Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 115 reacties
Bron: Netcraft, submitter: MichielM

SCO logo met tank naar SCO gericht (DDOS)Het MyDoom-virus heeft zoals verwacht de aanval op de website van SCO ingezet. Midden deze week maakten de mails die MyDoom zond om zichzelf te verspreiden nog ongeveer 1/12e van het totale e-mailverkeer uit, wat een duidelijke indicatie is dat het virus zich sterk heeft verspreid. Sinds deze ochtend sturen alle besmette computers massaal requests naar de SCO-site, wat dus neerkomt op een Distributed Denial of Service (DDOS) aanval. Op het moment van schrijven is www.sco.com onbereikbaar. De DNS-entry van de site is echter nog niet verwijderd. De http-requests worden dus nog ontvangen en behandeld, maar de verbinding wordt meteen weer afgebroken. Meer grafieken en gegevens omtrent de uptime van sco.com zijn bij Netcraft te vinden. Het is afwachten wat er zal gebeuren met de site van Microsoft, die wordt immers op de korrel genomen door de MyDoom.B-variant. De aanval wordt gestart op 3 februari, voorlopig ondervindt men geen problemen.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (115)

Het is e-terrorisme en het vormt zo langzamerhand een bedreiging voor de samenleving. Ik hoop dat een gezamelijk effort er eindelijk eens een eind aan kan maken:
- routers met een "ddos filter"
- mensen en bedrijven die nu eindelijk eens windowsupdate.com gaan draaien
- de rechter die in een publieke rechtzaak de dader(s) keihard aanpakt
- meer en objectievere journalistiek wat bewustwording vergroot

Met name het feit dat mass emailen na al die jaren ellende nog steeds zo makkelijk is, is teleurstellend. En daar wil ik geen "MS Outlook is de oorzaak" flame mee initieeren.

@aad123:
Zoals je ook de netcraft stats omhoog ziet schieten, zo zou je denk ik ook buitengewone flooding van bepaalde ip-adressen moeten kunnen zien en dus filteren denk ik dan. Met linux iptables kun je toch ook grenzen aan traffic stellen (state full filtering?) Ten dage van een verwachte aanval is het wel handig als je een dergelijke optie even een paar dagen aan kan zetten. Het is maar een gooi.
- routers met een "ddos filter"
Hoe wou je dat realiseren? Het virus zelf draagt geen kenmerkende extensie die zegt "ik bevat ddos-elementen" en als de aanval plaatsvindt zijn de pakketjes volgens mij ook niet apart te onderschijden, dan ben je trouwens al te laat, als routers dat zouden kunnen zouden ze op dat moment vermoedelijk onderuit gaan.
- mensen en bedrijven die nu eindelijk eens windowsupdate.com gaan draaien
Zou prachtig zijn, maar verijdelt niet het verspreiden en actief worden van een mass-mailer worm, daar heb je nog altijd een virusscanner voor nodig. Daar zou dus de nadruk moeten liggen, voorlichting in de media over het gebruik van een virusscanner.
- de rechter die in een publieke rechtzaak de dader(s) keihard aanpakt
Goed plan, nu nog de daders vinden. Het is wel eens gelukt om de daders te pakken, met name in de VS komen ze er dacht ik niet genadig van af, maar de pakkans is nog redelijk nihil.
- meer en objectievere journalistiek wat bewustwording vergroot
Mee eens, wat je momenteel ziet is dat vaak niet terzake kundige verslaggevers onduidelijke verhalen rondstrooien. Feitelijk zouden de media daarvoor deskundigen in dienst moeten hebben.
En daar wil ik geen "MS Outlook is de oorzaak" flame mee initieeren.
Duidelijk, de oorzaak is een heel vervelend mannetje of vrouwtje dat een ongefundeerde haat tegen SCO en Microsoft koestert, of gewoon een grote daad wil verrichten door dit bij globaal bekende firma's te flikken.
- routers met een "ddos filter"
een router met ingebouwde proxy dus :)

Voorlopig zie ik dat nog niet mogelijk zijn. routers moeten zo vreselijk veel verkeer routen dat het onmogelijk is om ook nog bij elk pakkeetje uit te gaan zoeken of dat toevallig afgelopen uur al x keer meer voorgekomen is.
- routers met een "ddos filter"
Vaak werken DDoS aanvallen met gespoofde ip adressen. Als de internet providers nou op alle inkomende aansluitingen checked of het verzendende ip-adres legitiem is dan zou dit al een heleboel ellende schelen. Ook zijn dan bij DDoS aanvallen ook de ip adressen van de aanvallers/geïnfecteerde machines (beter) te achterhalen.
Met name het feit dat mass emailen na al die jaren ellende nog steeds zo makkelijk is, is teleurstellend. En daar wil ik geen "MS Outlook is de oorzaak" flame mee initieeren.
Volgens mij heeft Mydoom helemaal niks met een gat in Outlook te maken. Het grootste beveiligingsgat zit tussen stoel en beeldscherm en heet gebruiker.

Misschien zou SCO eens een rondje aanklachten moeten beginnen tegen de mensen die dit virus een kans geven doordat ze geen virusscanner gebruiken en klikken op alles wat ze zien.
Iedereen die meedoet aan die DDoS aanval is blijkbaar te eigenwijs om een virusscanner te draaien of om z'n gezonde verstand te gebruiken. Misschien moet dat soort mensen eens in de beurs geraakt worden.
Volgens mij heeft Mydoom helemaal niks met een gat in Outlook te maken
Dat klopt. De gebruiker moet het attachment zelf openen en het virus gebruikt een eigen smtp-server om te spammen, dus onafhankelijk van de gebruikte e-mail software. Gezien dat het Windows software is moet uiteraard wel Windows als besturingssysteem gebruikt worden.
of iedereen die windows heeft aanklagen zeker omdat het een mogelijke bedrijging is. Ze moeten vanuit het rijk mensen beter informeren. Dus zo'n Sire reclame voor een virusscanner.
Volgens mij heeft Mydoom helemaal niks met een gat in Outlook te maken. Het grootste beveiligingsgat zit tussen stoel en beeldscherm en heet gebruiker.
dit doet mij denken aan de term 'pebkac'
'problem exists between keyboard and chair'
het lullige is dat het 95% van de keren toepasbaar is als 'hij het niet doet' :(
Dit hele gedoe met SCO en die rechten op de broncode komt door MyDoom totaal in het verkeerde daglicht te staan. Vaak wordt het op tv of radio verkeerd uitgelegd waardoor iedereen de indruk krijgt dat Linux een gejat Operating systeem is.
Niet iedereen weet dat het maar om een paar (tov het hele OS) regels code gaat. En helaas wordt dit meestal ook niet duidelijk verteld.
De maker van MyDoom zorgt er naar mijn mening voor dat SCO een betere kans heeft om de rechtzaak te winnen. Helaas mag ik wel zeggen.
SCO is inderdaad niet te bereiken. Daarin tegen lijkt de MyDoom.B variant minder verspreid te zijn dan MyDoom.

Ik vraag me af hoe lang de aanval gaat duren en of alleen SCO hierdoor getroffen wordt. Het is goed mogenlijk dat hele netwerken nauwelijks bereikbaar zijn. Helaas heb ik niet de tools om dit snel te kunnen achter halen :'(

* 786562 Atmosphere
ik meen ergens te gelezen te hebben dat de aanval van de MyDoom.B variant pas op 3 februari zou aanvallen. Maar ik denk ook dat deze minder verspreid is dan de MyDoom, aangezien deze ook pas later werd verspreid.

Correct me if i'm wrong ;)

anyway, SCO is inderdaad niet meer te bereiken, en persoonlijk vind ik 1/12 van het hele e-mail verkeer toch wel iets zeggen over de programmeer skillz van de maker, maar dit neemt natuurlijk niet weg dat dit niet gerechtvaardigd is, ook al mag SCO dan in een kwaad daglicht staan.

Edit: Typo
persoonlijk vind ik 1/12 van het hele e-mail verkeer toch wel iets zeggen over de programmeer skillz van de maker
Dat is deels waar, maar ik vind het véééél meer iets zeggen over de 'skills' van vele systeembeheerders en webgebruikers. Het blijft te gek voor woorden dat zo'n virus zichzelf zo ontzettend snel kan verspreiden, doordat de beveiliging bij de meerderheid van de op Internet aangesloten PC's niet deugt.

Ik ken niet de precieze technieken die het MyDoom-virus toepast, maar neem even aan dat het gebruik maakt van wat beveiligingslekker in Windows en Outlook, waar allang patches voor beschikbaar zijn.

Zomaar een ideetje: misschien dat de overheid het gebruik van goede virusscanners moet stimuleren door middel van subsidies. Als je kijkt naar de schade die dit soort virussen en ook andere beveiligingsproblemen veroozaken, zou zo'n investering waarschijnlijk goed zijn voor de economie.
Ik vind het dan wel opvallend dat de activering op zondag plaats vindt, op een tijdstip dat bedrijfsmatig gebruikte systemen over het algemeen stil liggen, dus moet het toch wel bij particuliere gebruikers vandaan komen, dus kan inderdaad een conclusie zijn dat heel wat particuliere gebruikers dit niet in de gaten hebben gehad.
Ik ken niet de precieze technieken die het MyDoom-virus toepast, maar neem even aan dat het gebruik maakt van wat beveiligingslekker in Windows en Outlook, waar allang patches voor beschikbaar zijn.
Het maakt geen gebruik van beveiligingslekken, maar installeert een aantal registersleutels die de boel dus open zetten. Op de site van symantec staat welke dat zijn. Daar staat trouwens ook wat het virus precies doet.
Zomaar een ideetje: misschien dat de overheid het gebruik van goede virusscanners moet stimuleren door middel van subsidies.
Aardig idee, maar dan moeten de mensen het wel doen. Niemand hoeft het te laten voor de kosten, er zijn ook betrouwbare gratis virusscanners te downloaden. De gewone burger komt echter in de krant bijvoorbeeld zo'n bericht over een virus tegen, en denkt dat het op hem niet van toepassing is. Daar zit het lek.
Zomaar een ideetje: misschien dat de overheid het gebruik van goede virusscanners moet stimuleren door middel van subsidies. Als je kijkt naar de schade die dit soort virussen en ook andere beveiligingsproblemen veroozaken, zou zo'n investering waarschijnlijk goed zijn voor de economie.
De overheid heeft al een campagne opgezet om het gebruik van virusscanner, firewalls etc. te stimuleren op computers.
Check www.surfopsave.nl maar.
De enige 2 windows lekken waar dit virus gebruik van maakt zijn:
- De debiele gebruiker die alles maar aanklikt en alles opent. Je moet voor dit virus zelfs een ZIPfile openen, kan je nagaan hoe stom ze zijn :X
- Het ontbreken van een up2date virusscanner

En dat dit ding vooral particuliere systemen misbruikt: bedrijven hebben voornamelijk NT/2K/XP op systemen staan, en meestal logt iedereen in met een normaal account. Denk je dat zo'n machine veel zin heeft voor dit virus? Je kunt je nml helemaal niet nestelen en de volgende reboot is het weg.
De thuisgebruiker echter... Administrator :X

De beveiliging van je OS is nog steeds even goed als de zwakste schakel, en dat is toevallig PEBCAK: Problem exists between chair and keyboard |:(
@ Rachid.nl : Ik denk precies hetzelfde als jou...
De probleem ligt grotendeels bij de providers... Die zouden zonder enige moeite alle geinfecteerde mails eruit kunnen vissen... Maar neeeeee!!! Als je een virusvrije mailbox wilt dan moet je daar extra voor betalen :r
@ Jan de Groot & ReFleXWolf

Doet me denken aan een aantal "Despair" uitspraken.

Never underestimate de power of stupid people in large groups.
&
When you think something is idiot-proof, somebody builds a better idiot.
Ze zouden met de administrator net zo om moet gaan als in linux als je iets veranderd moet je het admin wachtwoord invoeren onder andere omstandigheden ben je gewoon local-user. (of kan dit al?? hoe?)
Ik denk dat dat meer zegt over de onverantwoordelijkheid van de gemiddelde internet-gebruiker dan over over de programmeerskillz van de virusmaker. Dit is nog steeds een virus dat je zelf moet activeren; het feit dat internet steeds meer mainstream wordt en elke jan-met-de-pet zonder enig benul van waar die mee bezig is een breedbandje voor een habbekrats kan nemen is denk ik eerder een verklaring waarom dit soort virii in korte tijd zo'n impact kunnen hebben...
Op zich is deze worm niets nieuws en technisch niet zo geavanceerd, er zit bijvoorbeeld niets in dat de pc 'automatisch' kan infecteren.

Wat wel knap is --en denk ik de reden voor de grote verspreiding-- is de gebruikte 'social engineering' die mensen moet overhalen om de attachment te openen. In het geval van Mydoom ziet de message er voor veel mensen als een geloofwaardige non-delivery error message uit en komen ze er dan snel toe om in de attachment te gaan kijken welke mail er onbestelbaar zou zijn.
Snap persoonlijk niet helemaal de positieve gedachtes in de voorgaande posts.
Vind het zelf eigenlijk behoorlijk irritant en vervelend. Dit soort gasten mogen ze van mij heel hard aanpakken. Het geld dat dit soort "grappen" kost is gewoon belachelijk.
Dat je het niet eens bent met bepaalde bedrijven is je goed recht maar dat moet je niet over de ruggen van andere proberen aan te pakken.
Klopt, niet alleen SCO lijdt hieronder, dat is het hele probleem.

Ik denk dat veel ISPs en Internet Exchanges het momenteel ook moeilijk hebben met de grote hoeveelheid dataverkeer richting SCO. En dat hebben ze nergens aan verdient.

Edit: off topic!??! en posts hierboven die over het al dan niet draaien van linux op de Microsoft servers gaan die worden omhoog gemod?
Ik moet zeggen dat ik er hier weinig last van heb. Bij de andere grote wormen was internet duidelijk trager. De mailserver van @home is wel een tijdje uitgeschakeld geweest na uitbraak van het virus, misschien dat daar het meeste al eruit was gefilterd.
( mijn eerste post op de FP )

Ik begin zo langzamerhand te denken dat er eens wat verplichtingen aan het gebruiken van internet verbonden moeten worden.
Zoals al eerder is opgemerkt begint deze vorm van terrorisme een bedreiging voor de samenleving te vormen.
Vanuit deze gedachte vind ik het gerechtvaardid dat ISP's hun klanten verplichten ,firewalls en spyware/virus software te draaien,de ISP dient daar dan actief op te controleren.
De ISP heeft er zelf ook baat bij ,minder verkeer buiten het eigen netwerk.

Veel mensen zien internet als een speeltuin, lekker muziek en films downloaden en maar plaatjes en films naar elkaar mailen en via MSN messenger naar elkaar versturen.
Ook de kettingbrieven zijn populiar maar tegelijkertijd een bron van inkomsten voor spammers die waarschijnlijk ook weer achter deze 2 virussen zitten

Dat SCO niet populair is onder de .NIX gemeenschap is een feit maar geen arument.
Dat er wat aan de praktijken van SCO gedaan moet worden is in mijn ogen duidelijk maar dat kan in de rechtszaal!
Misschien is het een idee om (grote) ISP's te verplichten al hun mails inkomende en uitgaande te scannen. Dat moet er voor zorgen dat in ieder geval de particuliere massa niet bereikt wordt. En voor zo'n ISP moet het toch niet al te ingewikkeld zijn om die software te installeren XS4All en vele andere hebben het al. Als dit een standaard wordt (desnoods verplicht) bij de meeste ISP's dan zullen virussen zich veel minder snel verspreiden.
> Zoals al eerder is opgemerkt begint deze vorm van terrorisme een
> bedreiging voor de samenleving te vormen.

Denk dat dat wel meevalt, SCO of MS DoS'en is nu niet bepaald iets wat de samenleving bedreigd.

> Vanuit deze gedachte vind ik het gerechtvaardid dat ISP's hun
> klanten verplichten ,firewalls en spyware/virus software te draaien,de
> ISP dient daar dan actief op te controleren.

Ik niet, de ISP heeft niks met mijn systeem(en) te maken als ik voldoe aan de door hun gestelde eisen die ik geaccepteerd heb bij het in gebruik nemen van de internet verbinding. Daarin staat vast dat ik niet voor overlast mag zorgen voor andere gebruikers en dat ik (eventueel na een waarschuwing) afgesloten word van het netwerk als ik daar niet aan voldoe. Mij lijkt een (automatisch) systeem van het afsluiten van klanten die virussen verspreiden of anderszins problemen veroorzaken het handigst, op die manier wordt het internet weer fijn begaanbaar voor mensen die WEL verstand van zaken hebben of iemand hun systeem laat configureren die er wel verstand van heeft. Verantwoord internetten juich ik toe.

> De ISP heeft er zelf ook baat bij ,minder verkeer buiten het eigen
> netwerk.

Veel ISP's hebben een FUP of een datalimiet, ze juichen het extra dataverkeer alleen maar toe, extra inkomsten.

> Dat SCO niet populair is onder de .NIX gemeenschap is een feit
> maar geen arument.
> Dat er wat aan de praktijken van SCO gedaan moet worden is in
> mijn ogen duidelijk maar dat kan in de rechtszaal!

Je beschuldigt hierbij de ".NIX gemeenschap" van het veroorzaken van deze problemen? Het moet niet gekker worden.
Internet is een vrijplaat waar alles kan. Ik vind dat dat ook zo moet blijven.

Maar je moet wel goed weten waar je mee bezig bent en wat dat betreft zijn er miljoenen mensen die er compleet niets van snappen aangezien zij nog steeds attachments openen.

Je kunt wel een rijbewijs in willen voeren voor internet, maar dat gaat toch nooit internationaal werken en het loopt toch altijd achter de feiten aan. Bovendien: wat kan er nou gebeuren? hooguit dat een multinational gepest wordt of je je eigen pc weer moet her-installeren. Niet echt levensbedrijgende zaken.
Mmm. Volgens mij zou die hele MyDoom net zo goed een hoax kunnen zijn, volgens mij genereert de stroom van mensen die willen kijken of www.sco.com alweer up is genoeg verkeer om opzichzelf al als DDoS te boek te staan.
Je bedoelt dat ze ge'tweakert.net' zijn...?
:P
hahah inderdaad :7
Nou dat is nog eens een artikel wat ergens op slaat! als bij sco het ip adres van sco naar bijvoorbeeld ibm wordt gewezen, ligt ibm ook plat...

wat hebben ze nu uiteindelijk bij sco gedaan?
de hele www.sco.com uit de dns gehaald. Nu hebben ze in ieder geval geen last van heavy traffic. Voor sco is de website namelijk toch niet zo belangrijk als bijvoorbeeld voor microsoft.

cool
DDoS aanval, daar heeft SCO zeker ook patent op.

Logisch trouwens dat Microsoft nerges last van heeft, die stappen bij problem ook over op linux servers.[eerder deden ze dat toch ook al bij de update server DDoS]
Ze hebben "geen last" omdat ze het gigantische akamai netwerk gebruiken, in het geval van een ddos maakt het echt _helemaal_ niets uit of je windows, linux of eamelinkOS draait...
maakt niet uit, microsoft.com draait niet op akamai momenteel.
Microsoft heeft nooit op Linux servers gedraaid. Beter lezen volgende keer :)
Jawel hoor, toen ze geDDoSed werden door computers die geïnfecteerd waren met de Blaster worm:
Content distribution networks (CDN) can play a key role in defeating DDoS attacks, using their large and widely distributed networks of servers to blunt their impact. Microsoft used a CDN service from Akamai to keep its web site online last August, when the Blaster worm programmed machines to launch a DDoS on the Windows Update site. Microsoft's strategy drew considerable attention, as the front page of the www.microsoft.com site was served by Linux machines on Akamai's network.
Van Netcraft.
Micorosft.com heeft helemaal niet onder Linux gedraaid. Als jij toendertijd microsoft opvroeg, ging je gewoon eerst langs een Akamai server omdat die gewoon veel meer bandbreedte tot zijn beschikking heeft.

De website zelf heeft echter nooit onder Linux gedraaid, je request werd verder ook gewoon afgehandelt door een Windows server (doorgestuurd naar een Windows server)
Akamai’s http caching servers run Linux, and so we report Linux as the operating system. However Akamai also forwards the http Server: header from the original server as part of the cached content, and so we report “Microsoft-IIS/6.0” as the web server.
ow, ja-nee-spelletjes. leuk :)
heeeeel vroeger in het vorige milennium (pre 2001) draaide microsoft.com wel degelijk op een *nix machine. Er was zelfs een tijd dat meneer Gates openlijk aangaf geen toekomst te zien in het internet.
Dat is maar net hoe je het interpreteert. ;)

www.microsoft.com en Windows Update hebben een tijdje (zoals de Netcraft linkjes al zeggen) bij Akamai op Linux gedraaid. Maar hun eigen machines hebben idd altijd onder Windows hun werk gedaan. :)
Microsoft heeft caching server gebruikt van Akamai, die draaiden op Linux. De site zelf heeft nooit op Linux gedraaid maar altijd op Windows. Wel eens geprobeerd een ASP site op Linux te draaien?
Jazeker... werkte heel goed... Chilisoft ASP :)
However Akamai also forwards the http Server: header from the original server as part of the cached content, and so we report “Microsoft-IIS/6.0” as the web server.
Ze hebben er geen last van omdat het mydoom.b virus dat behalve sco ook microsoft (en nog wat andere sites) aanvalt pas 3 februari actief wordt.
aah... daarom is mn pc zo langzaam :Y)
Ben benieuwd hoe lang hij plat blijft liggen; het virus stopt niet uit zichzelf heb ik begrepen...
Het virus stopt wel, na de eerste reboot die plaatsvind na 12 februari. (tenminste, de A versie. van Mydoom.b weet ik het niet)
edit:
[quote]
There is a 25% chance that the worm will perform a Denial of Service (DoS) on February 1, 2004 starting at 16:09:18 UTC, which is also the same as 08:09:18 PST, based on the machine's local system date/time. If the worm does start the DoS attack, it will not mass-mail itself. It also has a trigger date to stop spreading/DoS-attacking on February 12, 2004. While the worm will stop on February 12, 2004, the backdoor component will continue to function after this date.
[/quote]
Nu, ik laat m'n machine dan nog maar eventjes aanstaan. Heb speciaal voor dit virus een dedicated server ingericht }>
Ja okee, het stopt dan wel maar een backdoor op je systeem is minstens even erg... Ik zou mijn belangrijke en vertrouwelijke data niet door een backdoor op straat willen gooien hoor...
wat ik gek vind is dat er altijd een viruscanner update komt naar dat er een nieuw virus is die de helewereld tijstert

ik snap wel dat het een beetje lastig gaat omdat er elkekeer een virus is die dit kan om zeilen maar is het geen tip voor avast,norton enz om een scanner te maken die alle toekomstige virussen en virussen van nu tegen kan houden.

dit zou een hoop shit kunnen verhelpen
om een scanner te maken die alle toekomstige virussen en virussen van nu tegen kan houden.
Heb jij een tijdmachine ofzo? Je weet van te voren toch niet hoe het er in de toekomst precies aan toe gaat. Overigens hebben de meeste (of misschien ook wel alle) virusscanners de optie 'heuristic scanning'. Daar schiet je ook al een aardig eind mee op.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True