W32.Donut: eerste virus dat .Net-software besmet

Microsoft.NetEen aantal producenten van anti-virus programmatuur heeft gisteren het eerste virus ontvangen dat op .Net gebaseerde bestanden kan besmetten. Virusschrijvers blijken alvast vooruit te kijken naar nieuwe technologieën, ze willen graag de eerste zijn die een virus maken voor een nieuw platform. Het virus, genaamd W32.Donut, is geschreven in Microsoft's .Net Intermediate Language, ook wel MSIL genoemd. W32.Donut richt gelukkig weinig schade aan:

One of every 10 times a file infected with Donut starts up, the virus will display the message "This cell has been infected by dotNET virus!" and the author's name. Though the virus spreads to .Net files, only a small fraction of it is written in MSIL, according to both Symantec and the author's description of the virus.

Het is onzeker of het W32.Donut virus zich ook makkelijk kan verspreiden als het .Net-netwerk op volle toeren draait, omdat er verschillende beveiligingschecks zijn ingebouwd. Microsoft was niet direct bereikbaar voor commentaar, aldus CNET.

Door Gabi Gaasenbeek

Feedback • 10-01-2002 15:15 57

10-01-2002 • 15:15

57

Bron: CNET

Lees meer

Virus vermomd als Microsoft security bulletin
Virus vermomd als Microsoft security bulletin Nieuws van 12 maart 2002
Maker W32.Donut gaat tegen Microsoft in
Maker W32.Donut gaat tegen Microsoft in Nieuws van 16 januari 2002
Microsoft: "W32.Donut is geen echt .Net-virus"
Microsoft: "W32.Donut is geen echt .Net-virus" Nieuws van 13 januari 2002
Virussen kostten bedrijven ruim € 14 miljard in 2001
Virussen kostten bedrijven ruim € 14 miljard in 2001 Nieuws van 10 januari 2002
Microsoft sluit miljoenendeal voor haar .Net-techniek
Microsoft sluit miljoenendeal voor haar .Net-techniek Nieuws van 17 december 2001
Meer producten en artikelen
Software

Reacties (57)

-Moderatie-faq
57
47
32
11
2
0
Wijzig sortering
Verwijderd 10 januari 2002 17:15
Ik wil dit niet eens een virus noemen. Als ik een executable opstuur naar een Java gebruiker die vervolgens de (veilige) Java architectuur aanpast zodat ik ook "onveilige" Java applets kan draaien is Java dan lek? Nee, natuurlijk niet!

Ook .NET code, die geschreven is in Microsoft Intermediate Language, draait in een afgesloten omgeving die vergelijkbaar is met het Java sandbox model. Dit is een zeer veilig model en .NET code is niet in staat om buiten dit model te treden wat het virussen onmogelijk maakt zich te nestelen.

Wat dit W32/Donut programma doet is niets anders dan de veilige architectuur van .NET vervangen door een aantal onveilige componenten. Het is niet eens een .NET programma maar een gewone Win32 applicatie. Bovendien moeten gebruikers eerst zelf het programma downloaden, daarna moeten ze het zelf activeren en bovendien moeten ze ook nog eens beheerder zijn anders staat Windows de installatie uberhaupt niet toe.

Als ik een uitvoerbaar programma naar een Linux, Unix of gebruiker van een anders OS stuur en hem vraag om het als beheerder te installeren dan is IEDER besturingssysteem lek te noemen. Het heeft niets maar dan ook niets met de veiligheid van .NET of het .NET framework te maken.
Verwijderd 10 januari 2002 16:22
Oh jee gaan weer weer Microsoft Vs Linux etc.

Snappen jullie nou nog niet dat Linux vulnerabilities weinig in het openbaar verschijnen om niet in discrediet te raken en dat iedere bug in MS meteen enorm word opgeblazen om ze te pakken?

Moet je eens kijken wat er in 1 dag allemaal voor Linux bugs/vulnerabilities ontdekt worden:

Subject : mutt ports contain remotely exploitable
buffer overflow Date :09-Jan-2002

By courtesy of the FreeBSD Security Advisories we received information on a
vulnerability in mutt, prior to version 1.2.5_1

Subject : FreeBSD: pw(8) vulnerability Date :09-Jan-2002
==

By courtesy of the FreeBSD Security Advisories we received information on a
vulnerability in FreeBSD's pw(8) utility

Subject : Apache: mod_auth_pgsql authentication
bypass Date :09-Jan-2002


By courtesy of the FreeBSD Security Advisories we received information on a
vulnerability in the mod_auth_pgsql Apache module.
Subject : SGI: NQS network queing system Date :09-Jan-2002


By courtesy of the SGI we received information on a vulnerability in the NQS
network queing system.

En RARA waarom zien we hier geen topics over?
Verwijderd @Verwijderd10 januari 2002 16:27
Lijkt veel, maar zijn er 2 :) ennuh, het is FreeBSD en niet Linux :)
Verwijderd @Verwijderd10 januari 2002 16:40
Ik tel er toch echt 4, ennuh je hebt gelijk dat FreeBSD geen Linux is, maar de gebruikers ervan vallen wel onder hetzelfde groepje zeurende anti MS-ers.

Als je tellen leuk vind (blijkbaar) moet je maar eens tellen welk percentage MS systemen aandeel in heeft in onderstaande link, misschien kom je ook wel een aantal keren RH tegen :)

http://cert-nl.surfnet.nl/s/indexs.shtml
Verwijderd @Verwijderd10 januari 2002 17:04
Linux is #1
www.securityfocus.com/vulns/stats.shtml
Verwijderd @Verwijderd11 januari 2002 16:56
link is dead, dood, kaput
:Y)
RetepV @Verwijderd11 januari 2002 11:36
Oh jee gaan weer weer Microsoft Vs Linux etc
JIJ bent degene die er nu over begint hoor...
djkooij 10 januari 2002 15:50
Als ik dit bericht goed begrijp gaat het hier niet echt om het virus (dus kwaadwillend) maar meer om de exploit welke gebruikt is om het mogelijk te maken uitvoerbare code aan een bestand te koppelen (dus aantonen aan de wereld dat de software "lek" is), wat in dit geval "redelijk" netjes gedaan is, al had het netter gekund. Virus writers (de "kwaden") moeten ze zwaar straffen (de virussen kosten de economie te veel). Exploit ontdekkers moeten ze juist belonen, want stel dat ie z'n bek had gehouden en een jaar later zichzelf op een minder legale manier van jouw crditcard nummer had voorzien?
Dope-E @djkooij10 januari 2002 19:51
Exploit ontdekkers moeten ze juist belonen, want stel dat ie z'n bek had gehouden en een jaar later zichzelf op een minder legale manier van jouw crditcard nummer had voorzien?
Dan mag je elk persoon wel gaan belonen die niet je portemonnee uit je broekzak jat. Iedereen heeft er de kans toe...
Verwijderd @Dope-E13 januari 2002 16:30
Daar is iedereen het over eens.. maar hoeveel idioten maken er misbruik van als ze de kans krijgen.. ze weten niet hoe ze het probleem moeten oplossen dus verbieden ze alles wat er mee te maken heeft
Verwijderd 10 januari 2002 15:21
Dit zat er wel aan te komen natuurlijk. Virus-schrijvers (aka mensen met een psychische stoornis) zullen ook bij deze zaken de bijbehorende virussen ontwikkelen. En dan kunnen we wel weer de vraag stellen: wat is het nut? en dan kunnen we weer zeggen: het is de kick voor hun.
ToAoM @Verwijderd10 januari 2002 15:39
Ik zou eerder zeggen dat het nut is om aan te tonen dat de software die geschreven is door de softwaremaker (in dit geval Microsoft) dusdanige fouten bevat qua ontwerp (beveiliging etc) dat dit soort aanvallen mogelijk zijn, die privacy gegevens openbaar zouden kunnen maken, in de handen van bijvoorbeeld de FBI
arjenk|IA @ToAoM10 januari 2002 17:16
...nut is om aan te tonen dat de software die geschreven is door de softwaremaker (in dit geval Microsoft) dusdanige fouten bevat qua ontwerp (beveiliging etc) dat dit soort aanvallen mogelijk zijn, die privacy gegevens openbaar zouden kunnen maken...
En ik trap bushokjes in elkaar om aan te tonen dat de constructie te licht is, en dat wat er overblijft nadat ik er klaar mee ben een gevaar is voor fietsers die niet voor zich kijken en nietsvermoedende voetgangers die even willen gaan zitten.

Ja hoor.
EdwinSchaap @arjenk|IA10 januari 2002 17:24
Waar jij het over hebt zijn de normale blue screens. Daar heb je geen virussen voor nodig, die komen met enige regelmaat vanzelf voorbij :)

Een beter voorbeeld is het opbreken van een volkwagen (is ongeveer 5 sec. voor nodig) om aan te tonen dat ze te weinig aan de beveiliging hebben gedaan. En omdat de auto dan toch op is de boel maar vernielen. :?
Carda @arjenk|IA10 januari 2002 19:53
En ik trap bushokjes in elkaar om aan te tonen dat de constructie te licht is, en dat wat er overblijft nadat ik er klaar mee ben een gevaar is voor fietsers die niet voor zich kijken en nietsvermoedende voetgangers die even willen gaan zitten.
Nee jij trapt ze allemaal aan gruzelementen wat ECHTE hackers/virusschrijvers doen is een kopie maken van jouw bushokje, die stukje voor stukje bekijken en testen.
En daarna sturen ze hun testresultaten samen met een testprogramma c.q. virus op naar de anti-virus aapjes...

Over al die virussen die in het wild rond neuzen de makers daarvan zijn van die kleuters die het leuk vinden om otto's, bushokjes, speelveldjes etc. te vernielen.
RetepV @arjenk|IA11 januari 2002 11:34
En ik trap bushokjes in elkaar om aan te tonen dat de constructie te licht is, en dat wat er overblijft
Maar goed, alle paranoia terzijde... .NET is dus gewoon lek en Microsoft bewijst dat ze te hoog gegrepen hebben, of minstens dat ze nog erg weinig van beveiliging snappen.

Wat de bedoelingen van de virusschrijver ook zijn, het blijft een feit dat .NET dus lek is.
RG @Verwijderd10 januari 2002 16:21
Je kunt star de andere kant op kijken en doen alsof er niets aan de hand is. Maar deze virussen tonen aan dat er nogal wat dingen fout zitten en dat is maar goed ook lijkt me. Dan kun je die makers wel randdebielen noemen, maar blijkbaar schort er dan wat aan de software...
Auteurzomertje @Verwijderd10 januari 2002 16:27
Het is niet bewust verspreid, maar naar de producenten van anti-virussoftware gestuurd. Waarschijnlijk om aan te tonen dat het kan. (net als Jesse Houwing ook zegt)
Tweak-Freak @Verwijderd11 januari 2002 00:11
...nut is om aan te tonen dat de software die geschreven is door de softwaremaker (in dit geval Microsoft) dusdanige fouten bevat qua ontwerp (beveiliging etc) dat dit soort aanvallen mogelijk zijn, die privacy gegevens openbaar zouden kunnen maken...
Op zich heb ik geen problemen met mensen die een "virus" maken. zolang ze het alleen puur gebruiken om aan te tonen dat er nog serieus dingen verbeterd dienen te worden. Zolang het vierus geen schade aan richt vind ik het alleen maar goed.

Maarja aangezien er altijd van die mongole |:( zijn de doormiddel van virussen heel je computer verneuken. :( Dit kost bedrijven jaarlijks ook nog eens verschrikkelijk veel geld :(
Verwijderd @Verwijderd10 januari 2002 17:49
Verschil hackerz - crackerz....
Een "goeie" virusschrijver flikkert zijn kindje niet in het wild, maar maakt softwarebakkers of viruskillers attent op hun bevindingen. Als daar nix mee gedaan wordt vind ik het terecht dat ze hun funny-viri loslaten om wat melige tekstjes of so de wereld in te sturen. Leuk voor even, maar je HD gaat R niet stuk van. Een SLECHTE slaat die stappen allemaal over en knalt een tijdbom a la DDos/HD Killer het net op. Daar heeft dus niemand wat aan, levert IDD al1 maar ellende op. DIE gasten zijn sicko's ja....
k7of9 @Verwijderd10 januari 2002 18:09
Juistem, hackers (we zullen maar zeggen de veel blaffen maar niet bijten types) zijn ontzettend belangrijk, dat zien een hoop mensen niet zo, maar toch is het zo.

Waar je echt bang voor moet zijn, zijn mensen die echte kwaad in de zin hebben en er bewust schade mee willen aanrichten. Zelfs een vorm van terrorisme kan in die hoek gevonden worden.

Hackers geven aan waar gaten zitten zodat zoveel mogelijk geprobeerd kan worden de slechten daar vandaan te houden.

Maar uiteindelijk is alles te kraken hoe je het ook wend of keer. Windows, Linux, alles. (ja ook linux ja :) )
AlterEgo 10 januari 2002 15:34
Een virus maken vind ik persoonlijk nogal lame. Donut toont aan dat .Net lekt. En dat is wel belangrijk.
Just de .Net technologie dient uitermate safe te zijn. Er worden immers echt persoonlijke gegevens opgeslagen. IMHO zou een dergelijke technologie open-source moeten zijn, om enig vertrouwen te hebben in de veiligheid. Niet dat open-source per definitie veilig is, maar wel inzichtelijk(er).
sonix666 @AlterEgo10 januari 2002 15:42
Het virus geeft verre van aan dat .NET lek is. Tegen dit soort file aanpassingen valt niets te doen. Dit virus voegt gewoon of vervangt de intermediate code in een .NET assembly met eigen code die die tekst toont. Dat is hetzelfde als dat je gewoon een .EXE of .DLL aanpast met x86 machine code die hetzelfde doet. Daar kan je niets tegen doen behalve met een virus detector die dat virus op tijd stopt.
AlterEgo @sonix66610 januari 2002 16:21
Dank voor je aanvulling. Mijn definitie van lek: als een virus kan binnendringen, en zich kan verspreiden, dan zit er toch een lek in de technologie?
Ook file-aanpassingen zijn te voorkomen, er zijn encryptietechnieken speciaal voor dit doel ontwikkeld.
[edit] als aanvulling dit GoT topic: http://gathering.tweakers.net/showtopic.php/376210/1/25
ErectionJackson @AlterEgo10 januari 2002 16:23
Jij snapt blijkbaar niet wat .NET inhoudt. In .NET wordt helemaal niets opgeslagen.

edit:typo's
lowielander 10 januari 2002 15:56
Hoe krijgen die virussen hun naam? of zegt de programmeur dat "oh ja ik heb hem geschreven en noem hem w32.Donut"
vooghel @lowielander10 januari 2002 16:21
Zoiets, ja. Code Red bijvoorbeeld is genoemd naar de frisdrank die de programmeurs dronken toen ze 'm 'ontcijferd' hadden. Meestal expres niet de naam die de maker het virus gegeven had.
Verwijderd @vooghel11 januari 2002 09:53
juist wel. in virussen / worms staat vaak een string met de naam enzo die auteurs er aan geven. maar virussen en andere malware wordt benaamd volgens een organisatie met een standaard. meestal wordt de naam aangehouden die er instaat (als het er instaat) maar als deze niet aan de regels voldoet (geen namen van bekende personen e.d.) wordt er een andere naam aan gegeven. bijvoorbeeld de naam van de auteur enzo.
Verwijderd 10 januari 2002 15:27
Toch leuk, een virus voor iets dat nog niet bestaat ;)
GiLeX @Verwijderd10 januari 2002 15:34
Het bestaat al wel :P

MS heeft rond november 2001 de dot.NET server beta 3 vrijgegeven aan de beta testers.
Je kan er maar van uit gaan dat er bij de diverse anti-virus producenten er al lang mee getest wordt.
Die krijgen via het developer programma van MS wel een exemplaartje ofwat om het te testen :)
Mickos 10 januari 2002 15:34
Heb ik het niet goed begrepen laatst in een artikel dat dit ook gaat worden gebruikt voor ziekenhuizen en zow...? Lijkt me eigenlijk niet zo fijn dan als .Net tijdelijk je hartfunctie vervuld.. :P
Verwijderd @Mickos10 januari 2002 15:41
Je krijgt al een hartaanval als je er alleen nog maar aan denkt dat .NET je lifesigns moet bewaken :D
Bobco @Verwijderd10 januari 2002 15:45
Virussen en wormen zijn van alle tijden. Kijk nog maar eens terug naar de Internet worm van 1988....
blaatenator @Verwijderd11 januari 2002 14:40
[off-topic]
Heb je ook nog een onderbouwde mening, of vind je het gewoon leuk met de menigte mee te blaten.
Als je alleen interessant wilt overkomen, heb je toch de plank misgeslagen :D . Dit soort reacties worden al lange tijd niet meer als leuk beschouwd, maar eerder ' newbie-like', 'wannabee-like' , etc... :r

[off-topic]
Verwijderd 10 januari 2002 15:58
Geen enkel besturingssysteem is geheel virus vrij, dus dat een virus dat aantoond en dat dat dus als postief moet worden aangezien vind ik weer een beetje lame.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq