Simulatie liet IM-worm 500.000 pc's besmetten

Een computerworm zou in theorie binnen een halve minuut ongeveer een half miljoen computers kunnen besmetten via instant messaging-programma's. Dit is de uitkomst van een onderzoek dat is uitgevoerd door twee medewerkers van Symantec. Het onderzoek hield rekening met twee gegevens: (1) het gemiddelde aantal gebruikers dat online is op de contactpersonenlijst en (2) de tijd die nodig is om datapakketjes te versturen van de zender naar de ontvanger. Op basis van deze twee gegevens hebben de onderzoekers uitgerekend dat het gemiddeld ongeveer dertig seconden duurt om 500.000 andere pc's te besmetten. Als de omstandigheden slechter zijn, duurt het echter alsnog minder dan drie minuten om een half miljoen computers te besmetten.

InternetEen zich snel verspreidende worm zou gebruik moeten maken van een lek in het veiligheidssysteem van een computerprogramma. Op dit moment zijn er ongeveer zestig van dit soort lekken in verschillende IM-programma's geïdentificeerd. Het nieuws is echter niet zo slechts als het lijkt. IM-netwerken zijn namelijk op zo'n manier ontworpen dat ze gebruikt kunnen worden als verdediging tegen de worm. Er zijn namelijk altijd centrale servers aanwezig, die zeer waarschijnlijk onderuit gaan wanneer er opeens grote hoeveelheden data via die servers verzonden gaan worden. Hierdoor zou de verspreiding van de worm een halt toegeroepen worden. Daarnaast kunnen de centrale servers ook gebruikt worden om snel en eenvoudig een patch voor het betreffende lek beschikbaar te stellen en te installeren.

Door Harm Hilvers

Freelance nieuwsposter

Feedback • 04-10-2003 15:02
30 • submitter: T.T.

04-10-2003 • 15:02

30

Submitter: T.T.

Bron: New Scientist

Lees meer

ICQ Lite

geen prijs bekend

ICQ Pro

geen prijs bekend

Bezorgdheid om toename aanvallen op IM-netwerken
Bezorgdheid om toename aanvallen op IM-netwerken Nieuws van 2 november 2005
MSN Messenger

geen prijs bekend

4.5 van 5 sterren
Nieuwe worm gebruikt IM-programma's voor verspreiding
Nieuwe worm gebruikt IM-programma's voor verspreiding Nieuws van 21 augustus 2004
Microsoft ontwikkelt selectietool voor contactpersonen
Microsoft ontwikkelt selectietool voor contactpersonen Nieuws van 7 maart 2004
Virussen en wormen vormen financiële aanslag voor ISP's
Virussen en wormen vormen financiële aanslag voor ISP's Nieuws van 5 maart 2004
Symantec doet goede zaken tijdens virusgolf
Symantec doet goede zaken tijdens virusgolf Nieuws van 22 januari 2004
Nieuwe e-mailworm Beagle verspreidt zich in hoog tempo
Nieuwe e-mailworm Beagle verspreidt zich in hoog tempo Nieuws van 19 januari 2004
Duitse studie: jonge surfers niet doordrongen van risico's
Duitse studie: jonge surfers niet doordrongen van risico's Nieuws van 5 december 2003
Cisco en drie anti-virusbedrijven in de weer tegen wormen
Cisco en drie anti-virusbedrijven in de weer tegen wormen Nieuws van 20 november 2003
'Veel Nederlanders rekenen op grote aanslag via internet'
'Veel Nederlanders rekenen op grote aanslag via internet' Nieuws van 22 oktober 2003
Yahoo lanceert instant messaging voor zakelijk gebruik
Yahoo lanceert instant messaging voor zakelijk gebruik Nieuws van 3 oktober 2003
Reuters gaat samenwerken met MSN
Reuters gaat samenwerken met MSN Nieuws van 30 september 2003
Microsoft gaat geld vragen aan IM-makers
Microsoft gaat geld vragen aan IM-makers Nieuws van 30 augustus 2003
MSN Messenger upgrade blokkeert Trillian
MSN Messenger upgrade blokkeert Trillian Nieuws van 21 augustus 2003
Nederland aan kop met internetdichtheid
Nederland aan kop met internetdichtheid Nieuws van 22 februari 2003
Symantec: het internet is gevaarlijk
Symantec: het internet is gevaarlijk Nieuws van 4 februari 2003
AOL bezit patent op instant messaging
AOL bezit patent op instant messaging Nieuws van 18 december 2002
IDC verwacht grote cyberterreuraanslag in 2003
IDC verwacht grote cyberterreuraanslag in 2003 Nieuws van 13 december 2002
Meer producten en artikelen
Bedrijfsnieuws Systeem- en netwerkutility's

Reacties (30)

-Moderatie-faq
30
30
25
7
0
0
Wijzig sortering
GeeBee 4 oktober 2003 15:05
Hmm servers die door overbelasting onderuitgaan vind ik nou niet echt een goed voorbeeld van je netwerk beschermen.

Bovendien: welke IM's zijn getest, hoe verhouden ze zich tot elkaar, dat soort dingen mis ik behoorlijk...
Spider.007 @GeeBee4 oktober 2003 15:08
Ik kan mij zo voorstellen dat teveel informatie voor bepaalde mensen heel erg nuttig is; en dat ze waarschijnlijk daarom niet te diep erop ingaan hoe en wat ;)
LosserNL @GeeBee4 oktober 2003 15:10
Zie het maar als rode draad in een raket. Die zorgt ervoor dat de raket gecontroleerd ontploft en zo voorkom je meer schade dan nodig.
Spacecowboy @GeeBee4 oktober 2003 15:26
Reactie@ GeeBee

het is ook geen bewuste bescherming, maar het geeft aan dat als een worm erg succesvol wordt, hij uiteindelijk onderuitgaat door zijn eigen succes.

Zouden die servers niet onderuitgaan, dan zou niets nog een enorme verspreiding in de weg staan.

D'r staat ook een stukje in de tekst:
Daarnaast kunnen de centrale servers ook gebruikt worden om snel en eenvoudig een patch voor het betreffende lek beschikbaar te stellen en te installeren.
Correct me if I'm wrong, maar volgens mij moet er ook aan de gebruikerskant worden gepatched, en de afgelopen wormen hebben laten zien dat vaak dáár het probleem juist zit.
memphis @Spacecowboy4 oktober 2003 16:16
Correct me if I'm wrong, maar volgens mij moet er ook aan de gebruikerskant worden gepatched, en de afgelopen wormen hebben laten zien dat vaak dáár het probleem juist zit.

Virusscanners kunnen nooit de virussen voor zijn... Wel is het triest te noemen dat bepaalde oude virussen nog steeds op het net leven en er dus nog steeds mensen zijn die er niet eens over nadenken om virusscanners te installeren.
Spacecowboy @memphis4 oktober 2003 18:43
Ik bedoel niet zozeer de virusscanners, maar meer de eventueel veiligheids patches voor de instant messenger programma's. Ervaring heeft geleerd dat heel veel gebruikers die gewoon niet installeren.
paknaald @GeeBee4 oktober 2003 15:12
Ik denk dat ze slechts een model hebben bedacht en deze van verschillende setten parameters hebben voorzien om zo tot schattingen te komen - niet dat ze het onderzoek uit real-life testen hebben gehaald (het woord simulatie geeft dat al aan).
dasiro @GeeBee4 oktober 2003 16:11
zie het als een simpele zekering die afspringt, zeg je daar ook tegen, wat is dat nou voor beveiliging tegen m'n hele kot dat zou affikken. nee toch.

ik denk dan ook niet dat ze door effectieve overbelasting onderuit gaan, maar eerder als een bepaalde hoeveelheid data erdoor wordt gepompt die x% hoger ligt dan het normale netwerkverkeer. dit is ook een van de redenen waarom de virusschrijvers hun pakketjes zo klein mogelijk willen houden.
Verwijderd 4 oktober 2003 15:29
Norton Antivirus 2003/2004 hebben wel een mogelijkheid om messenger programma's te scannen op virussen. Het irritante hiervan is alleen dat als ik deze optie aanzet dat windows dan bij het opstarten onzichtbaar msn messenger opstart. Ben je dus online zonder het te weten. Heel irritant, vandaar dat ik deze scan optie uit heb gezet. Ik snap ook niet waarom symantec daar niks aan gedaan heeft aangezien 2004 hetzelfde probleem heeft
Verwijderd @Verwijderd4 oktober 2003 18:01
Ik heb de scan functie aan staan, maar nog nooit gemerkt dat hij MSN Messenger opstart. Ik heb thuis een LAN met meerdere Pc's en krijg nooit een melding dat ik op een andere plaats aangemeld ben wanneer ik mijn andere pc's opstart.

Misschien heb je je PC niet juist geconfigureerd hebt. Sommige programma's starten MSN namelijk wel op, Outlook bijvoorbeeld.
Verwijderd @Verwijderd4 oktober 2003 18:01
heh lekker professioneel.. dubbelpost. Sorry
Oxi 4 oktober 2003 15:16
Er staat bij die 60 lekken niet bij voor welke protocollen enwelke IM's dat geld. Als er een worm komt die iedereen met MSN5.1 (ofzo :P) kan besmetten zijn mensen met bijv. gaim of trillian (of wellicht msn6) veilig. De diversiteit van de clients.. speelde dat dan ook mee bij dit onderzoek :?
Verwijderd 4 oktober 2003 18:44
Toch grappig dat dit soort 'beangstigen rapporten' afkomen van de makers van beschermende middelen.
Tha_Butcha 4 oktober 2003 15:25
Het is net met criminaliteit zo, preventie voorkomt in de meeste gevallen kwaad, maar als je al helemaal geen bescherming bied dan nodig je ze uit, helaas is het zo in de maatschappij tegenwoordig. In de jaren '60-'70 kon je nog gerust je auto vergeten af te sluiten, of je huis. Tegenwoordig moet je zware installatie's aanbrengen om te hopen dat het wat uitkomst bied. Het is een mentaliteitskwestie, maarja, ga maar eens 6 miljard mensen vertellen hoe het wel moed
offtopic:
Ik heb al een paar keer me auto vergeten af te sluiten, en ik heb um nog steeds, maar de lokatie zal wel tellen.

En ik zou jou ff vertellen hoe het wel moet en niet met een D.


idd. een beetje lame ass "bescherming", is toch gewoon een dDOS? Als ik op elke grote server een dDOS los laat, zeggen ze toch ook niet dat dat "bescherming" is, tegen verdere verspreiding???

En daarbij, als dat de enige bescherming is waar ze aan hebben gedacht. Dan wil ik er niet over nadenken wat er gebeurt als een van de servers wordt gehacked en daar een virus op los wordt gelaten :X
T.T. @Tha_Butcha4 oktober 2003 15:30
idd. een beetje lame ass "bescherming", is toch gewoon een dDOS? Als ik op elke grote server een dDOS los laat, zeggen ze toch ook niet dat dat "bescherming" is, tegen verdere verspreiding???
Je ziet het verkeerd: zoals al eerder opgemerkt, is het geen bewuste beschermingsmaatregel. Het is een bijkomstigheid die zeer succesvolle wormen ten onder doet gaan aan hun eigen succes.
xAn52 @T.T.4 oktober 2003 17:42
Maar het kan wèl het doel van de viri makers worden.
edit:
De servers killen ipv de clients.
Verwijderd @xAn525 oktober 2003 10:30
Sorry maar het woord viri bestaat niet hoor, terwijl toch steeds meer mensen het gebruiken... Uit Van Dale:

vi·rus (het ~, ~sen)
1 ziekteverwekker, veel kleiner dan de kleinste bekende bacteriën
2 computervirus
I.R. Overclocked 4 oktober 2003 15:06
Volgens mij heeft Symantec zojuist alle virus makers beledigd...

:P
himlims_ @I.R. Overclocked5 oktober 2003 19:06
beledigd?? op ideeen gebr8 zul je bedoelen
Knilessew 4 oktober 2003 15:10
Je zou denken dat zo'n artikel weer een uitnodiging is voor de bedenkers van virussen. In ieder geval hebben de virusscanner makers weer wat te doen.

Daarentegen is het wel nuttig dat ze zo'n simulatie doen. Het risico is zo wel heel duidelijk te zien.
TD-er 4 oktober 2003 15:10
ik zie niet gebeuren dat als er een aanval plaatsvind er binnen de gestelde 3 minuten een patch doorgevoerd kan worden, oftewel de beheerders van die servers zullen zeer adequaat de beveiligingslekken moeten dichten. eventueel zou er een patch uitgegeven kunnen worden voor de clients, maar daarin zie ik weer een veiligheidslek.
Verwijderd 4 oktober 2003 15:12
Zullen ze denk ik niet zo gauw zeggen. Feit blijt gewoon dat software ontwikkelaars na het uitbrengen van een progamma ermee bezig moeten blijven om het kontinu bullit proof te houden. En dat is nu net iets wat ze nou niet doen, want het kost ze geld, ze spanderen er pas tijd/geld aan als iets te gevaarlijk is en ze dan wel moeten.

Het is net met criminaliteit zo, preventie voorkomt in de meeste gevallen kwaad, maar als je al helemaal geen bescherming bied dan nodig je ze uit, helaas is het zo in de maatschappij tegenwoordig. In de jaren '60-'70 kon je nog gerust je auto vergeten af te sluiten, of je huis. Tegenwoordig moet je zware installatie's aanbrengen om te hopen dat het wat uitkomst bied. Het is een mentaliteitskwestie, maarja, ga maar eens 6 miljard mensen vertellen hoe het wel moed ;(
Verwijderd 4 oktober 2003 16:31
het is ook geen bewuste bescherming, maar het geeft aan dat als een worm erg succesvol wordt, hij uiteindelijk onderuitgaat door zijn eigen succes.
Dus de truuk is een worm te maken die niet te erg veel symptonen heeft en ook niet te snel verspreid ... . dus bewust geremd is en niet iedere kans aangrijpt om zich te verspreiden...
Daarnaast kunnen de centrale servers ook gebruikt worden om snel en eenvoudig een patch voor het betreffende lek beschikbaar te stellen en te installeren.

Correct me if I'm wrong, maar volgens mij moet er ook aan de gebruikerskant worden gepatched, en de afgelopen wormen hebben laten zien dat vaak dáár het probleem juist zit.
Ja maar dat wordt juist bedoeld. De centrale servers kunnen patchen aan de clients beschikbaar stellen. Als jij nu windowsXP installeerd en met Windows Messanger online wilt gaan dan krijg je de melding "you have to install a patch before you can continue" en krijg je dus MSN6 geinstalleerd... gepatched en wel.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq