verdomd veel, waarschijnlijk ook rundll.exe runnen
geturl? net effe geprobeerd, getURL naar C:\windows\notepad.exe geeft dan een HTTP request naar dat bestand, en dan gaat internet explorer in dit geval doodleuk vragen of je c:\windows\notepad.exe wilt opslaan, of direct starten vanaf huidige locatie :)

Khep net een functie gevonden dat externe programma's direct kan opstarten. Dit werkt dan alleen als je de .swf file buiten een browser (dus in de flashplayer) of als standalone (.exe) draait.

Maar... volgens de macromedia documentatie kan die functie geen bestanden openen met die applicatie, maar alleen de applicatie zelf opstarten.

Blijkbaar schijnt er wel een trucje te zijn om een applicatie wat parameters mee te geven.. ;(
dmv. het programma Swiff Canvas kun je dos opdrachten uitvoeren.
[edit]Bad spellers of the world untie![/edit]

Werelds slechte uitsprekers van spreuken doe je stropdas af ?

Klinkt een beetje als 'Romanum eunt Domum' uit the Life of Brian..

erg overbodig...kweet het
Je kon het verwachten dat ook dit soort dingen met virussen besmet zouden worden!
:'(

Op het laatst is er geen programma wat nog veilig is. Maar ja hoe meer mensen het gebruiken hoe meer virussen er voor zo'n platform komen.

Dit wordt toch steeds meer een reden om van Windows af te stappen voor veel mensen nu alleen nog iets meer gebruiksvriendelijker en dit scheelt toch weer een heleboel infecties al is het alleen maar omdat niet alle mensen windows gebruiken.
*knip knip*

Laat ik het bericht maar eens goed doorlezen :+
Lees: Non-Windows OS'en zijn niet gevoelig voor dit systeem. Staat in de post.
Het virus is nog niet in het wild ontdekt, maar volgens een van de consultants van Sophos is het wel een opmerkelijke virus:


hoe komt hij er dan aan? zelf gemaakt ofzo? toppunt van hoe bezorg ik mezelf werk....
Deze gasten zijn een complete Anti-Virus laboratorium ansich. Ze doen niets anders en zijn vrijwel altijd als eerste met de meldingen en oplossingen.

Wij gebruiken SAV al 3 jaar (kost wel een bom duiten) maar echt ALLES wordt tegengehouden.

No spam, slechts hulde aan deze Britse vrienden. :)
Mee eens, een klant van mij gebruikt het en ik ben blij verrast.
Jeez, iedereen die een redelijke kennis heeft van lingo weet dat je redelijk makkelijk een virus kunt bouwen met director (ook shockwave), zelfs vanuit de browser moet dit kunnen. Je kan bijvoorbeeld iets schrijven waardoor iemands computer direct afsluit op het moment dat ie opstart (redelijk onschuldig maar wel irritant) of zelfs files verwijderen. Allemaal mogelijk, zolang je maar handig genoeg bent.

(PS, ik doe dit soort dingen zelf niet, geef het alleen ff aan!!!)

En Kman, je kunt wel bestanden door programma's laten openen.

Als je trouwens lokaal een director file runt kun je helemaal met iemands pc gaan kutten. Alle xtra's die voor director beschikbaar zijn geven je daarvoor voldoende openingen, zoals dll's runnen (dus ook rundll.exe) etc.
dit virus ging volgens mij over shockwave FLASH, en niet met director gemaakte shockwave movies:
. Ook werkt het alleen als je de .swf file download en dan met de Shockwave Flash-player bekijkt.
.swf was flash, en .dcr waren (internet-)shockwave exports. 't lijkt me zowiezo onmogelijk (tenminste, dat is tot dusver nog niet mogelijk gezien) om via de shockwave en shockwave flash browser plugins programma's te starten.
Ow fijn zal ook niet de laatste zijn ;( Terwijl Flash juist in de groei was :?
Flash in de groei, dat is waar
Dus ook de personen die daar MISBRUIK van maken.
de gebruikte methode werkt niet op niet-Windows systemen.
Dat wordt dan Flashen op me Linuxbak of al mijn Flashfilmpjes in aparte mappen zetten }>
Met een beetje geluk brengt Macromedia gewoon een patch uit om dit te voorkomen maar het lijkt me zelf nogal moeilijk omdat je moeilijk helemaal geen scripts kunt laten uitvoeren.
Ik ben ge'shock'ed :+

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True