Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 70 reacties
Bron: TechTV

Nadat virusbakkers en scriptkiddies er lange tijd plezier in hadden de hele wereld te overstelpen met Melissa en Yaha via e-mail, is de nieuwste trend gericht op een andere populaire toepassing van het Internet: peer-to-peer filesharing. Het nieuwe virus, wat 'Yoohoo' gedoopt is, wordt weliswaar niet als erg gevaarlijk ingeschat door Symantec, maar het is natuurlijk wachten op de lamer die er een wél gevaarlijke variant op knutselt. Voor de verandering maakt het virus eens geen gebruik van VB-script of gaten in Windows, maar is het een 'gewone' executable, geschreven in Delphi. Het Yoohoo-virus en varianten hierop kopieren zichzelf in de Shared Folder van programma's als KaZaA, Bearshare, Morpheus en eDonkey2000 en nemen daar de naam aan van obscure, maar gewilde programma's:

Virus - groene doodskop
  • Hotmail_account_sniffer
  • Win2k_serial
  • Divx_repair
  • Catherine_zeta_jones_anal
  • Shakira_paparazzi_collection
  • Xbox_emulator_beta
  • Iis_shellbind_exploit
  • Counter strike_cd_keygen
  • Delphi 6 keygen
  • Icq_hackingtools
  • Kazaa
  • Edonkey_serverlist
  • Linux_rootaccess

Met dank aan dezero, die ons verblijdde met deze tip.

Moderatie-faq Wijzig weergave

Reacties (70)

Nou lekker dan, het zat eraan te komen naatuurlijk. Kan je hier nu ook je virusscanner op configgen...
Meeste virusscanners zijn hier al op geconfigureerd. Voor McAfee is het simpel "Download Scan" aanzetten.

En ik geloof dat we zojuist een zeer zwakke plek in P2P netwerken gevonden hebben...
Dit is waar RIAA op zat te wachten,
Waarschijnlijk zal er dus snel een virusje komen waarvan de bouwer nooit gevonden zal worden.
Maar ALS ze hem WEL vinden dan is ie net zo goed de sigaar want moedwillig virussen maken en verspreiden om schade aan te richten is verboden voor iedereen, ook voor het almachtige RIAA.
Zij het zo dat er in de VS een wetsvoorstel op tafel ligt waardoor het wel zou mogen.... Amerikaanse politiekers willen namelijk dat de industrie zich kan "beschermen" door zulkse wormen en virussen...

Als je ziet wat voor doelgroep Yoohoo beoogt met de namen die er op staan, dan is het wel duidelijk wie de auteur will pakken...

Diep triest...

|:(

{edit extra urls}


http://www.cnn.com/2002/TECH/08/06/hln.wired.legislation/index.html


http://siliconvalley.internet.com/news/article.php/10862_1377581

http://www.computeruser.com/news/02/02/18/news4.html
Toch verdenk ik dat RIAA zelf de virussen heeft verzonden... De bedoelingen van de virussen zijn dat ze de netwerk van p2p in de war brengen en het kan het gebruik van filesharing flink verminderd door meerdere bestanden te besmetten! Zodat de gebruikers beseffen dat p2p niet meer veilig is!

Wat denken jullie van mijn theorie?
de zwakke plek heet al een tijdje spyware volgens mij en kun je opsporen met bijv. AD-Aware...
In Norton 2003 zit een P2P-optie die je aan kunt zetten voor virusscanning.
Ehhh waar dan, misschien ben ik kippig, maar ik kan 'm niet vinden :?
ik ben bang dat ik me vergist heb met instant messengers

Sorry ;(
Nou lekker dan, het zat eraan te komen naatuurlijk.
Tis ook niet de eerste of zo hoor. Er bestond ook al de W32/Benjamin.worm die zichzelf via Kazaa shared onder gewilde bestandsnamen (ontdekt op 16 mei al).
Vriend van me kwam aanzetten met zn computer die zo traag was geworden en waar bijna geen vrije HD ruimte meer op zat... hij had over de 3.000 Bejamin bestandjes die samen over de 3Gb in beslag namen 8-)
Dat noem ik al redelijk schadelijk, trouwens!
Heb jij dan 1 vd programma's of ben je van plan deze te DL-en? Voor mij is het antwoord 2x neen.

Op zich vind ik dit virus wel grappig, omdat het 'stoute' files aanpakt, zoals hacks en cracks. Alleen DivX repair lijkt me 'onschuldig'. Ff zoeken wat die eigenlijk doet.
Das redelijk simpel, het programma maakt het mogelijk beschadigde avi's af te spelen.

~Progster
Oke, iedereen z'n virusscanner updaten.

Mijn Norton 2002 pikt tot nu toe alle virussen, trojans en reclame spyware (=trojan) uit Kazaaa voordat het een kans krijgt. Ook virus geinfecteerde downloadables worden al gepakt voordat de file meestal compleet gedownload is.

Als je geen virusscanner hebt en willekeurige bestanden via een P2P binnen haalt ben je trouwens knap stom. Heb al een paar honderd virussen gepakt die van kazaa af kwamen namelijk :)
Heb al een paar honderd virussen gepakt die van kazaa af kwamen namelijk
dat waren dus hoogstwaarschijnlijk echte appz/mp3z/moviez/etc. die met een virus besmet waren, maar in het geval van yoohoo zijn de executables het virus zelf.
Klopt, maar wel met onverwijderbaar virus. Ik vind het niet erg dat m'n virusscanner z'n werk doet. Sterker nog ik heb em zo ingesteld.. Op me server heb ik Mcafee voor servers draaien en dat werkt wellicht nog wel beter. Die heeft iig geen last van 'file is in use' want die verwijderd ze al voordat ze uberhaupt een plekje op me schijf in nemen ;) Norton wil ze nog wel es in quarantine plaatsen tot je kazaa uit zet voordat je kan deleten.
Eh, ik denk dat NiGeLaToR bedoelt, dat de executable het virus zelf is.. je kunt dus niet de executable cleanen, en vervolgens een normaal werkend programma overhouden...

In dat opzicht is het inderdaad onverwijderbaar :).
niks is onverwijderbaar
mocht je toch zo'n bestand hebben ga je simpel weg naar command mode(real command dus opnieuw opstarten naar command) of dos dan delete file en voila weg is bestandje
en nee het blijft echt niet zitten want die dingen worden niet op je schijf ingebrand ofzo en kunnen in dos niet resident gemaakt worden
Knap stom ? Het is pas stom als je die bestandjes nog eens wil openen, want dan wordt het virus pas actief... Want ik neem aan dat je ze nog steeds moet uitvoeren(in dit geval) voordat het actief wordt :)
De gebruikers zelf zouden, in mijn ogen(hoe moeilijk dat ook is), eens moeten kijken wat ze nou precies gedownload hebben voordat ze er zomaar in het wilde weg op dubbelklikken...
Nee hoor, mensen die een virusscanner draaien denken vaak dat ze zelf niet meer na hoeven te denken. En mensen die te stom zijn om Windows zonder virusscanner te draaien denken ook dat die ene EXE geen kwaad zal kunnen. Net zoals dat ene zwarte stukje vlees geen kwaad kan, maar tien achter elkaar wel. ;)

Jij bent slim, ik ben slim (euhh...), maar dat betekent niet dat de hele wereld slim is, helaas.
Een .PIF extensie is op internet in veel gevallen schadelijk. Dit is een soort DOS snelkoppeling (DOS versie van de windows .LNK snelkoppeling) Deze wordt namelijk AUTOMATISCH uitgevoerd (of gelezen)
Dus je hoeft het virus echt niet zelf uit te voeren, dat doet Windows wel voor je.

Voornamelijk wordt deze methode voor het Yaha virus gebruikt. Nu niet als een gek alle .PIF documenten verwijderen. Alleen als je deze per e-mail binnen krijgt zijn ze verdacht.

Ik had laatst weer een super trage pc, wat bleek! Er zat een Yaha.g@MM in de prullenbak. Die is waarschijnlijk weer per e-mail binnengekomen. Ik ben er pas achtergekomen toen ik de virusscanner installeerde en deze wou vervolgens niet opstarten.
Als je ook heel snel even wil controleren of toevallig een soort gelijk virus op je computer zit, kijk dan even in je registry onder de sleutel:
\[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
in de sleutel hoort alleen ["%1\" %*"] te staan. Staat er een verwijzing naar een executable, dan is dit mogelijk een virus.
Voor verdere detail voor verwijdering vraag ik je een e-mail te sturen naar mij (e-mail staan in me profile)
Een kennis van mij had ook Yaha, plus nog drie andere virii (heeft mij nog een flinke duit opgeleverd om dat te ontdekken en eraf te halen :)). Yaha is een van de virussen die een bug in oudere, niet-geupdate versies van Outlook Express exploit waardoor het bestand zichzelf automatisch kan uitvoeren. Naar mijn weten heeft die niet met de LNK extensie te maken (het is niet zo dat alle .LNK bestanden zichzelf automatisch uitvoeren), maar eerder met een aanpassing in de mail-header, die het mime-type op zo'n manier aanpast dat het automatisch wordt uitgevoerd.

Verder zijn PIF of LNK bestanden die je via email ontvangt bijna altijd executable (.EXE) bestanden die zijn hernoemd. Dat ze na hernoemen toch nog werken komt doordat de 'uitvoerder' voor al deze bestandstypes hetzelfde is, en verder niet aan de hand van de extensie bepaalt wat het is en wat 'ie gaat doen, maar aan de hand van de inhoud van het bestand. Met andere woorden het maakt niet uit of je een uitvoerbaar bestand .EXE, .PIF, .LNK of .COM noemt.

Er, dit wou ik even kwijt :).


~Grauw
Ach, zo'n vaart zal het niet lopen aangezien ik Kazaa via wine draai! Laat het virus dan maar eens iets verknoeien
Dan niet nee, maar dan heb je ook nix aan applicaties downloaden :P je moet die rommel namelijk nog wel zelf downloaden hoor :)
Komt dit van de beruchte platenmaatschappijen???

Hier is in ieder geval nog dat symantec bericht
http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.yooho o.html
Dat komt me bekend voor... heeft dat virus een nijntje als icoon en is deze ongeveer 48k groot?

Hij had zichzelf bij mijn broertje in de Windows\Media map genesteld... zo'n 40 executables met soortgelijke namen als in het lijstje hierboven.

Gelukkig waren ze zo te verwijderen... op 1 .exe bestand (zonder naam, alleen de extensie) na wat in de root stond... die was aanwezig in het geheugen.
Zolang de bron niet openbaar gemaakt word door de schrijver, zal het ook niet door anderen herschreven kunnen worden, een exe is namelijk gecompiled, en (bijna) onaanpasbaar.
In tegenstelling tot visualbasicscript(vbs), dit is gewoon een script, met een open broncode!
Het klinkt misschien raar j_iscool, maar die gecompileerde exe file is altijd wel aan te passen. Zelfs zijn deze Delphi programma vaak ook te decompileren. Als je dat doet heb je de bron dus weer. (Beveiligen tegen decompileren kan ook wel, met bijv. AsPack.)
Ik ga er vanuit dat de broncode van dit virus staat al lang en breed op pc's van vrienden van de schrijver en lang zal het ook niet duren voordat deze op internet komt. Het wachten is dus ook op een nieuwe wel schadelijke versie.
Het is wel altijd mogelijk een executable te disassemblen, maar het is over het algemeen niet mogelijk executables te decompilen.
De originele broncode wordt door de compiler zwaar geoptimaliseerd, en deze geoptimaliseerde code wordt gecompiled. Dus als je kan decompilen, krijg je nog razend ingewikkelde code die meer doet denken aan assembler dan aan VB of Delphi.

Je kan dit virusje dus wel disassemblen of decompilen en dan de code aanpassen, maar dat zal niet echt gebeuren. Het is waarschijnlijk makkelijker om je eigen virus te schrijven.
Tja mijn ervaring met Delphi is dat deze code niet perfect word geoptimaliseerd. C++ daar in tegen denk veel langer, deze optimaliseerd ook veel meer. Na een behandiling met AsPack over een Delphi Executable is deze meestal 40% size van het origineel en iets sneller (meestal niet merkbaar)

Je hebt wel gelijk wat betreft de moeilijkheid van de code. Deze is bij een simpel programma al bijna niet meer leesbaar. Dus laat mijn idee maar hangen. |:(
hmmm... er bestaat toch ook nog zoiets als RE? Niets is onmogelijk ;)
Sinds een paar dagen gebruik ik ook een P2P-netwerk om bestanden te delen. Het viel me gelijk al op (en tegen) dat er van alles word aangeboden odner een naam die niet juist is. Soms zie je dat direct aan de grootte of aan een duidelijk van de omschrijving afwijkende bestandsnaam. Ik wil niet weten wat ik in huis haal als ik het bestand 'Key for all Windows-products WORKING!!!' op mijn pc zet en opstart.

Dit is dus sowieso een enorm veiligheids-probleem omdat veel n00bs met breedband ieder willekeurig aantrekkelijk lijkend bestand downloaden en blindelings opstarten.

Een beetje bewustzijn is dus wel op zijn plaats lijkt mij.
Absoluut. Of een bestand "Windows 2000 Server ISO.exe". En dat is dan een exe file van 500KB ofzo. Een beetje common sense is wel op zijn plaats.

Overigens heb ik dat bestand ff gedownload en gekeken welke API calls ie gebruikt, blijkt dus dat dat programma iets met je Dial Up Networking gaat doen. Waarschijlijk dus een nieuwe verbinding aanmaken naar een of ander 0900 nummer (of buitelands) ofzo.

Met cracks & keygens moet je zowieso al oppassen, je kan het in eerste instantie nooit helemaal vertrouwen. De beste methode is nog om ze van een crack site af te halen en niet van een P2P netwerk IMHO.
De beste methode is nog om ze van een crack site af te halen en niet van een P2P netwerk IMHO.
Bij eDonkey is het geen probleem hoor. Je moet alleen niet in het wilde weg zoeken. Je moet als startpunt Filenexus of Sharereactor gebruiken. Dan krijg je de goede link en kan het niet mis gaan. Alle eDonkey en ook OverNet files hebben een unieke hash code. Verander je maar 1 bit in die file dan klopt de code niet meer en zie je dat je wat anders download.
Die ISO .exe bestanden zijn (als ze echt zijn en geen virus) altijd self-extracting archives. Dit is zo gedaan omdat bijv. Kazaa onder software alleen .exe bestanden verstaat een geen .zip of .rar files. Een andere reden ervoor is dat self-extracting archives altijd uitgepakt kunnen worden, zonder dat je de software ervoor nodig hebt.

In ieder geval, mijn point, heb je zo'n ge'sfx'-ed ISO bestand, wees dan niet zo dom om het uit te voeren, maar gebruik gewoon je favoriete uitpakker (WinRAR, uiteraard :)). Weet je ook weer zeker dat je geen virus binnen krijgt.


~Grauw
Als je veel kennisen en vrienden heb die Kazaa op hun pc hebben staan, zou je die lijst hierboven in de block list kunnen zetten zodat ze het niet kunnen downloaden :)
Ik heb op dit moment 2.053.781 vrienden op Kazaa, aangezien ik alles gratis van ze mag downloaden :) Word wel een grote ban-list dan...
Je moet wel goed lezen wat ik gepost heb :)

Je moet die namen van virussen blocken, niet je vrienden en kennisen :)
en nemen daar de naam aan van obscure, maar gewilde programma's:

Dit helpt dus niet want je gedownloade mp3 ofzow die wordt veranderd in 1 van die namen evt. met extensie
Er moeten maar eens strenge straffen komen tegen mensen die computer virussen met opzet verspreiden :(

Hoveel KB in size is dir virusje?
Niks nieuws onder de zon hoor. Zo'nworm hebben we al eerder gehad.

Dat was Benjamin (klinkt als zo'n verschrikkelijke orkaan ;))
Onder andere hier meer info

Ik zie dit niet als zwakke plek in P2P netwerken dit kan ook net zo goed op het WWW gebeuren of op IRC (op IRC gebeurd dit al actief)
Sorry hoor, maar als ik een programma download van iemand via Kazaa vertrouw ik het in eerste instantie nooit en gooi de desbetreffende virusscanners er over heen.

Dus dat er nou toevallig een proggie gemaakt is die het bij onschuldige gebruikers doet ... tja, maar vertrouw gewoon nooit direct iets wat je download. Dus een beetje paniek om weinig vind ik.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True