SCO gebruikt nieuwe url als antwoord op MyDoom

Www.thescogroup.com is de nieuwe tijdelijke URL die SCO in het leven heeft geroepen als reactie op de massale Distributed Denial of Service (DDoS) aanval die het Unix-bedrijf als gevolg van het MyDoom.A virus momenteel treft, zo is te lezen op ZDNet UK. Hiermee stelt het bedrijf internetters in staat hun site te bereiken ondanks dat hun reguliere URL, www.sco.com onbereikbaar is. Sinds gisteren de aanval van MyDoom op sco.com is gestart is de site van SCO volledig onbereikbaar.

Sco siteSecurity experts zijn onaangenaam verrast door de enorme impact die de aanval van MyDoom heeft veroorzaakt. Volgens de directeur van Trend Micro is dit een nieuwe vorm van elektronische oorlogsvoering waar echter geen sprake is van terrorisme, maar alleen van iemand die waarschijnlijk boos is over de acties van SCO het afgelopen jaar. Vanaf morgen zal Microsoft ook aangevallen worden door MyDoom. De verwachting is echter dat Microsoft.com deze aanval zal kunnen weerstaan omdat dit een van de meest stabiele sites op het internet is en de MyDoom.B-variant veel minder is verspreid dan MyDoom.A.

Door Martin Sturm

Nieuwsposter

Feedback • 02-02-2004 17:11 72

02-02-2004 • 17:11

72

Bron: ZDNet UK

Lees meer

DNS-schild moet domeinen beschermen tegen DDoS-aanval
DNS-schild moet domeinen beschermen tegen DDoS-aanval Nieuws van 18 oktober 2005
Netsky goed voor bijna 60% van alle virusmeldingen in maart
Netsky goed voor bijna 60% van alle virusmeldingen in maart Nieuws van 1 april 2004
MyDoom.F houdt RIAA-site offline
MyDoom.F houdt RIAA-site offline Nieuws van 23 maart 2004
SCO verkoopt licentie voor 20.000 Linux-systemen
SCO verkoopt licentie voor 20.000 Linux-systemen Nieuws van 1 maart 2004
Netsky-varianten B en C bezig aan opmars
Netsky-varianten B en C bezig aan opmars Nieuws van 26 februari 2004
Nieuwe MyDoom-variant verwijdert bestanden
Nieuwe MyDoom-variant verwijdert bestanden Nieuws van 26 februari 2004
Levendige handel in e-mailadressen in Nederland
Levendige handel in e-mailadressen in Nederland Nieuws van 23 februari 2004
IP-adressen aan spammers verkocht door virusmakers
IP-adressen aan spammers verkocht door virusmakers Nieuws van 22 februari 2004
OSDL neemt positie in zaak SCO
OSDL neemt positie in zaak SCO Nieuws van 11 februari 2004
Weinig problemen in Nederland door gevreesde MyDoom
Weinig problemen in Nederland door gevreesde MyDoom Nieuws van 8 februari 2004
Microsoft doorstaat MyDoom tot nu toe goed
Microsoft doorstaat MyDoom tot nu toe goed Nieuws van 3 februari 2004
MyDoom heeft DDoS-aanval op sco.com ingezet
MyDoom heeft DDoS-aanval op sco.com ingezet Nieuws van 1 februari 2004
Gemuteerde MyDoom richt zich op Microsoft en AV-sites
Gemuteerde MyDoom richt zich op Microsoft en AV-sites Nieuws van 30 januari 2004
VS lanceert nu ook waarschuwingsdienst voor virussen
VS lanceert nu ook waarschuwingsdienst voor virussen Nieuws van 29 januari 2004
MyDoom-virus snelst verspreidende e-mailplaag tot nu toe
MyDoom-virus snelst verspreidende e-mailplaag tot nu toe Nieuws van 28 januari 2004
Meer producten en artikelen
Bedrijfsnieuws

Reacties (72)

-Moderatie-faq
72
71
46
16
3
4
Wijzig sortering
boeie220 2 februari 2004 17:34
<conspiracy mode>Komt SCO wel weer heel goed uit deze ddos, lekker veel media aandacht dus een stijgend aandeel.....</conspiracy mode>
neographikal 2 februari 2004 17:14
sco.com , zonder de www. werkt gewoon. Dit stond er een aantal dagen geleden ook al op.

Waar ik benieuwd naar ben is hoeveel mbit / gbit op sco.com is afgevuurd. Gezien de omvang van het virus kan dit wel eens héél véél zijn, een aantal gigabit/s zou me niet verbazen.
arjenk|IA @neographikal2 februari 2004 18:18
Dat is niet bekend, want SCO heeft de site vrij snel uit de DNS gehaald. Veel informatiever dan ZDNet:

http://news.netcraft.com/

Ik vraag me af of ZDNet zich niet teveel door de FUD van SCO laat leiden, onderbouwing van de 'vreselijke aanval' kan ik nergens vinden, terwijl Netcraft rapporteert dat de rest van het Internet er absoluut niet onder te lijden heeft.
PowerFlower @arjenk|IA3 februari 2004 11:26
Als je naar die stats van Netcraft kijkt, valt het jullie dan ook op dat sco.com en <a href="http://www.scogroup.com" target="_blank">www.scogroup.com</a> op Linux draaien?! Alleen bij www2.sco.com staat een vermelding van SCO UNIX 8-)

* 786562 PowerFlower
Wat me verder nogal opviel, is dat ze op hun voorpagina een berichtje hebben dat MS de update voor IE heeft uitgebracht om URL spoofing tegen te gaan. Die patch zorgt ervoor dat URLs met een @ niet meer toegestaan zijn. En op welke pagina hebben ze vervolgens de stats van de MyDoom attack neergezet? Juist ja, op http://uptime.netcraft.com/perf/reports/sco-alert@netcraft.com :Z
PowerFlower @neographikal2 februari 2004 17:26
www.sco.com is uit de DNS gehaald dus daar zullen geen stats meer van te vinden zijn, de lookup faalt al en het levert dus als het goed is geen enkele traffic op naast die lookups.

Best jammer dat ze geen verwijzing naar 127.0.0.1 ingevoerd hebben, was een aardige manier geweest om besmette computers alleen nog zichzelf gek te laten maken :P
musiman @PowerFlower2 februari 2004 20:16
Best jammer dat ze geen verwijzing naar 127.0.0.1 ingevoerd hebben, was een aardige manier geweest om besmette computers alleen nog zichzelf gek te laten maken
Dit was een leuk idee geweest, ware er geen IP spoofing geweest.

Wanneer je een DoS attack verstuurt, zorg je ervoor dat als source ip address in ieder pakket steeds een fake ip nummer staat. Anders krijg je zelf ook een zooi replies terug.
Verwijderd @musiman3 februari 2004 08:07
Dit heeft toch niets met IP spoofing te maken? Als je het domein www.sco.com dmv de DNS laat verwijzen naar 127.0.0.1 zal het virus packets versturen naar de host waarop hij actief is. Of het source Ip nu gespoofed is of niet, dat maakt niet uit.
leuk_he @musiman3 februari 2004 08:19
Best jammer dat ze geen verwijzing naar 127.0.0.1 ingevoerd hebben, was een aardige manier geweest om besmette computers alleen nog zichzelf gek te laten maken
Dit was een leuk idee geweest, ware er geen IP spoofing geweest.

Wanneer je een DoS attack verstuurt, zorg je ervoor dat als source ip address in ieder pakket steeds een fake ip nummer staat. Anders krijg je zelf ook een zooi replies terug.

Sorry, het is niet een geavanceerde Dos aanval, maar een simpele grootschalige DDOS (distributed...) aanval.

In plaats van vervelende pakketjes sturen sturen ze er gewoon heel veel. En omdat dat over heel veel PC's gaat is er gewoon niet tegen te beginnen. Niks geen ip spoofing nodig. (dat werkt ook vaak niet aangezien ze bij de ISP horen te worden weggefilterd.).

Dat staat ook niet in de omschrijving van het virus:
http://vil.nai.com/vil/content/v_100983.htm
Paul @musiman3 februari 2004 11:20
Sorry, het is niet een geavanceerde Dos aanval, maar een simpele grootschalige DDOS (distributed...) aanval.

In plaats van vervelende pakketjes sturen sturen ze er gewoon heel veel. En omdat dat over heel veel PC's gaat is er gewoon niet tegen te beginnen.
Ja, en waar sturen ze die dan heen, als het dns-record naar 127.0.0.1 verwijst? Juist ja, naar zichzelf...
Daarmee hebben ze dus alleen de geinfecteerde pc's, en zo komen de pakketjes dus nooit op het internet terecht, behalve dan de dns-lookups.

Aangezien de dns-lookup faalt weten al die geinfecteerde mensen nog niet dat er iets mis is. Als al die pc's zichzelf gingen DOSsen, dan merkte de geinfecteerde er tenminste nog wat van en namen ze (hopelijk permanente) maatregelen :)
n4m3l355
@neographikal2 februari 2004 19:45
men schat dat er +- 1 miljoen besmette computers zijn die iedere seconde 8 packages sturen
1x10^6 x 32 / 1024^2 = +- 30 gB dus die blijft nog wel even plat
verder M$ als volgende slachtoffer.. ik betwijfel of ze het overleven :P

wat ik niet snap is dat mydoom.a een backdoor heeft.. wat belet de programmeur om de packages te directen naar een ander address? kwestie van andere command op te geven & go ahead :)
PowerFlower @n4m3l3553 februari 2004 11:20
Om die backdoor te kunnen gebruiken om de instellingen te veranderen moet hij wel alle geinfecteerde PC's terugvinden, en ik denk dat dat hem alleen met een mydoom.c zou lukken ;)
Verwijderd 2 februari 2004 17:16
En nu is het een kwestie van tijd voor MyDoom.C eraankomt en zijn pijlen richt op www.thescogroup.com
reinhrst @Verwijderd2 februari 2004 18:51
[evil me]Ik stel voor dat we alvast een hoop domeinnamen kapen met sco erin en dan aan sco verkopen zodra mydoom.c uitkomt[/evil me]

Ik vraag me overigens serieus af hoeveel mensen het virus expres hebben opgelopen of niet verwijderd hebben. SCO heeft een hoop kwaad bloed gezet bij een hoop mensen!
Verwijderd @reinhrst2 februari 2004 19:14
SCO heeft een hoop kwaad bloed gezet bij een hoop mensen!
Ja, maar dat zijn voornamelijk linux gebruikers. En die hebben geen last van Windows virusjes...
Splorky @Verwijderd2 februari 2004 19:47
als je zo'n virus maakt, moet je het ook goed doen, eentje die automstisch een lijst met url's bijwerkt en doorstuurd en natuurlijk ook een planning download voor de volgende aanval
SWINX @Splorky2 februari 2004 20:51
Het virus is ook redelijk goed, als de aanval stopt (op 12 februari geloof ik) dan blijft de backdoor gewoon bestaan en kunnen 1 miljoen PC's gewoon nog eens gebruikt worden :)
madhapee @Verwijderd3 februari 2004 15:40
het is wel even leuk SCO uit de lucht, maar het doet de linux zaak echt geen goed.

het geschil dat SCO heeft met linux moet in de rechtbank worden uitgevochten en niet via virussen.
dasiro @Verwijderd2 februari 2004 17:21
maar nee, gewoon op dezelfde manier MyDoom.A patchen naar een andere website
sid3windr @dasiro2 februari 2004 17:48
dat is wat er staat, voor als je het niet doorhad :+
Standeman @Verwijderd3 februari 2004 08:33
Ik moet eerlijk zeggen dat de schrijver van myDoom.c wel een beetje een prutser is. Als je een beetje verstand heb van netwerken zorg je ervoor dat de hele IP-range van SCO niet meer bereikbaar is en niet alleen het www adres?!? Neem aan dat een IP-range van een bedrijf moeilijker te switchen zijn dan DNS naampjes.
C7RL 2 februari 2004 17:20
Ze hebben het wel quik en dirty gedaan, het linkje op de theSCOworkgroup pagina by DOWNLOAD etc verwijst nog naar [url="http://www.sco.com."]www.sco.com.[/url] Overigens de hele onderstaande balk op die site. Wat minder netjes dan.
oscar @C7RL2 februari 2004 18:26
Je hebt helemaal gelijk, de images en javascripts onderaan en op achterliggende pagina's verwijzen ook nog naar [url="http://www.sco.com,"]www.sco.com,[/url] dus zo schiet het niet echt op... getuigt naar mijn mening van weinig creativiteit van een firma als SCO
F_J_K Forummoderator 2 februari 2004 17:21
Geen onverwachte actie. Maar aangezien google (nog) naar sco.com verwijst niet heel erg effectief voor mensen die op zoek zijn naar info op de site; thescogroup.com type je niet zomaar in als je sco wilt hebben.

Verder heb ik nu niet het gevoel dat hun CMS zo goed is; vele links op thescogroup.com gaan nog naar sco.com of een van de sites daaronder; inclusief de search knop onderaan...

edit:
Hmm, zoals C7RL hierboven net een minuutje eerder al zegt :>
fsfikke @F_J_K2 februari 2004 17:54
vele links op thescogroup.com gaan nog naar sco.com of een van de sites daaronder
Inderdaad, klik maar eens bij www.thescogroup.com op "Home" :Y)
CH4OS 2 februari 2004 17:42
www.sco.com is uit de DNS gehaald dus daar zullen geen stats meer van te vinden zijn, de lookup faalt al en het levert dus als het goed is geen enkele traffic op naast die lookups.
Hoe weet je dat zo zeker? Als je webserver gewoon onbereikbaar is, bijvoorbeeld door een DDoS-attack, dan krijg je ook geen resultaten hoor... |:(
bzerk @CH4OS3 februari 2004 08:01
Omdat de DNS een publieke service is kun je dit gewoon opvragen met commando's als nslookup, dig of host.

> host www.sco.com
www.sco.com does not exist (Authoritative answer)
Icey 2 februari 2004 17:24
Ga eens met je muis over dat tekstje links bij het plaatje met die ibook... 'an altenate website', dan staat er:

'one step ahead of the virus', volgens mij is dit een alternatief die redelijk laat kwam ;)
Verwijderd 2 februari 2004 18:39
Security experts zijn onaangenaam verrast door de enorme impact die de aanval van MyDoom heeft veroorzaakt.
In dat geval mogen ze wat mij betreft de titel 'expert' inleveren, want dan weten ze niet waarover ze praten. MyDoom doet als virus niets nieuws, niets wat niet al eerder geprobeerd is. MS was al eerder slachtoffer van dit type virus. Dat men na drie keer eindelijk een virus zou brengen wat en de juiste hostnaam en het juiste IP gebruikt, mag geen verassing heten. Dat voor zover de 'aanval' die het virus uitvoert, de methode van verspreiding is ook niets nieuws.
maar alleen van iemand die waarschijnlijk boos is over de acties van SCO het afgelopen jaar.
no shit, sherlock :P
cc bcc 2 februari 2004 17:13
Leuk iBookje op de homepage van SCO.. Wie weet zit er in OS X ook wel SCO code. }>
Commander Koen @cc bcc2 februari 2004 18:36
Volgens SCO wel, SCO claimt namenlijk dat ook de BSD's IP van SCO bevat. En laat OS X nou op FreeBSD zijn gebaseerd.
Frietsaus 2 februari 2004 17:25
Als ik naar sco.com ga (zonder www.) dan kom ik op een pr0n site |:(
eamelink @Frietsaus2 februari 2004 17:54
Dan wordt het tijd om je ad- spy- en virusscanners te updaten en te runnen :)
Verwijderd @Frietsaus2 februari 2004 18:52
MyDoom.X variant :o

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq