Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 42 reacties
Bron: WebWereld, submitter: erkje

Wie dacht dat de virtuele epidemie van het Netsky-virus na de hoogtepunten in februari en maart zowat uitgedoofd is, zal zijn mening waarschijnlijk moeten bijstellen: er zijn inmiddels zo veel varianten van het virus opgedoken dat ons 26 letters tellend alfabet niet meer volstaat om deze varianten een naam te geven. Het is een ongeschreven regel in de wereld der virusbestrijders dat varianten van digitaal ongedierte een naam van de vorm Virus.x meekrijgen, waarbij 'Virus' uiteraard de naam van het virus voorstelt en 'x' een letter. Om toch een naam te kunnen geven aan de onlangs opgedoken 27ste en 28ste variant van het virus heeft men twee letters aan de naam toegevoegd, zodat deze nu respectievelijk de namen Netsky.AA en Netsky.AB hebben. Deze naamgeving is goed voor in totaal 676 varianten, dus er is nog ruimte .

Virus cartoon / illustratie
Moderatie-faq Wijzig weergave

Reacties (42)

De vendors zijn het dus _niet_ eens over hoe varianten aan te duiden.
Dr. Web - niet echt heel bekend hier, maar toch echt geen kleine/slechte - bijvoorbeeld duidt varianten aan met cijfers en niet met letters.

En ook dat nog niet zo heel 'handig'.
Eerste NetSky variant die ik tegenkwam op de site:
Win32.HLLM.Netsky.28672

Nadat .ZZ is bereikt, gaan we verder bij .AAA etc etc
Dus het kan zo eeuwig doorgaan.

Je ziet 3 letterige 'families' o.a. bij McAfee, die niet zo vaak specifieke namen aan backdoors geven maar gewoon de naam Backdoor-AMQ er aan geven.

De grootste ITW familie is momenteel Agobot, en het lijkt niet echt erop alsof dat gaat veranderen.
Backdoor.Agobot.rr is momenteel de nieuwste.
(Statistic van Kaspersky)

Heuristics detectie is leuk en aardig, maar exacte detectie is toch wel handig qua infecties enzo.
Daarnaast zit je nog met crypters e.d. die een fatsoenlijke signature nodig maken.
Heuristics detectie is leuk en aardig, maar exacte detectie is toch wel handig qua infecties enzo.
Heuristic is toch exacte detectie? Dmv scanning word een patroon herkend die uniek is aan een virus. Die overigens ook een algemeen kenmerk hebben. De virusscanners die daarop anticiperen zijn een stuk minder.
Heuristics zijn juist helemaal geen exacte detectie.
Exacte detectie = signature voor een bepaalde sample.
Bijvoorbeeld I-Worm.NetSky.q

Heuristics zijn juist om onbekende zut te detecteren, dus dat kan per definitie al niet exact zijn.
Heuristics werken ook niet met signatures.
Heuristics zoeken naar verdachte code in programma's, die (over het algemeen) door virussen gebruikt worden.

In the good-old-days waarbij .exe bestanden infected waren, was zoiets bijvoorbeeld:

Jump naar einde bestand, voer daar (virus)code uit, jump terug naar bijna begin bestand, start normale code.

Of gewone programma's die direct-disk-access doen. (Is normaal gesproken voorbehouden aan commando's als "sys.com", "format.exe" enzo.

De basis manier van heuristics is gelijk gebleven, al zullen er inmiddels wel andere dingen "verdacht" zijn.

En om niet al te veel false-positives te geven, werken ze ook nog met "voor elk verdacht stukje code geef ik een cijfer. Komt de som van die cijfers boven een bepaalde waarde, is het een virus, en ga ik gillen".

(Dit alles tenzij voor een bestand bekend is dat het een "goedaardig" programma is.)
Op tien dagen tijd heeft m'n antivirus tien verschillende types virussen gedetecteerd. Twee daarvan waren Netsky.

Het zou ook interessant zijn eens een site te vinden waar men degelijke uitleg heeft over de afkortingen...
* Veegt zweet van voorhoofd. Gelukkig maar :+

Kunnen we varianten niet groeperen? Veel virusscanners die heuristisch scannen herkennen A ook als B enz...
Op basis waarvan wordt gesteld dat een virus een nieuwe vorm is van een bestaand virus en wanneer het uniek is?
Treurig om te zien dat de oorlog tussen virusmakers over de ruggen van 'ons' gebruikers van internet en mail gaat...!
Misschien is het geen oorlog, maar gewoon concurrentie.
In de C'T van deze maand staat een mooi verslag van een organisatie die computervirussen schrijft om informatie te verzamelen bij de slachtoffers. Bovendien wordt een backdoor geinstalleerd. De gevonden informatie wordt verkocht aan spammers. Tel uit je winst......
Treurig om te zien dat de oorlog tussen virusmakers over de ruggen van 'ons' gebruikers van internet en mail gaat...!
Tsja, als je computer nou gewoon veilig, gepatched en uptodate was... :?. Je voordeur wijd open zetten is toch vragen om inbrekers? Of niet dan?
Mensen die niet geinfecteerd zijn worden wel het slachtoffer van een verstopte mailbox
@ beelzebubu
het is gewoonweg _ONMOGELIJK_ om een os 100% dicht te maken de kans dat er een fout in de miljoenen regels sluipt is gewoonweg zo enorm groot

vergelijk het met een brief schrijven met miljoenen regels de kans dat er minstens 1 spellingsfout inzit is dan ws al wel ongeveer 100%
Tsja, als je computer nou gewoon veilig, gepatched en uptodate was... . Je voordeur wijd open zetten is toch vragen om inbrekers? Of niet dan?
Tja... Screenshotje van 1 van m'n mailboxes vorige week.
Van de 50 nieuwe berichten waren er 2 NIET Netsky(-related), en dan wordt zo'n email adres doodgewoon onbruikbaar. Die heb ik vorige week dan ook maar opgeheven, en vervangen door een nieuw adres (met alle ellende van dien, contacts op de hoogte brengen, etc.).

De machine waarop ik die mailbox ophaalde heeft nog NOOIT een virus gehad, en is zo veilig, gepatched en uptodate als mogelijk.

Oftewel, die Netsky ellende gaat wel degelijk over de ruggen van internet gebruikers, zelfs als die gebruikers alle mogelijke maatregelen hebben genomen.
Als een OS nu eens verkocht zou worden zonder openstaande deuren. Je koop toch ook geen huis waar de deuren niet kan sluiten zonder ze te "patchen"
Niet waar, vroeger was een simpel baardsleutltje genoeg, tegenwoordig gebruik je dat alleen nog maar voor de slaapkamer of de meterkast. In de loop van de tijd zijn de cylindersloten gekomen en deze worden nog steeds door ontwikkeld.

Maar niet alleen de sloten, ook dievenklauwen, anti-inbraak strips, veiligheids beslag, alarmsystemen etc. Dat is er allemaal bijgekomen, alleen (nog) niet met de snelheid als patches voor een computer, maar ja een computer bevat dan ook wel iets meer dan 3 "deuren". Bij alarmsysteemen kkan ik me echter wel patches en updates en upgrades voorstellen dus zover is de beveiliging van een huis niet veel anders dan die van een PC. Je moet altijd zelf zorgen dat het in orde is, anders betaald de verzekering tenslotte ook niet uit.

Zo heb ik het huis wat ik pas gekocht heb volledig voorzien van nieuw sluitwerk en extra beveiliging. Dus patchen moet je op een bepaald moment toch (zeker als je de enige bent in de straat zonder veiligheids beslag e.d.).
In hetzelfde artikel staat nog iets veel bedenkelijkers.
ANTI-virus bouwers die met concrete daderinfo liever geen aangifte doen maar ipv daarvan hun kennis gebruiken om meer pakketjes te slijten.

Anders neem je toch meteen een scriptkiddie in dienst |:( |:( |:(

In dezelfde lijn kan het interessant zijn elke kleine wijziging tot een nieuwe versie te bombarderen, om je eigen bestaansrecht nogmaals te onderstrepen. :'(

edit: typo
zolang windows niet dichtgespijkerd is, blijft dit ronddwalen....

de prijs die je betaalt voor een OS die beginnersvriendelijk is..
Ja, inderdaad in Windows inderdaad het meest in het virus-vuur liggende OS wat er is. Maar het is ook het meest gebruikte OS wat er is.

Ook ik ben zeker geen voorstander van Microsoft, maar geloof me dat een OS als UNIX en/of LINIUX zeker niet net zo ontvankelijk is voor virussen als Microsoft.
LINUX is wellicht sneller met het dichten van gaten omdat er geen commercieel belang is bij erkenning van het probleem maar het is echt niet zo dat beginnersvriendelijk gelijk gesteld kan worden aan extra ontvankelijkheid voor virussen.

Treurig dat er zoveel varianten kunnen onstaan van dit virus. Wanneer is er sprake van een variant en wanneer van een nieuw uniek virus?
ik was niet wakker genoeg, nu overbodig :)
Ja maar je hebt ook nog de 1 letterige nog he :+
* 786562 T.T.
Volgens mij komen er 676 mogelijkheden bij, 26*26.
AA t/m AZ (26)
BA t/m BZ (26)
.....
YA t/m YZ (26)
ZA t/m ZZ (26)

BA en AB zijn NIET gelijk aan elkaar, en A NIET gelijk aan AA. Dus waarom zouden er 26 mogelijkheden afvallen?
bijna, A tot en met Z blijven meedoen dus is het weer plus 26 en dus 676 mogelijkheden. :)

Zal je net zien dat ik niet de enige ben die er zo over denkt :Y)
Ik reageer toch maar omdat je daar staat met inzichtvol +3 en een foute redenering.

Aan de hand van een klein voorbeeldje: alfabet van a tot b

netsky.a en netsky.b (alle letters opgebruikt: 2 mogelijkheden) = n = 2

komt er bij .aa .ab .ba .bb (n x n mogelijkheden) = n

totaal aantal mogelijkheden is dus n+n -> met n = 2 geeft dat 2+4= 6

voor het door ons gebruikte alfabet komen we dus met n=26 op 26 + 26 = 702 mogelijkheden in totaal.
Sorry, maar dat zie je verkeerd. Voor die eerste letter kunnen 26 letters gebruikt worden. Voor die tweede kunnen er opnieuw 26 gebruikt worden. Totaal zijn er dan 26 * 26 = 676 nieuwe namen mogelijk.

Het is zeker waar dat AA hetzelfde is als AA, maar hoe dat wat uitmaakt ontgaat me...
maar jij vergeet hier dat 1 letter ook kan, ik denk dat jokerman (post boven je) gelijk heeft
26*26-26 == 26*25
grappig, had vandaag nog tegen een collega gezegd dat netsky misschien eindelijk "uitontwikkeld" was nadat er eentje met de .x een mailbox was binnengekomen... niet dus..
Het gekke is dat ik maar een paar varianten heb gezien in mijn mail: Het leeuwendeel bestond uit B, D en P.
Ik dacht dat de onderlinge strijd van die virusmakers eindelijk ophield :?

Stelletje kinderen :(
Ik dacht dat de onderlinge strijd van die virusmakers eindelijk ophield
Dat werd idd door de schrijver van Netsky aangekondigd (ergens bij de .M-variant of daaromtrent), maar daarna heeft hij het zaakje open source gemaakt.

Iedereen die die source dus op de een of andere manier te pakken gekregen heeft kan dus een nieuwe variant schrijven.
stomme scriptkiddies :(
Ik vind het woord Netsky verdacht veel lijken op Skynet uit Terminator 3 film.

Zouden deze wat met elkaar te maken hebben? Misschien hebben de makers van Netsky wel het idee hier uit gehaald.

Of misschien is het wel Skynet :+
zo lang bij het openen van mijn mail niet op de deur geklopt wordt en ik "I need your clothes, your boots and your bike" hoor, vinnik alles best :Y)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True