Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 129 reacties
Bron: eWeek, submitter: Praetorian

Een tijd geleden veroverde de I Love You worm een groot gedeelte van het internet. Sindsdien zijn er virussen gekomen die zichzelf verspreiden door middel van fouten in Internet Explorer en Outlook, zo ook het nieuwe Bugbear virus, meldt eWeek. Dit virus heeft een opmerkelijke mix van eigenschappen, het maakt gebruik van een fout in IE om automatisch een aanhangsel te open in een HTML-email.

Als de computer wordt ge´nfecteerd, stuurt het virus zichzelf naar iedereen in de het adresboek met een willekeurig gekozen titel en aanhangselnaam. Dan nestelt het virus zich voortaan in het geheugen en logt het alle toetsaanslagen om paswoorden en andere gevoelige informatie te achterhalen. Om zichzelf te beschermen probeert het verscheidene virusscanners en firewalls onklaar te maken. Ondertussen opent het een TCP-poort om te wachten op instructies van buitenaf. Inmiddels wordt dit virus gekwalificeerd als redelijk gevaarlijk:

Virus - LCD met doodskopA new mass-mailing virus hit the Internet Monday, and unlike many others of its ilk, carries with it a payload that could do quite a bit of damage to vulnerable networks. Called Bugbear, the virus installs a Trojan on infected machines that is capable of logging users' keystrokes, which could include passwords and other sensitive information.

[...] Message Labs Ltd., a managed service provider in Gloucester, England, that tracks virus activity, said it has seen more than 1,200 copies of the virus since it was spotted on Monday. McAfee has rated the virus as a medium risk for both business and home users.

Met dank aan mimezine554 voor de tip.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (129)

1 2 3 ... 6
Redelijk gevaarlijk?

Dit klinkt mij gevaarlijker in de oren. Als iemand in staat is dit te maken, dan zou een kapot-maak virus voor hem een peuleschilletje zijn. Moge we "blij" zijn dat ie dat niet gedaan heeft
Het opent zichzelf, krijg ik dan niet eens meer de melding wilt u dit openen?
Redelijk gevaarlijk is IMHO de integratie van web-browser, adressenboek en operating system. Heel erg makkelijk te verhelpen door bijvoorbeeld Mozilla te gebruiken en niet klakkeloos iedere mail te openen die je binnen krijgt.
Gelukkig heeft XP tegenwoordig wat meer mogelijkheden om ook voor de gemiddelde gebruiker de default browser / mail applicatie wat beter in te stellen. Zit alleen nog te wachten op de patch waarmee Explorer alle webactiviteit kan worden ontzegt. Browser integratie is allemaal erg "handig" voor de normale gebruikers, maar de veligheidsrisico's die het met zich meebrengt (I love you was gewoon een script worm! simpeler KAN bijna niet!) wegen IMHO echt niet op tegen het beoogde gemak.
Ik betwijfel of een dergelijk virus met mozilla niet mogelijk was. Windows XP toont hoeveel ongelezen messages er in je mozilla-mailbox zijn. Daarnaast staat er in de registry ook een link naar het gebruikte adresboek. Dat is op zijn beurt wschl xml, of in elk geval extraheerbaar met een perlprogramma.
En voor mails te verzenden heb je geen mailprogramma nodig, daar zijn in windows zelf functies voorzien.

Misschien dat mozilla op dit ogenblik geen zich automatisch uitvoerende bijlages heeft (wat volgens mij het grootste gevaar is), maar eenmaal er iets op je pc staat, kan je perfect het mozillaadresboek kapen, net zoals het outlook-express adresboek.
Ik denk dat die bugs in IE en Outlook al verholpen zijn, alleen dat veel mensen nog niets hebben geupdate.
Met de komst van AutoUpdate in SP3 van Win2k (win98 en XP hadden het al) is daar geen goed excuus meer voor... De vulnerabilities waar dit virus gebruik van maakt, zijn al een tijdje bekend en de patches zijn ook gewoon beschikbaar.
het random bestand is een .exe van 4, compleet willekeurige, letters. en staat in de windows map.

het maakt gebruik van de exploit in MIME headers, vooral kwetsbaar in IE5

en hij maakt ook de bekende virusscanners onklaar.

wordt geactiveerd door het random bestandje op te automatisch op te starten na de eerst volgende reboot

edit: het enigste wat je er op dit moment tegen kunt doen is zorgen dat je windhoos en IE volledig up2date zijn

de attachment heeft bijna altijd een dubbele extentie. dus bvb: lekkerding.jpg.scr
Heb jij het soms gemaakt, dat je dit alles zo goed weet :D
Bekende truuk, hoor... Als je Windows zo ingesteld hebt dat extensies verstop worden, dan zie je "pamela_anderson.jpg.exe" als "pamela_anderson.jpg" en dan denk je, 'goh, dat plaatje wil ik wel zien' en open je pandora's doos.

200 spaties voor de extensie is ook een bekende truuk in de hoogtijdagen van ICQ: bij een file transfer zag je alleen de eerste 30 (of zo) karakters van de filenaam, meer pastte niet in het kadertje... Als de file 'pamela_anderson.jpg [100 spaties].exe' dan binnen is, klik je heel makkelijk op 'open file' en ben je wederom de sigaar.

Veel van dit soort grappen zijn dus gebaseerd op naiviteit van de gebruiker. Vroeger was een virus nog geen 1200 bytes zeer compacte code die zich achter een executable hingen... Nu is het een basic-script wat als attachment met een mailtje meegestuurd wordt, en je moet het meestal nog zelf opstarten ook. :'(
Nou ja, gebaseerd op de na´viteit van de gebruiker... Naief ben je als je beter had kunnen weten. En daar ligt het probleem in vele gevallen niet. Veel mensen willen maar wat graag dat hun computer up to date blijft, maar leg jij mensen als mijn moeder maar eens uit hoe dat helemaal in elkaar steekt. Die hebben daar echt geen sjoege van. En wie vertelt die mensen bijvoorbeeld dat ze moeten nakijken of een bestandsnaam geen 100 spaties bevat? Dat staat niet in de handleiding van Windows, en als ze niet toevallig een wizzkid in de familie hebben komen ze zoiets nooit te weten. Mijn ouders kopen geen computerbladen waarin zulke dingen aan de orde komen.

Dus om van na´viteit te spreken (wat "eigen schuld, dikke bult" impliceert) vind ik onterecht. De tijd dat virussen daarop gebouwd werden is al lang voorbij. Tegenwoordig zijn het virussen die inspelen op de onwetendheid van gebruikers, en daar doe je weinig tegen.
Deels is het idd onwetendheid, maar er zit toch ook een hoop naiviteit bij hoor. Krijg je een mailtje dat je moet op passen voor dat I Love You ding, dat je niet zomaar moet klikken en zo. Stuur ik een vbs-je terug met ook zo'n soortgelijke naam die een msgbox toont dat ze nou juist _niet_ zomaar moet klikken, krijg je als antwoord terug van "ja leuk maar wat moet ik er nou mee, ik krijg het toch van een bekende toegestuurd" |:( Bij ongeveer iedere verjaardag leg ik ze uit dat die virussen _juist_ van bekenden afkomen omdat je in hun adresboek staat, en altijd is er wel weer eentje die toch eerst geklikt heeft en toen pas ging nadenken...

En dat is niet onwetend, dat is gewoon dom. Eerst klikken, dan denken.... (en een paar dagen later hangen ze aan de telefoon dat hun inbel verbinding raar doet en dat ie naar een nummer in Amerika wil gaan inbellen.....).

Maar idd ook de "hide bekende bestandstypes", zien ze dus idd plaatje.jpg ipv plaatje.jpg.exe en dan vragen ze zich niet af waarom ze bij al die andere plaatjes die ze krijgen, er wel alleen "plaatje" staat, en bij deze opeens "plaatje.jpg" (en ook helemaal niet kijken naar het icoontje wat windows laat zien...). Tegen dat soort gebruikers kun je niks verzinnen, zelfs als je die onder Linux met een guest account laat werken, weten die het nog wel voor elkaar te krijgen dat een programmaatje zich toch installeerd ("dit zag ik je doen toen jij programma x installeerde, dus ik dacht...."). Het enigste wat werkt is als ze dan een keer besmet raken, dan gaan ze opeens wel nadenken. Naja beter laat dan nooit.

Tis natuurlijk wel triest dat je bijlages in principe niet kunt vertrouwen. Wat is nou de fun om een mailvirusje (worm eigenlijk) te maken die zichzelf naar iedereen doorstuurt. Daar is toch geen eer meer aan te behalen, dat is gewoon vandalisme.
de attachment heeft bijna altijd een dubbele extentie. dus bvb: lekkerding.jpg.scr
Vergeet niet de 200 spaties tussen de 1e en de 2e atachment. B-)
je bedoelt waarschijnlijk extensie :)
als je merkt dat je virusscanner het niet meer doet ff moet je ff in je taskmanager kijken hoe het bestandje heet. Dan opstarten in veilige modus, en het bestandje simpelweg verwijderen.
Indien je Norton AV gebruikt kan je hier de laatste update downloaden: http://securityresponse.symantec.com/avcenter/download/pages/DU-N95.ht ml
Je hebt dan de laatste update en hoeft niet te wachten op de live update die altijd een paar dagen achter loopt.
Als dit virus zich snel verspreid dan is iedereen (die niet weet dat je je virusscanner moet updaten) weer de pineut... Ach, dan hebben die kleine zelfstandige computerboeren op de hoek van de straat weer een paar weken werk :) :)
Liveupdate doen is ook voldoende. Hij download dan update 30-09-2002 en daar zit hij in.
Norton AV is safe met de laatste update. Ik heb dit virus vannacht 18 keer binnengekregen, omdat ik op een mailinglist op een besmette server stond.
Live update is dus voldoende.
Liveupdate loopt geen paar dagen achter. dat stel je zelf in!
Een normale instelling zal tenminste dagelijks controleren op updates die binnen 4 uur na een nieuwe melding beschikbaar zijn.
Wederom, afdeling kletsvrhalen....
Er is wel degelijk een verschil, zij het dat bij een "major virus outbreak" de live update servers eerder voorzien worden van nieuwe definities.
Intelligent Updater:
Virus Definitions created October 1
Virus Definitions released October 1
Norton AntiVirus Corp. Edition Defs Version: 41001h
Norton AntiVirus Corp. Edition Sequence Number: 19022
Total Viruses Detected: 62171

LiveUpdate:
Virus Definitions released September 30
Norton AntiVirus Corp. Edition Defs Version: 40930i
Norton AntiVirus Corp. Edition Sequence Number: 19002
Total Viruses Detected: 62168
During "non-alert" situations, Symantec Security Response posts virus definitions to the LiveUpdate servers one time per week (usually Wednesdays). During "alert" situations, however, virus definitions will be posted to the LiveUpdate servers as soon as they have completed full quality assurance testing. In all situations, virus definitions are made available for (optional) manual download on a daily (Monday to Friday) basis using the Intelligent Updater.
Je hebt dan de laatste update en hoeft niet te wachten op de live update die altijd een paar dagen achter loopt
Eh? Vanochtend, voor ik uberhaupt nog iets over welk virus dan ook gehoord had, heeft Norton zichzelf geupdate :)
Volgens McAfee ben je veilig vanaf:
Minimum DAT: 4226
Release Date:09/30/2002
Minimum Engine: 4.0.70

edit:

helaas gaat de engine van versie 6 van McAfee nog maar tot 4.0.60 :(

[edit2]
* 786562 botoo(thnx 2 honey)
Nee hoor. Heb McAfee Virusscan 6.01.1008 en engine 4.1.60.

edit:
You're welcome botoo :)
Offtopic

Je kan McAfee 4 updaten met de DAT's voor 5 en nu ook voor 6. ;)

Ontopic

Klinkt als een pittig virus... ik ga updaten...
Je kunt overigens het altijd van naam wisselende attachment herkennen aan de grootte, dat is namelijk altijd 50688 bytes groot aldus virusalert.nl

http://www.virusalert.nl/?show=virus&id=341
edit:

Link naar virusalert.nl toegevoegd
Helaas... .volgens McAfee (http://vil.nai.com/vil/content/v_99728.htm) is hij soms ook 50.664 bytes groot.
Het verspreid zich niet alleen via email, maar ook via open shares (zonder password dus).

Ook stuurt het zichzelf (de code dus) naar alle netwerkprinters die het maar kan vinden, waardoor er dus een dik (en echt DIK!) pak papier uitkomt;
IE en Outlook blijven de grootste virusverspreiders. Meer dan 90 procent van alle virussen krijg je binnen via IE of Outlook. Jammer genoeg zijn die 2 programma's in elke windows ingebakken. Dus ongeveer 97,5 procent van alle desktops zijn infecteerbaar...
edit:

Ik heb alleen een vaststelling gepost, ik heb nog niet geoordeelt over de programma's.
Als je alle updates van windows/office/etc installeert heb je ook NU niets te vrezen!

Het probleem zit niet alleen bij IE/Windows/etc, maar ook bij de gebruiker die niet goed bewust is gemaakt naar de importantie van deze updates.
Probleem zit ook in het niet (willen) erkennen dat normale gebruikers daar helemaal niet bewust van WILLEN zijn. Mensen willen gaan zitten en werken, niet hele dagen bezig zijn met patchen van systemen en security-holes zoeken en dichten. Als bij een standaard installatie een hoop UIT zou staan dat daarna actief AANgezet moet worden bespaar je een hoop mensen al een hoop ellende.
Hoeft ook niet, met auto-update. Alleen loopt iedereen daarover te kankeren omdat ze bang zijn dat His Billness in hun computer gaat rondneuzen, en erachter komt dat ze niet betaald hebben voor hun Windows.
Als je alle updates van windows/office/etc installeert heb je ook NU niets te vrezen!
Moet wel bv dat Windhoos Update wat beter gaan werken. Bijvoorbeeld gister installeer ik een nieuw systeem, ga ik vervolgens updaten zegt ie dat alles al geupdate is.........

Lekker vaag verhaal weer. En om nou alles op de hand te gaan zitten doen.
Ik denk dat je het fout ziet...

IE en Outlook blijven de meest gebruikte programma's. De virusmakers richten zich dus het meest op deze programma's om gaten in de beveliging te vinden, het is niet zo dat IE en Outlook het slechtst beveiligd zijn...
het is niet zo dat IE en Outlook het slechtst beveiligd zijn...
mwoch...
Je berekening is wel juist, maar dat is natuurlijk ook juist de reden dat de meeste virussen voor IE en Outlook geschreven worden. Dat ligt bv niet aan Microsoft; als de virusschrijvers zouden programmeren voor een ander programma, bv voor de Mac, zou Apple eraan moeten geloven. Je bereikt dan echter maar een klein hoopje mensen, niet echt om een 'kick' van te krijgen.
Wat zou je tegen een dergelijk virus kunnen doen?
Ik maak namelijk uit de tekst op, dat het virus zich bij het bezoeken van een html-pagina installeert via een fout in internet explorer, en vervolgens anti-virussoftware onklaar maakt.

Als dit het geval is mag microsoft wel heel hard aan bug-fixes gaan werken.
- Windows lekken dichten/updates installeren.
- Anti-virus installeren en up-to-date houden.
- Firewall tussen je WS en het Internet.
- Voorzichtig zijn bij openen van attachments.

Dan krijgt een virus/worm het naar mijn idee behoorlijk lastig. Om zichzelf te starten heeft ie toch een lek of user-stupidity nodig. En je anti-virus uitzetten kan ie alleen (proberen) als ie daadwerklijk actief is, niet van te voren.
En ff je adresboek leeg maken en de contactpersonen onder bijvoorbeeld je persoonlijke mappen onder brengen.

Wat ook wel wil werken is om de eerste contactpersoon in je lijst een ongeldig mailadres te geven. Dan krijg je namelijk van b.v. outlook een bricht met een melding ivm het zenden naar een niet bestaand adres. Dan weet je zelf mooi bijtijds dat je ge´nfecterd bent. En dan natuurlijk ook met een fictieve naar die altijd bovenaan in de lijst met contactpersonen blijft staan. Denk aan "1" of zo. Door de 1 ervoor komt ie ook boven contactpersonen die met een "a" beginnen.
Het eerste adres ongeldig maken werkt niet (meer) tegenwoordig. Tenminste niet bij bijvoorbeeld Klez en Yaha. Deze virussen hebben namelijk hun eigen smtp server bij zich en gebruiken outlook of outlook express (of andere software) slechts voor het adressenboek.
Om zichzelf te beschermen probeert het verscheidene virusscanners en firewalls onklaar te maken
Das makkelijk; dan weet je als ervaren gebruiker meteen dat er iets aan de hand is.
en hoe wou je daar achterkomen dan? hopen dat het icoontje in je system tray verandert of er een popup komt dattie niet meer werkt?
Ik heb het zelf een keertje gehad. Norton AV stond spontaan op disabled(en ging niet meer aan) en van zonealarm was geen icoontje van zichtbaar. Dan weet je dat het wel heel toevallig is als 2 beveiligingsprogramma`s er tegelijkertijd mee stoppen.
Het ging overigens om een virus waar Norton niets mee kon totdat er een nieuwe update van definities uitkwam (dezelfde dag).Ik was blijkbaar een van de eerste slachtoffers.
tenzij hij de firewall disabled door een rules toe te voegen: laat alles toe, of op een of andere subtiele manier. (configuratie weggooien enzo.)
Wat ik me nou afvraag he: als het gebruik maakt van bugs/securityleaks in IE en oulook (express), ben je dan wel veilig als je die programma's niet of nauwelijks gebruikt? Ze staan wel fijn ge´ntegreerd met windows op je computer, of je ze nou gebruikt of niet. OK, er is waarschijnljik geen adresboek voor het doorsturen, maar wel gewoon een windows verkenner die dingen kan uitvoeren....
Zolang jij IE en Outlook niet open hebt staan, en je gebruikt geen mailclient die het browser-deel van IE gebruikt om html mail te tonen, ben je in principe veilig. Zolang je natuurlijk maar niet vervolgens handmatig de bijlage opstart. Dus als je Mozilla gebruikt met the Bat! als mailclient, en je delete gewoon mailtjes met bijlages met dubbele bestandsnaam, is er niks aan de hand.
Als je uberhaupt de afgelopen paar maanden een keer langs Windows Update bent geweest of IE hebt geupgrade ben je ook veilig, de exploit waarvan gebruik wordt gemaakt is nl. het gevalletje met de 'backgroundsound' HTML-tag die door IE blind met ShellExecute werd uitgevoerd waardoor je er ook programmatuur in uit kon voeren.

Gewoon netjes patchen op z'n tijd en je hoeft nergens bang voor te zijn... critical update notification is nog niet zo slecht.
1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True