Aantal Netsky-varianten loopt het alfabet rond

Door Steve Lersberghe, woensdag 28 april 2004 21:44, 42 reacties • Feedback
Bron: WebWereld, submitter: erkje

Wie dacht dat de virtuele epidemie van het Netsky-virus na de hoogtepunten in februari en maart zowat uitgedoofd is, zal zijn mening waarschijnlijk moeten bijstellen: er zijn inmiddels zo veel varianten van het virus opgedoken dat ons 26 letters tellend alfabet niet meer volstaat om deze varianten een naam te geven. Het is een ongeschreven regel in de wereld der virusbestrijders dat varianten van digitaal ongedierte een naam van de vorm Virus.x meekrijgen, waarbij 'Virus' uiteraard de naam van het virus voorstelt en 'x' een letter. Om toch een naam te kunnen geven aan de onlangs opgedoken 27ste en 28ste variant van het virus heeft men twee letters aan de naam toegevoegd, zodat deze nu respectievelijk de namen Netsky.AA en Netsky.AB hebben. Deze naamgeving is goed voor in totaal 676 varianten, dus er is nog ruimte .

Reacties (42)

Schouw
28 april 2004 22:05

De vendors zijn het dus _niet_ eens over hoe varianten aan te duiden.
Dr. Web - niet echt heel bekend hier, maar toch echt geen kleine/slechte - bijvoorbeeld duidt varianten aan met cijfers en niet met letters.

En ook dat nog niet zo heel 'handig'.
Eerste NetSky variant die ik tegenkwam op de site:
Win32.HLLM.Netsky.28672

Nadat .ZZ is bereikt, gaan we verder bij .AAA etc etc
Dus het kan zo eeuwig doorgaan.

Je ziet 3 letterige 'families' o.a. bij McAfee, die niet zo vaak specifieke namen aan backdoors geven maar gewoon de naam Backdoor-AMQ er aan geven.

De grootste ITW familie is momenteel Agobot, en het lijkt niet echt erop alsof dat gaat veranderen.
Backdoor.Agobot.rr is momenteel de nieuwste.
(Statistic van Kaspersky)

Heuristics detectie is leuk en aardig, maar exacte detectie is toch wel handig qua infecties enzo.
Daarnaast zit je nog met crypters e.d. die een fatsoenlijke signature nodig maken.

EnsconcE
@Schouw • 28 april 2004 22:22

Heuristics detectie is leuk en aardig, maar exacte detectie is toch wel handig qua infecties enzo.

Heuristic is toch exacte detectie? Dmv scanning word een patroon herkend die uniek is aan een virus. Die overigens ook een algemeen kenmerk hebben. De virusscanners die daarop anticiperen zijn een stuk minder.

Schouw
@EnsconcE • 28 april 2004 22:28

Heuristics zijn juist helemaal geen exacte detectie.
Exacte detectie = signature voor een bepaalde sample.
Bijvoorbeeld I-Worm.NetSky.q

Heuristics zijn juist om onbekende zut te detecteren, dus dat kan per definitie al niet exact zijn.
Heuristics werken ook niet met signatures.

jp
@EnsconcE • 29 april 2004 00:41

Heuristics zoeken naar verdachte code in programma's, die (over het algemeen) door virussen gebruikt worden.

In the good-old-days waarbij .exe bestanden infected waren, was zoiets bijvoorbeeld:

Jump naar einde bestand, voer daar (virus)code uit, jump terug naar bijna begin bestand, start normale code.

Of gewone programma's die direct-disk-access doen. (Is normaal gesproken voorbehouden aan commando's als "sys.com", "format.exe" enzo.

De basis manier van heuristics is gelijk gebleven, al zullen er inmiddels wel andere dingen "verdacht" zijn.

En om niet al te veel false-positives te geven, werken ze ook nog met "voor elk verdacht stukje code geef ik een cijfer. Komt de som van die cijfers boven een bepaalde waarde, is het een virus, en ga ik gillen".

(Dit alles tenzij voor een bestand bekend is dat het een "goedaardig" programma is.)

SupahDidai
29 april 2004 01:46

Op tien dagen tijd heeft m'n antivirus tien verschillende types virussen gedetecteerd. Twee daarvan waren Netsky.

Het zou ook interessant zijn eens een site te vinden waar men degelijke uitleg heeft over de afkortingen...

CmdrKeen
28 april 2004 21:53

* Veegt zweet van voorhoofd. Gelukkig maar

Kunnen we varianten niet groeperen? Veel virusscanners die heuristisch scannen herkennen A ook als B enz...

vincento
@CmdrKeen • 28 april 2004 22:04

Op basis waarvan wordt gesteld dat een virus een nieuwe vorm is van een bestaand virus en wanneer het uniek is?
Treurig om te zien dat de oorlog tussen virusmakers over de ruggen van 'ons' gebruikers van internet en mail gaat...!

+2 thanx
@vincento • 28 april 2004 22:21

Misschien is het geen oorlog, maar gewoon concurrentie.
In de C'T van deze maand staat een mooi verslag van een organisatie die computervirussen schrijft om informatie te verzamelen bij de slachtoffers. Bovendien wordt een backdoor geinstalleerd. De gevonden informatie wordt verkocht aan spammers. Tel uit je winst......

Beelzebubu
@vincento • 29 april 2004 00:03

Treurig om te zien dat de oorlog tussen virusmakers over de ruggen van 'ons' gebruikers van internet en mail gaat...!

Tsja, als je computer nou gewoon veilig, gepatched en uptodate was...

. Je voordeur wijd open zetten is toch vragen om inbrekers? Of niet dan?

+1 alibombalie
@Beelzebubu • 29 april 2004 11:30

Mensen die niet geinfecteerd zijn worden wel het slachtoffer van een verstopte mailbox

+1 terror538973
@Beelzebubu • 29 april 2004 15:25

@ beelzebubu
het is gewoonweg _ONMOGELIJK_ om een os 100% dicht te maken de kans dat er een fout in de miljoenen regels sluipt is gewoonweg zo enorm groot

vergelijk het met een brief schrijven met miljoenen regels de kans dat er minstens 1 spellingsfout inzit is dan ws al wel ongeveer 100%

+1 Afterlife
@Beelzebubu • 30 april 2004 12:35

Tsja, als je computer nou gewoon veilig, gepatched en uptodate was... . Je voordeur wijd open zetten is toch vragen om inbrekers? Of niet dan?

Tja... Screenshotje van 1 van m'n mailboxes vorige week.
Van de 50 nieuwe berichten waren er 2 NIET Netsky(-related), en dan wordt zo'n email adres doodgewoon onbruikbaar. Die heb ik vorige week dan ook maar opgeheven, en vervangen door een nieuw adres (met alle ellende van dien, contacts op de hoogte brengen, etc.).

De machine waarop ik die mailbox ophaalde heeft nog NOOIT een virus gehad, en is zo veilig, gepatched en uptodate als mogelijk.

Oftewel, die Netsky ellende gaat wel degelijk over de ruggen van internet gebruikers, zelfs als die gebruikers alle mogelijke maatregelen hebben genomen.

Truster
@Beelzebubu • 29 april 2004 11:32

Als een OS nu eens verkocht zou worden zonder openstaande deuren. Je koop toch ook geen huis waar de deuren niet kan sluiten zonder ze te "patchen"

0 mjl
@Beelzebubu • 29 april 2004 14:41

Niet waar, vroeger was een simpel baardsleutltje genoeg, tegenwoordig gebruik je dat alleen nog maar voor de slaapkamer of de meterkast. In de loop van de tijd zijn de cylindersloten gekomen en deze worden nog steeds door ontwikkeld.

Maar niet alleen de sloten, ook dievenklauwen, anti-inbraak strips, veiligheids beslag, alarmsystemen etc. Dat is er allemaal bijgekomen, alleen (nog) niet met de snelheid als patches voor een computer, maar ja een computer bevat dan ook wel iets meer dan 3 "deuren". Bij alarmsysteemen kkan ik me echter wel patches en updates en upgrades voorstellen dus zover is de beveiliging van een huis niet veel anders dan die van een PC. Je moet altijd zelf zorgen dat het in orde is, anders betaald de verzekering tenslotte ook niet uit.

Zo heb ik het huis wat ik pas gekocht heb volledig voorzien van nieuw sluitwerk en extra beveiliging. Dus patchen moet je op een bepaald moment toch (zeker als je de enige bent in de straat zonder veiligheids beslag e.d.).

+1 BooZeMaN
@vincento • 29 april 2004 12:39

In hetzelfde artikel staat nog iets veel bedenkelijkers.
ANTI-virus bouwers die met concrete daderinfo liever geen aangifte doen maar ipv daarvan hun kennis gebruiken om meer pakketjes te slijten.

Anders neem je toch meteen een scriptkiddie in dienst

In dezelfde lijn kan het interessant zijn elke kleine wijziging tot een nieuwe versie te bombarderen, om je eigen bestaansrecht nogmaals te onderstrepen.

edit: typo

+1 imapbox
28 april 2004 21:49

zolang windows niet dichtgespijkerd is, blijft dit ronddwalen....

de prijs die je betaalt voor een OS die beginnersvriendelijk is..

vincento
@imapbox • 28 april 2004 22:00

Ja, inderdaad in Windows inderdaad het meest in het virus-vuur liggende OS wat er is. Maar het is ook het meest gebruikte OS wat er is.

Ook ik ben zeker geen voorstander van Microsoft, maar geloof me dat een OS als UNIX en/of LINIUX zeker niet net zo ontvankelijk is voor virussen als Microsoft.
LINUX is wellicht sneller met het dichten van gaten omdat er geen commercieel belang is bij erkenning van het probleem maar het is echt niet zo dat beginnersvriendelijk gelijk gesteld kan worden aan extra ontvankelijkheid voor virussen.

Treurig dat er zoveel varianten kunnen onstaan van dit virus. Wanneer is er sprake van een variant en wanneer van een nieuw uniek virus?

T.T.
28 april 2004 21:46

ik was niet wakker genoeg, nu overbodig

DaWaN
@T.T. • 28 april 2004 21:47

Ja maar je hebt ook nog de 1 letterige nog he

T.T.
@DaWaN • 28 april 2004 21:48

* 786562 T.T.

EdwinG

@T.T. • 28 april 2004 22:12

Volgens mij komen er 676 mogelijkheden bij, 26*26.
AA t/m AZ (26)
BA t/m BZ (26)
.....
YA t/m YZ (26)
ZA t/m ZZ (26)

BA en AB zijn NIET gelijk aan elkaar, en A NIET gelijk aan AA. Dus waarom zouden er 26 mogelijkheden afvallen?

+1 Xellence
@T.T. • 28 april 2004 21:48

bijna, A tot en met Z blijven meedoen dus is het weer plus 26 en dus 676 mogelijkheden.

Zal je net zien dat ik niet de enige ben die er zo over denkt

StGermain
@Xellence • 29 april 2004 13:43

Ik reageer toch maar omdat je daar staat met inzichtvol +3 en een foute redenering.

Aan de hand van een klein voorbeeldje: alfabet van a tot b

netsky.a en netsky.b (alle letters opgebruikt: 2 mogelijkheden) = n = 2

komt er bij .aa .ab .ba .bb (n x n mogelijkheden) = n²

totaal aantal mogelijkheden is dus n+n² -> met n = 2 geeft dat 2+4= 6

voor het door ons gebruikte alfabet komen we dus met n=26 op 26 + 26² = 702 mogelijkheden in totaal.

0 hansg
@T.T. • 28 april 2004 22:14

Sorry, maar dat zie je verkeerd. Voor die eerste letter kunnen 26 letters gebruikt worden. Voor die tweede kunnen er opnieuw 26 gebruikt worden. Totaal zijn er dan 26 * 26 = 676 nieuwe namen mogelijk.

Het is zeker waar dat AA hetzelfde is als AA, maar hoe dat wat uitmaakt ontgaat me...

pstalman
@hansg • 29 april 2004 17:17

maar jij vergeet hier dat 1 letter ook kan, ik denk dat jokerman (post boven je) gelijk heeft

0 boner
@T.T. • 28 april 2004 21:48

26*26-26 == 26*25

nAFutro
28 april 2004 21:46

grappig, had vandaag nog tegen een collega gezegd dat netsky misschien eindelijk "uitontwikkeld" was nadat er eentje met de .x een mailbox was binnengekomen... niet dus..

Opa
29 april 2004 11:07

Het gekke is dat ik maar een paar varianten heb gezien in mijn mail: Het leeuwendeel bestond uit B, D en P.

Yucko
29 april 2004 06:55

Ik dacht dat de onderlinge strijd van die virusmakers eindelijk ophield

Stelletje kinderen

wildhagen

@Yucko • 29 april 2004 08:08

Ik dacht dat de onderlinge strijd van die virusmakers eindelijk ophield

Dat werd idd door de schrijver van Netsky aangekondigd (ergens bij de .M-variant of daaromtrent), maar daarna heeft hij het zaakje open source gemaakt.

Iedereen die die source dus op de een of andere manier te pakken gekregen heeft kan dus een nieuwe variant schrijven.

0 Kwai_gon_jinn
@Yucko • 29 april 2004 10:54

stomme scriptkiddies

0 Amano
29 april 2004 12:11

Ik vind het woord Netsky verdacht veel lijken op Skynet uit Terminator 3 film.

Zouden deze wat met elkaar te maken hebben? Misschien hebben de makers van Netsky wel het idee hier uit gehaald.

Of misschien is het wel Skynet

0siris
@Amano • 30 april 2004 12:40

zo lang bij het openen van mijn mail niet op de deur geklopt wordt en ik "I need your clothes, your boots and your bike" hoor, vinnik alles best

RSpliet
28 april 2004 21:58

/spuit 11

1 2 Volgende

Op dit item kan niet meer gereageerd worden.

Cookies op Tweakers

Aantal Netsky-varianten loopt het alfabet rond

Lees meer over

Gerelateerde content

Sorteer op:

Weergave:

Reacties (42)