Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 119 reacties
Bron: CNN, submitter: T.T.

Het zogenaamde MyDoom-virus, dat sinds begin deze week aan een flinke opmars bezig is terwijl de Bagle-worm nog nazindert, is het snelst verspreidende virus tot nu toe. Dat laat CNN weten. Vooral de VS, Canada, Engeland en Australië hebben eronder te lijden. Een bedrijf dat gespecialiseerd is in e-mailbeveiliging laat weten dat het al 1,8 miljoen verstuurde e-mails met het virus heeft onderschept, en meldt verder dat er op dit moment meer dan 100.000 e-mails per uur met het virus worden onderschept. Met deze snelheid zou het virus, dat van het type mass-mailer worm is, 1 op de 12 mailberichten infecteren wat meer is dan de 1 op de 17 die het eerdere virus genaamd Sobig.F op z'n hoogtepunt bereikte.

SCO TankTevens meldt SCO in een persbericht dat het een bedrag van 250.000 US-dollar uitlooft voor de tip die leidt tot de arrestatie en veroordeling van de schrijver van MyDoom. Dat SCO een hoog bedrag belooft voor de tipgever is geen grote verrassing, aangezien MyDoom het gericht heeft op het softwarebedrijf: vanaf 1 februari zouden alle besmette computers collectief een DDoS-aanval uitvoeren op de SCO-servers. Het is volgens SCO niet de eerste keer dat men zo'n aanval te verduren krijgt, al twijfelen sommige analisten daar aan. Tevens vermeldt het persbericht dat SCO samenwerkt met de FBI en de Amerikaanse Secret Services om de maker(s) van de worm bij de kraag te vatten.

De karakteristieken van het virus, dat ook bekend staat onder de naam W32/Mydoom.A-mm en Novarg, zijn onder andere:

  • Eigen SMTP-engine om uitgaande berichten aan te maken
  • Haalt adressen uit adresboeken van mailprogramma's om zichzelf te versturen
  • 22,528 bytes in lengte
  • bevat een backdoor onderdeel (zie hieronder)
  • Bevat een Denial of Service lading (DOS)
  • Bij uitvoering van het attachement worden in de systemroot de bestanden Shimgapi.dll en Taskmon.exe aangemaakt

Benamingen en links:

Ook op ons eigen forum Gathering Of Tweakers leeft het virus, het topic over MyDoom is hier te vinden.

Lees meer over

Gerelateerde content

Alle gerelateerde content (35)
Moderatie-faq Wijzig weergave

Reacties (119)

Check het Slashdot draadje...

Bijna iedereen vergeet dat dit virus ook nogeens een backdoor op je machine installeerd wat spammers de mogelijkheid geeft om jou machine als open-relay te gebruiken.

Zoals in het /. draadje al wordt gesuggereerd, is de DDoS op SCO slecht een afleiding, zodat men minder tot geen aandacht schenkt aan de andere narigheid die het virus uithaald.

Ik hoorde net op het 15:00 journaal op Radio Purmerend over het virus. Ze vertelden dat het een aanval uitvoerde op SCO welke volgens het nieuwsbericht eigenaar is van UNIX en delen van Linux en dat het virus waarschijnlijk uit de Linux-community komt, geen woord over de open-relay en zombie software die op je machine wordt geinstalleerd!

Dit soort (onvolledige) berichtgeving is slecht voor zowel de gemiddelde Windowsgebruiker als de Linux-community. De Windowsgebruiker kan de ernst van dit virus onderschatten door de oncomplete berichtgeving, en de Linux-community heeft er geen baat bij dat zij (wij) worden afgeschilderd als destructieve virusschrijvers.

Ik hoop dan ook dat de media snel betere bronnen vinden voor hun berichtgeving op het gebied van ICT. Vooral als het gaat om onderwerpen als SCO vs IBM. Sites als tweakers.net en voornamelijk slashdot.org en groklaw.net geven de journalisten een diepgaande blik in dit soort situties, waardoor zij eeen complete bericht geving kunnen doen ipv de berichtgeving als op dit moment, welke de (onwetende) lezer een _totaal_ verkeerd beeld geven van wat er nou precies speelt.

Sorry voor de rant, maar ik moest het even kwijt
Ik hoorde vanochtend op RTL4 zeer incomplete info over dit virus. Het luide ongeveer zo: Er is een nieuw virus, het verspreid zich razend snel. ICT Experts bevelen het virus direct te verwijderen.
Ze denken zeker dat even de delete knop gebruiken genoeg is daar bij RTL4 |:(
Als ze informatie geven doe het dan goed.
Op een Belgische tv zender in het nieuws is er niets gerept over SCO aanval, enkel over het backdoorpoortje. Dat het een aanval doet op SCO is bij deze dus het eerste ik er van lees :)
Qua berichtgeving bij grote virus threads zit het hier in .be wel snor, mede door de inspanningen van het BIPT (Belgisch Insituut voor Post en Telecom) welke nieuwszenders en radiozenders op de hoogte brengt bij gevaarlijke virussen.
Nou ja, als het een trojan van een spammer is dan wist die het goed te verbloemen. Hopelijk dat als die dan opgepakt wordt we een virusschrijver en spammer minder hebben.
Het virus valt dus aan op 1 februari, niet 12 februari.

En het is absoluut niet zo zeker dat het iemand uit de Linux community is. De meeste Linux geeks raken Windows met geen vinger aan, laat staan dat ze er een virus voor schrijven.
Als je kunt programmeren voor Linux wil dat zeker nog niet zeggen dat je ook voor Windows kunt programmeren.

Waarschijnlijker is dat het een spammer is, aangezien besmette PC's een open relay worden, en dat ook blijven na 12 februari als de DDoS aanval stopt.

SCO heeft hoe dan ook geen kans, zeker nu Groklaw heeft aangetoond dat niet SCO maar Novell de copyrights bezit op het Unix deel dat SCO claimt.
Ze hebben hoe dan ook geen flauw benul wat ze eigenlijk aan het doen zijn. Ze vliegen heen en weer tussen patentschendingen, copyright overtredingen en contractbreuk.
Bovendien heeft McBride in verschillende vraaggesprekken aangegeven dat deze stap alleen is voortgekomen uit het feit dat de firma op de rand van bankroet staat. Ze hebben dus niks te verliezen.

We zouden eens moeten ophouden ons druk te maken over SCO. De grootste schreeuwers hebben meestal het minst te zeggen. We kunnen ons veel beter druk maken over patenten op software. Dat is pas een werkelijk gevaar voor Open Source software.
SCO weet toch al wie het gedaan heeft! Zie dit nieuwsbericht, waarin staat:
"It's pretty obvious SCO is targeted in the attack, probably because some Linux users are angry over SCO trying to make Linux a closed system and make a profit from it," Hyppoenen noted.

SCO has offered a 250,000-dollar reward for information leading to the arrest and prosecution of Mydoom's creators. Linux is a free operating system for personal computers made by the Finn Linus Torvalds.
Dus een Linux user heeft het gedaan! Natuurlijk weer een beschuldiging zonder bewijs te overleggen. Welk bedrijf heeft dat ook al weer als handelsmerk® |:(?
De Open source community zegt hierop als antwoord, dat het wel mogelijk is dat je bij jezelf de ruiten in gaat gooien en vervolgens de ander daarvan beschuldigt.

En zo ben je weer bij af.

Bij Netcraft: http://uptime.netcraft.com/perf/graph?site=www.sco.com zie je dat de site nu al plat ligt. Of zou dit komen door de Google "DoS" Litigious Bastards attack?
SCO gebruikt linux voor hun webservices omdat zij een licentie hebben op de SCO unix code ;)
Als iem. onverdraagzaam doet, moet je je dan ook zo verlagen? O+

EDIT: Typo
Nou... het ligt in dit geval natuurlijk wel EEEEERRRRUUUGGGG voor de hand dat dit virus vanuit de Linux wereld afkomstig is.....

Windows gebruikers hebben immers nog nooit van SCO gehoord, en de suggestie dat SCO twee weken zichzelf via een DoS platlegt om zo de Linux community aan te vallen is te zot voor woorden...
Er is een oorlogs tactiek die zegt
"vernietig de vijand van binnenuit"
Dit soort gevallen zouden makelijk gezien kunnen worden als een aanval op het linux community
Omdat ze op deze wijze die community ondermijnen omdat iedereen elkaar dan wantrouwt
En buiten dat om staat linux weer in het kwaade daglicht.

Er is namelijk nog geen schijntje bewijs getoond dat dit virus ook maar iets met linux te maken heeft

Zou zelfs een mac gebruiker kunnen zijn die dit geschreven heeft.

Geruchten zijn het ergste vijand van de waarheid.
Waar baseer je dat op? Kom eens met feiten...Het kan ook een voormalig medewerker van SCO geweest zijn om maar iets lomps te noemen. Iedereen is onschuldig totdat het tegendeel bewezen is, dus ook de linux community :)
Windows gebruikers hebben immers nog nooit van SCO gehoord, en de suggestie dat SCO twee weken zichzelf via een DoS platlegt om zo de Linux community aan te vallen is te zot voor woorden...
Wat wil je daarmee zeggen, dat ICT'ers die met Windows werken DOM zijn ? Trouwens de linux community heeft een motief :P.
ok, reken me maar in ;(
Microsoft? :z

Ik vind het gewoonweg niet kunnen wat SCO nou weer doet, altijd is SCO bezig tegen linux omdat ze volgends hun een stukje sourcecode hebben gebruikt. Allemaal zonder bewijs. Lekker is dat.

En dan durven ze nou ook een linux gebruiker de schuld te geven? Niet normaal hoor.
SCO wijst niet met de vinger naar de Linux gemeenschap. Lees het artikeltje nog eens door :)
Natuurlijk weer een beschuldiging zonder bewijs te overleggen, Welk bedrijf heeft dat ook al weer als handelsmerk ?

The Inquirer ? :D ;)
Oh dan klagen ze toch gewoon iedere linux user aan ;)

Dan weten ze zeker dat ze de dader te pakken hebben.
Blijt een beetje vaag verhaal; een fanatieke Linux user die in z'n vrije tijd windows programma's schrijft
:?
Ik snap dat sommige mensen het "high-profile" gedrag van SCO niet accepteren, maar een worm speciaal voor de gelegenheid creeeren vind ik wel erg ver gaan.
Ik snap dus ook wel dat SCO daar zo'n hoge beloning voor uitlooft.

En om even in de toon van de volgende berichten te passen : "Ik heb al 50% MyDoom van alle mail !!!"
Er lopen op tweakers ook al enkele topics over dus lees ze aandachtig door voor remedies en voorzorgsmaatregelen.

Wat ik bijzonder storend aan de worm vind is dat hij zich bij de eerste reboot in explorer.exe schiet. het is dus van hoog belang om niet te rebooten als je de worm hebt, maar eerst zijn process af te schieten en dan meteen verwijderen. En dan pas rebooten !
Eigenlijk is dit niets anders dan een terroristische aanslag richting SCO.
behalve dat hier geen echte doden vallen, en de schade uit te drukken is in een paar 100.000en
Een terroristische aanslaf hoeft niet perse mensenlevens te eisen.
Ergens eist het toch zijn slachtoffers.
Het kwaad dat daar insteekt en eruitkomt moet ergens naartoe.

Het kan dus goed zijn dat bij een ware aanval keer op keer daar veel mensen voor op hun donder krijgen,en zich daar niet goed bij voelen.

Net zoals energie, gaat ook het gericht 'kwaad' IMHO ergens heen en wordt het op één of andere manier toch weer voort verspreid of laat het sporen na.
Bijna niemand vindt zo'n DoS attack gerechtvaardigd. Ook de overgrote meerderheid van de tegenstanders van SCO niet. Maar het vervelende met dit soort dingen is dat er maar 1 persoon voor nodig is.
ik voel me gediscrimineerd.
heb em nog nie... :(
misschien is die worm wel door sco zelf gemaakt... hun servers draaien op linux... :? |:(
Tsja, dit was natuurlijk wel te verwachten. SCO heeft nu al zoveel mensen tegen zich in het harnas gejaagd dat er gewoon wel een virusmaker tussen MOEST zitten, en uiteraard geeft SCO meteen de open source-community de schuld.(Maar dat doen ze ook als de stroom uitvalt of het weer ze niet bevalt.) Hoewel ze daar uiteraard de meeste vijanden hebben, kan dit evengoed een wraakactie zijn van een ex-werknemer. Beetje voorbarig dus om nu al beschuldigingen te gaan rondstrooien, maar uit het verleden weten we al wel dat SCO bij het uiten van beschuldigingen zich zelden laat hinderen door dingen als feiten en bewijzen...

Verder vind ik het wel een goeie actie van SCO, het boeit niet WAAROM iemand virussen, wormen of trojans maakt. Gewoon keihard aanpakken die losers. Van een hacker kun je ten minste nog zeggen dat hij op beveiligingsfouten wijst, maar een virusschrijver doet echt nooit iets goeds.
Niet 100% akkoord.
Voor die 1% "virusschrijvers doen echt nooit iets goeds."

Redenen waarom die worden geschreven duiden meestal op een specifieke actie.
Bij een wormvirus vallen veel 'onschuldige' slachtoffers. IMHO is een worm iets vrij zwakzinnig als je kijkt naar 'stand-alon' pareltjes van virussen die specifiek zijn gebouwd, of voor testdoeleinden.

Veel virusschrijvers zijn ook programmeurs die bij een bedrijf werken. Een meerderheid echter denk ik, is gewoon jou kraterige buurjongen waarvan je denkt dat het een gamer is die enkel wat 'script'.
Een open reactie aan iedereen,

hoewel ik ook erg kan lachen om grapjes "waar kan ik het installeren", getuigt het niet van veel inzicht. Dit is juist het het soort reacties waardoor Linux zwart gemaakt wordt.

Ik denk eerder dat we met z'n alleen bezig kunnen zijn om het virus te stoppen, en de maker te vinden. Ieders anders zet zowel de Windows* als Linux community voor schut :'(

(zoals hier boven is opgemerkt, is de ddos aanval waarschijnlijk een afleidingsmanouvre)
Ik denk eerder dat we met z'n alleen bezig kunnen zijn om het virus te stoppen, en de maker te vinden. Ieders anders zet zowel de Windows* als Linux community voor schut

Nogmaals, ik draai Debian thuis. Is dat virusscanner genoeg, of moet ik dan ook nog Symantec Anti Virus installeren onder WINE. Wat verwacht je nou van de Linux community?
Okay..als je Debian een virusscanner wilt noemen, da's jouw keuze...
Maar jij weet net zo goed als ieder ander dat 'n virus alleen gemaakt wordt voor een platform waar 't ook impact kan hebben...net zo goed dat een Palestijnse zelfmoordenaar ook niet een rustig plekkie op de hei gaat opzoeken om zichzelf op te blazen worden er vrij weinig tot geen virii geschreven voor Debian of andere <0,1% OS'en....
Als je dan iets doet, doe 't dan zodat 't ook gemerkt wordt.....
^G^G^G Ik ben al overgestapt op Debian, en heb geen virussen meer, als iedereen dat zou doen, zijn we toch van alle virussen af?
ot, maar ik ben graag behulpzaam. :)

@It_was_me,

Je hebt geluk dat een UNIX based OS meer beperkingen oplegt aan de verspreiding van een virus.. en je dus minder snel een scanner nodig hebt. Het is niet onmogelijk, Linux ELF-binaries kunnen ook virussen bevatten, maar de architectuur van je systeem beperkt de verspreidingskans van een virus. :) (en flame me, maar soms heb ik _de_indruk_ dat in Windows een virusscanner de enige beperking is voor de verspreiding van een virus ...als je dit een flame vind, geef graag goede voorbeelden!)

De meeste scanners voor Linux controleren mail en netwerk-shares, om virussen te vinden die anders door een Windows machine opgepikt kunnen worden.

p.s. Je draait toch niet dagelijks als root? Dan gaat bijna alles in dit hele verhaal namelijk niet meer op!
"On the first system startup on February 1st or later, the worm changes its behavior from mass mailing to initiating a denial of service attack against the sco.com domain. This denial of service attack will stop on the first system startup of February 12th or later, and thereafter the worm's only behavior is to continue listening on TCP port 3127."

Bron http://vil.nai.com/vil/content/v_100983.htm

! feb begint de attack dus...niet 12.
SCO: 250.000 dollar voor aangeven schrijver MyDoom-worm
of:
Microsoft: 250.000 dollar voor aangeven schrijver MyDoom-worm
;)
Is Microsoft Behind SCO's $50 Million Cash Infusion?
Microsoft en Sun leveren SCO vijftien miljoen dollar op.
Microsoft neemt licentie op Unix code
Wat ik in de hele draad een beetje heb gemist is dat er inmiddels een removal tool is uitgebracht door Symantec. Details over het kreng kun je hier nalezen, Hij maakt dus een zooitje registersleutels aan die ervoor zorgen dat je poorten open worden gezet, en als je kazaa hebt zet ie in de download folder ook nog wat onzaligheid neer. Verder blijkt de DoS-attack in de hele periode tussen 2 en 14 februarie te gaan plaatsvinden. En hij heeft inmiddels verschillende namen:
W32/Mydoom@MM [McAfee], WORM_MIMAIL.R [Trend], Win32.Mydoom.A [Computer Associates], W32/Mydoom-A [Sophos], I-Worm.Novarg [Kaspersky]
Wat ik persoonlijk feitelijk verplichte kost vind voor gebruikers is het volgende, ze noemen het best practice:
Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

Turn off and remove unneeded services. By default, many operating systems install auxiliary services that are not critical, such as an FTP server, telnet, and a Web server. These services are avenues of attack. If they are removed, blended threats have less avenues of attack and you have fewer services to maintain through patch updates.
If a blended threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
Configure your email server to block or remove email that contains file attachments that are commonly used to spread viruses, such as .vbs, .bat, .exe, .pif and .scr files.
Isolate infected computers quickly to prevent further compromising your organization. Perform a forensic analysis and restore the computers using trusted media.
Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched
Een aantal dingen zijn voor thuisgebruikers natuurlijk niet van toepassing, maar het blokkeren van mails met een bepaalde extensie die er in voorkomt kan iedereen wel doen.
Van: http://www.math.org.il/newworm-digest1.txt
D'Aloisio Marc observed some things about the DoS attack, and raised some preliminary questions:
-----
Has anyone seen the DOS against SCO actually happen?
I have the new critter in a test environment where we conducted a
preliminary and rudimentary functionality and threat analysis and the
only activity I can get it to perform related to www.sco.com is to
resolve the name. In fact, it seems very unhappy if it cannot resolve
www.sco.com. Once it can, it happily scans local files for anything
that can be construed (very loosely) as a domain and tries to resolve
mail servers based on these. In fact, right now it's trying to resolve
'mx.makewin.rsp'. "Makewin.rsp' is a file referenced in the help files
of my DigitalMars C++ compiler on a test machine, so it's not a very
smart worm. The worm also seems to like to increment the third octet of
the host IP by one and syn to port 25 of that address over and over and
over... I have played with the date, etc, but still no activity directed
toward www.sco.com. It did die after 12 February, but gladly
resurrected when the date was set back prior to that.
I haven't had time to go through a code analysis - that will come later
as time permits.
-----

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True