Maker W32.Donut gaat tegen Microsoft in

Microsoft.NetNadat Microsoft afgelopen weekend beweerde dat W32.Donut geen .Net-virus zou zijn, heeft WebWereld in een interview met de programmeur ervan gevraagd naar hoe hij tegen de zaak aankijkt. De negentien-jarige Benny heeft hierin duidelijk gemaakt dat de code wel degelijk tot een nieuwe generatie .Net-virussen behoort, die tot in de kern van het nieuwe platform doordringt. De jongen stelt dat het absurd is om een virus dat .Net-bestanden infecteert en zich in een .Net-omgeving verspreidt, geen .Net-virus te noemen.

De computerfreak is niet van plan om te stoppen met het maken van dergelijke programmatuur. Benny vertelt dat hij als doel had, te laten zien dat ook .Net eenvoudig aangetast kan worden en dat hij zeker de intentie heeft om hier in de toekomst nog meer voorbeelden van te gaan geven. Microsoft's argument dat het virus niet helemaal in de C#-programmeertaal geschreven is slaat volgens Benny nergens op; hij vertelt dat dat zo te maken is, maar wat daar het nut van is vraagt hij zich af. Erg positief komt Microsoft er niet vanaf:

Het .Net-platform is volgens Microsoft de toekomst van de besturingssystemen. En nu blijkt er al een virus te zijn dat .Net-applicaties kan besmetten, zelfs voordat .Net officieel gelanceerd wordt. Dat is een beetje moeilijk uit te leggen aan de gebruikers

Lees het hele interview bij WebWereld.

Door Mark Timmer

Feedback • 16-01-2002 20:26 51

16-01-2002 • 20:26

51

Bron: WebWereld

Lees meer

MessageLabs meldt wederom grote toename virussen
MessageLabs meldt wederom grote toename virussen Nieuws van 19 juni 2002
Virus vermomd als Microsoft security bulletin
Virus vermomd als Microsoft security bulletin Nieuws van 12 maart 2002
Microsoft: "W32.Donut is geen echt .Net-virus"
Microsoft: "W32.Donut is geen echt .Net-virus" Nieuws van 13 januari 2002
W32.Donut: eerste virus dat .Net-software besmet
W32.Donut: eerste virus dat .Net-software besmet Nieuws van 10 januari 2002
Meer producten en artikelen
Software

Reacties (51)

-Moderatie-faq
51
48
42
10
1
0
Wijzig sortering

Sorteer op:

Weergave:
Verwijderd 16 januari 2002 20:31
En wat gaat ie nu doen, een erger virus maken dat alle .net domeinen plat legt :)
PipoDeClown @Verwijderd16 januari 2002 21:51
Die gaat opgepakt worden...
HermeS @PipoDeClown16 januari 2002 22:26
tjsa wat kan ik zeggen. Opgepakt zal het wel niet worden. maar toch.

Ik heb van de week nog ingebroken in bij iemand in de straat, volgende week ga ik nog even langs en dan neem ik ook de tv nog even mee (servicegoed heb ik al thuis liggen).

Okay de vergelijking is een beetje dom, maar zo is het wel. Ik bedoel je gaat toch niet zeggen dat je door blijft gaan met strafbarefeiten plegen?
ik quote even:
'het opzettelijk verspreiden van gegevens in een geautomatiseerd netwerk met als doel om schade aan te richten' ......etc
voor meer info even artikel 350a lid 3 van het Wetboek van Strafrecht erop naslaan).
.oisyn Moderator Devschuur® @HermeS16 januari 2002 23:13
met als doel schade aan te richten
waar is die schade dan? Hij zegt zelf dat hij als doel heeft "te laten zien dat ook .Net eenvoudig aangetast kan worden", dus het valt iig niet onder dat artikel
blouweKip @HermeS17 januari 2002 03:07
Eeuh, hij heeft geen strafbare feiten gepleegd...

Er is geen schade (iig geen schade die hem kan worden toegerekend: alleen MS imago, voor zover dat nog verder kon worden beschadigd)

En hij heeft er tenminste voor gezorgd dat mensen weer een voorbeeld hebben waarom teveel vertrouwen op MS (of hun producten) niet goed is, iets wat zeker van belang is als je kijkt naar de verstrekkende gevolgen van dat .net gedoe voor de consument straks
HermeS @HermeS17 januari 2002 14:31
ik zeg toch ook niet dat er schade is? nu iig nog niet.

De meeste virussen van tegenwoordig niet zoveel bezonders, zijn beschadigen niet echt zoveel en zijn simpel van opzet, de meeste schade ligt in het feit dat ze zichzelf gigantisch (kunnen) verspreiden en dus een behoorlijk hooge belasting op ee netwerk leggen. Hier kommen dan nog eens de kosten bij voor het beheer van het netwerk om dit optelossen.

onthefly is namelijk op dit artikel veroordeelt! hij had ook geen bedoeling om schade aanterichten (het virus deed ook niet meer dan zichzelf verspreiden)!
Verwijderd @PipoDeClown16 januari 2002 22:10
Dumbo, ga eens in Rusland of China wonen.

Daar hebben de FBI en de rest van Amerika niks te zoeken. Op het plattenland is het veel gevaarlijker dan alle terroristen van de wereld samen. Massa's bendes die alles overvallen en vermoorden dat op buitenlanders/rijken lijkt.
jiriw 17 januari 2002 00:16
Nou wat doet w32.donut nu precies?

http://securityresponse.symantec.com/avcenter/venc/data/w32.donut.html

geeft een aardige beschrijving dacht ik zo.
Iedere .net "binary" heeft nu een stukje native (dus bestemd voor het soort processor waar de binary op moet executen) machine code wat wordt uitgevoerd aan het begin van het executen van de binary. Een jump die normaal naar de "_CorExeMain()" instructie van de API van het besturingssysteem gaat wordt nu overschreven en wijst nu naar de viruscode. Die wordt geexecute en daarmee wordt voor verspreiding gezorgd. M$ zegt dat uiteindelijk alle .NET binaries ontdaan zullen worden van deze code. Ik zeg: "Good Luck" :+ ze zullen het er vast niet voor niets nu in hebben gezet. Het virus past ook nog de CRC's aan zodat de binary geldig lijkt. En het heeft een payload, maar door een ontwerpfoutje wordt die nu niet uitgevoerd (Het is een of ander melig windowtje waar de naam van het virus en z'n programmeur in staat)
Verwijderd @jiriw17 januari 2002 08:21
okay, net beweerde je nog dat dit een .NET virus was als reactie van een post van mij. Lees nu nog eens een keer goed die link van je. Wat er dus staat is dat een .NET executable bestaat uit eerst een paar bytes native code die ervoor zorgen dat de .NET runtime wordt gestart waarmee vervolgens de rest van de executable uitgevoerd wordt.
Die benny heeft die eerste paar bytes aangepast zodat er naar zijn eigen (native) code wordt gesprongen. De .NET runtime wordt dus _niet_ opgestart! Hoe kan dit dan ooit een .NET virus zijn? Bovendien is zijn eigen code ook native code, terwijl .NET applicaties platform onafhankelijk zijn, met andere woorden, dit is absoluut geen .NET virus.
Die benny is trouwens ook wel een loser, deze manier van virus schrijven is 99% hoe gewone exe virussen ook werken. Sterker nog, het zou me niets verbazen als normale virussen op deze manier ook .NET executables kunnen infecteren.
Bobco @Verwijderd17 januari 2002 09:27
Die benny heeft die eerste paar bytes aangepast zodat er naar zijn eigen (native) code wordt gesprongen. De .NET runtime wordt dus _niet_ opgestart! Hoe kan dit dan ooit een .NET virus zijn? Bovendien is zijn eigen code ook native code, terwijl .NET applicaties platform onafhankelijk zijn, met andere woorden, dit is absoluut geen .NET virus.
Niet dat ik er veel verstand van heb, maar bij mijn weten draait .Net alleen op het Windows platform. Even een analogie: als je een huis bouwt en de fundamenten zijn niet goed gelegd, is het huis dan wel goed?

Punt blijft dat een .Net executable blijkbaar gemakkelijk geinfecteerd kan worden. Heeft iemand hier een goede link naar de security-voorzieningen in .Net zelf?
servies @Verwijderd17 januari 2002 12:45
Alweer zo'n onwetende die niet weet wat 'platform onafhankelijk' betekend...
Ik heb .NET nog nooit op bijvoorbeeld een HPRISC machine zien draaien en dat zal er wel ook nooit van komen...
Verwijderd 16 januari 2002 20:33
't Zal ook eens niet een <20 jarige zijn...

Maar wat ik em afvraag: is het nu echt een virus dat .NET infecteerd, of een virus dat zoekt naar een .NET-signature [of zoiets dergelijks] in een bestand en vervolgens alleen bestanden met die signature infecteerd?
In het laatste geval zou het me niets verbazen als het gewoon wat aangepaste bestaande code is geweest...
Verwijderd @Verwijderd16 januari 2002 23:18
het is eigenlijk gewoon een normaal virus dat toevallig ook .net bestanden besmet. In dit geval misschien minder toevallig omdat het met opzet gericht was op .net bestanden. zoals MS als zei, het maakt geen gebruik van .net technologie om zich te verspreiden...
jiriw @Verwijderd16 januari 2002 23:51
Het maakt weliswaar geen gebruik van de door M$ gemaakte nieuwe code, maar wel van de standaard meegeinstalleerde (en toch ook belangrijk onderdeel van de nieuwe technologie) legacy ondersteuning. Of je nu via de voordeur of de zijdeur naarbinnen gaat; de schade is het zelfde. Wat M$ moet doen is die legacy ondersteuning beter afschermen. .NET is geen zak waard als dat niet goed gebeurt. :Z
Verwijderd 16 januari 2002 20:48
Laten we in ieder geval hopen dat de toekomstige virussen van deze knaap alleen een educatief doel hebben en geen destructief doel.

* 786562 plok
Verwijderd @Verwijderd16 januari 2002 20:56
plok hoopt in ieder geval dat hij geen Doe Het Zelf kit in elkaar gaat zitten schroeven voor scriptkiddies, dan is denk ik het eind zoek.
Jah, dan zitten alle gemeentehuizen straks vol met de gebruikers van deze kit }>
EfBe 16 januari 2002 21:59
Het virus infecteert .net executables van het .net platform. het maakt NIET gebruik van het .net platform om zich te verspreiden en omzeilt dus NIET de security layers in .net. Alleen dan is het een .net virus, anders is het gewoon een win32 virus.
servies @EfBe17 januari 2002 12:39
Otis ik snap wat je bedoelt, maar je spreekt je zelf een beetje tegen... Het infecteert .NET executables zonder de security layers van .NET te omzeilen.
De conclusie die ik daaruit zou trekken is dat de security layers van .NET zo lek als een mandje zijn :D. Die security layers zijn er juist om ALLES te beschermen, wat heb je er anders aan.
blissard 17 januari 2002 09:32
tja, dit jochie heeft dan geen .NET virus geschreven (blijkbaar) Hij handelt wel geheel in de stijl van MS (je concurrent zo veel mogelijk zwart maken) Dus het is werkelijk onzin hem als misdadiger te bestempelen. Gewoon een jochie dat het leuk vind MS te flamen en een paar journalisten vind die dom genoeg zijn die info te plaatsen. Nix mis mee toch?
Verwijderd @blissard17 januari 2002 10:08
heel juist.. blissard spread that energy!
Verwijderd 16 januari 2002 22:52
Ik heb een "concept plan" uitgedacht dat aantoont dat de Nederlandse Bank onveilig is:

- Bel op naar DNB en vraag of ze vrijdag a.s. al het beveiligingspersoneel naar huis sturen en de deuren wagenwijd openzetten. Op deze manier kan je al het geld stelen en dit bewijst dat DNB onveilig is!

Dit is natuurlijk net zulke grote onzin als het w32/Donut "concept virus". Het is niets meer dan een "gewoon" Win32 virus dat de architectuur van .NET aanpast. Je kan precies hetzelfde doen met Java/J2EE. Vraag de de gebruiker gewoon een EXE te installeren die de JVM aanpast. Of een UNIX of Mainframe beheerder vragen om een programma uit te voeren dat wat aanpassingen doet in de kernel.

Als je het vanuit dat perspectief bekijkt is IEDERE architectuur lek. Die virusschrijver is niets anders dan een mediageile puber.
SED 16 januari 2002 20:38
Als een software ontwikkelaar reeds delen van de ontwikkelingen blootgeeft om derde partijen de mogelijkhedi te geven daarop in te spelen dan zullen er altijd figuren overblijven die daarop gaan parasiteren.
Ik zie niet goed in hoe dit tegen MS zou werken. De betreffende puber dient flink aangepakt te worden ipv extra mediaaandacht te krijgen.
De stelling van MS is dat het geen specifiek .net virus is aangezien het ook in andere omgevingen zou werken en geen gebruik lijkt te maken van specifieke .net architectuur. Slechts de controle of het een .net bestand betreft lijkt ingebouwd te zijn.
Al met al een behoorlijk opgeblazen bercht.
Je vraagt je af of een Linux virus even veel positieve aandacht zou krijgen. Dat lijkt namelijk "not done" om daar iets e gaan verzieken.
Maar MS is altijd een dankbare prooi.
Verwijderd @SED16 januari 2002 22:02
De betreffende puber dient flink aangepakt te worden
Ik hou er niet van om het te zeggen, maar wat een onzin. Altijd als er een bericht is over een virus begint er wel iemand te klagen over hoe idioot de makers ervan zijn, en wat bedoeling kan zijn van zoiemand.
Wel, in dit geval hebben we eindelijk weer eens te maken met iemand die een virus schrijft enkel met als doel om een zwakke plek aan te tonen, zonder dat het virus zelf echt schade aanricht. En wat gebeurt er? Jij vind dat ie "hard aangepakt moet worden".
We zouden dit figuur moeten huldigen als zijnde het voorbeeld voor al die andere idioten die zich virus-schrijvers noemen. Zelf vind ik dat deze jongen alle mediaandacht verdient, al is het alleen maar om mensen eens te wijzen op de andere kant van virussen (nl het probleem van gaten in de software, ipv de schade die ermee aangerich wordt).
blouweKip @SED17 januari 2002 03:13
Je vraagt je af of een Linux virus even veel positieve aandacht zou krijgen. Dat lijkt namelijk "not done" om daar iets e gaan verzieken.
Echt origineel om dat te zeggen, op linux zullen virusproblemen altijd minder zijn dan op windows omdat het gewoon meer op veiligheid gericht is, zelfs met meer gebruikers zal linux er minder last van hebben, natuurlijk zul je altijd als zwakste schakel de gebruiker hebben (als die als root handmatigeen virus executable runt dan gaat het wel mis ja), maar het OS helpt de gebruiker tenminste niet mee om de zooi te slopen.

Hoe meer domme pc gebruikers van linux gebruik zullen gaan maken hoe meer virii er zullen komen, maar lang niet zoveel en zo erg als op windows
Maar MS is altijd een dankbare prooi.
Tja, MS doet dan ook zoveel dingen fout dat het wel erg makkelijk is..

Ik vind het zelfs vreemd dat mensen niet doorhebben dat de eingebruiker uiteindelijk de dupe is van ethiekloze monopolisten als MS, geen keuze, slechte producten, te duur etc...allemaal redenen om MS kritisch te bekijken..slaafs MS volgen omdat dat "in" is of omdat je niet beter weet is dom (pro linux zijn omdat het "in" is ook)
sonix666 16 januari 2002 21:03
Komop mensen. Dit W32 Donut virus is een hoopje prut wat je gewoon zelf moet opstarten en vervolgens wat files op je systeem aanpast. Da's hetzelfde effect dat ik een .EXE file schrijf die even alle andere .EXE files 'infecteert'. Da's geen moeite. Da's gewoon teren op de domheid dat er een gebruiker zal zijn die uit nieuwsgierigheid die .EXE file van me opstart.
Verwijderd @sonix66617 januari 2002 01:22
eh ja, maar de truc is juist dat je je besturingssysteem zo opbouwd dat dit soort grappen niet meer werken

edit:
spelling
sonix666 @Verwijderd17 januari 2002 08:50
Zo kun je gewoon je besturingssysteem niet opbouwen. Hoe moet die ten eerste weten dat de .EXE file die je wil openen in werkelijkheid een 'virus' is. En waarom mag een .EXE file geen files beschrijven? Dan zou een applicatie allerlei instellingsfiles niet kunnen beschrijven.
THX @sonix66616 januari 2002 21:11
Inderdaad!!

De beste anti-virus software is hardware genaamd "Mens"! Ook wel "Gebruiker" genoemd.

Komt veelal in het wild voor....

:+
Skinkie @sonix66616 januari 2002 21:11
Ik verbaas me er ook nogsteeds over hoeveel mensen kerstkaart.exe openen. Daar zou nou een leuk virusje van gemaakt kunnen worden. btw het is weer gauw Valentine... hint hint hint.
B1tchwax 16 januari 2002 20:40
Bewijst maar weer dat alles wat gemaakt word, gekraakt of vernield kan worden :)

Hoop dat ze dat eens in gaan zien (ook in andere industrieen als de muziek) en niet zo arrogant doorgaan om het onveilbare systeem te maken.. want die bestaat niet!
Verwijderd @B1tchwax16 januari 2002 23:31
onveilbare systeem (..) die bestaat niet

Man, had je de oude computer van m'n vriendin moeten zien, jasses, dat was echt zoooo'n smerige bak oude P60 ofzo met heel vies SiS grafisch kaartje en v.h. RAM leeching VidMem. Die was echt ZEKER onveilbaar, ik kan me niet voorstellen dat mensen daar voor zouden willen betalen, zelfs niet op eBay ofzo.
Verwijderd @B1tchwax17 januari 2002 14:39
onfeilbaar.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq