Bagle is back in business

Bagle - of liever gezegd de auteur hiervan - heeft er na zes maanden nog steeds plezier in. Afgelopen zondag zijn er namelijk weer twee nieuwe varianten verschenen van de e-mailworm en verder ook de source code. Waar de vorige keer binnen enkele maanden meer dan vijfentwintig varianten ten tonele kwamen, kan dat een voorbode zijn van een zomer vol Bagle-varianten. Ook nu laat Bagle geïnfecteerde pc's een trojan downloaden om zo een leger aan zombiepc's te creëren. Deze kunnen bijvoorbeeld gebruikt worden voor een denial-of-service aanval of als verspreider van spam.

Illustratie bij virus/infectie/scans/lekken Doordat de broncode nu ook openbaar is geworden, kunnen programmeurs met kennis van programmeertalen zoals C en Assembler de worm aanpassen, wat binnen korte tijd een uitbraak van Bagle-varianten kan opleveren. Hopelijk kunnen de antivirusbestrijders dankzij de broncode hier tegenmaatregelen voor opstellen, aangezien de auteur enkele programmeeraanwijzingen heeft achtergelaten. Met behulp van bepaalde kenmerken van het programma is de kans ook groter geworden om de schrijver van Bagle op te pakken, dit doordat elke programmeur zijn eigen 'vingerafdrukken' achterlaat. Dit kunnen bijvoorbeeld namen van variabelen zijn of de wijze van programmeren.

De reden waarom de auteur de broncode aan het verspreiden is, zou bijvoorbeeld al te maken kunnen hebben met zijn verdediging en om te ontkomen aan een veroordeling. Door aan te geven dat er meer mensen zijn die ook de originele broncode in bezit hebben is het ook moelijker om de echte dader te achterhalen. Ook kan de grond onder de voeten van de schrijver te heet zijn geworden, nu overheden steeds meer inspanning leveren om spam te voorkomen.

IT-banen

Reacties (49)

Verwijderd 7 juli 2004 01:07

kunnen mensen daarop veroordeeld worden?
Stel je schrijft poederbrieven, en jouw grammatica en of woordkeuze lijkt heel veel op die van een ander...

NBK @Verwijderd • 7 juli 2004 01:12

Ze zouden kunnen kijken welke onderdelen van de source essentieel zijn voor het functioneren van het virus en daarop gaan scannen maar dat zou erg lastig kunnen worden en veel valse meldingen kunnen veroorzaken voor programma's waar een soortgelijk onderdeel inzit. Denk aan de SMTP module.
Als er een aantal lijpo's aan de slag gaan met de source krijg je 100.000'en varianten van dit virus en wordt scannen simpelweg onmogelijk. Zoiets kan een doodsteek betekenen voor het email verkeer in de wereld.
Misschien moeten ze eens gaan zoeken bij medewerkers van de Deutche Post

-edit- Krijg het gevoel dat er iets niet goed ging...

vso @NBK • 7 juli 2004 07:51

IK neem aan dat er wel onderhand wat bescherming is, althans als een zwakke plek wordt aangetoond dan lijkt het me sterk dat je het open laat voor nieuwe aanvallen. Dus die nieuwe varianten zullen ook niet zoveel schade aan kunnnen richten als Bagle versie nummero 1

cavey @vso • 7 juli 2004 08:52

ik zeg een ding... ActiveX schrijf lek in Internet Explorer.. 10 maanden bekend

(jaja, off-topic, maar in dit geval vond ik het wel relevant: groot lek, nog niet dicht... bagle -> "groot" lek (social engineering vooral), nog steeds niet dicht....)

[overbodig, hahaha, en daarom post iedereen nog van die vage dingen dat als er een gat is het wel goed dicht gemaakt wordt... en dat daarom alle nieuwe varianten wel niet zoveel schade kunnen berokkenen...]

delenn @Verwijderd • 7 juli 2004 01:12

Nee, dat alleen is niet voldoende voor een veroordeling, maar wel voldoende om van een onderzoeksrechter meer vrijheid te krijgen in opsoringsmethoden.

Verwijderd 7 juli 2004 01:35

Is dit nou het eerste Open Source virus ?
En waarom post de autheur niet gewoon de sourcecode van het virus op sourceforge bij de rest van de opensource dingetjes

Als dit virus veel (gevaarlijke) varianten krijgt dan is dit wel leuk voor microsoft, dan kunnen ze open source mooi marketen als evil

DieterDHoker @Verwijderd • 7 juli 2004 03:36

nee hoor veel virussen zijn virussen die gebruik maken van scripting-talen en die zijn sowieso opensource

Verwijderd 7 juli 2004 09:16

Hoe je het wend of keert het zijn altijd weer mensen die zo dom zijn om email berichten te openen, plaatjes te accepteren zonder dat ze Norton AV of een andere AV programma hebben draaien en ga zo maar door.

Antivirus cooperaties verdienen gouden bergen door deze 'grotendeels domme en niet bereid te luisteren' massa.

twabi2 @Verwijderd • 7 juli 2004 09:23

wie zegt er dat het niet de AV-bedrijven zijn die viri schrijven? Als de viri wegvallen verdwijnt ook hun broodwinning!

langgelee2002 7 juli 2004 01:06

Dit kunnen bijvoorbeeld variabelen namen de wijze van programmeren

Deze interessante zin (althans in de context van het artikel) begrijp ik niet helemaal.

Dit kunnen bijvoorbeeld variabelen zijn binnen/in de wijze van programeren ?

pietje63 @langgelee2002 • 7 juli 2004 01:09

De schrijver bedoelde hoe jij een variabele noemt. Iedereen geeft deze een eigen naam, net zoals de opbouw van de code.

Ik denk echter niet dat dit een doorslaggevend bewijs kan zijn in een rechtzaak.

R_W @mae-t.net • 7 juli 2004 01:29

Het gaat hier om de source, niet om een gecompileerd programma.

Verwijderd @mae-t.net • 7 juli 2004 11:52

Dubbelpost?

Verwijderd @langgelee2002 • 7 juli 2004 09:31

Een gecompileerd programma bevat geen varaiabele-namen meer. Als je een programma te pakken hebt zal je dus nooit kunnen achterhalen wie het geschreven heeft aan de hand van variabele-namen, functienamen of hoe de code geschreven werd (bv hoe je haakjes en zo gebruikt) als je niet ook over de broncode beschikt.
Mocht dit onjuist zijn zou de baggle-auteur zijn broncode niet te hoeven vrijgegeven hebben vermits dat proggy door iedereen correct gedecompiled kon worden wat dus niet het geval is.

Decompile eens een Flash/actionscript-"programma" (voor zover je dit een proggy ipv script kan noemen) en je zal zien dat de variabele-namen foetsi zijn.

GorgeousMetal

@Verwijderd • 7 juli 2004 10:25

Een debug versie van een programma zal deze variable namen (en functies, etc) zeker *wel* bevatten.

Verwijderd @Verwijderd • 7 juli 2004 10:34

De reden dat de schrijver de broncode heeft vrijgegeven is in dit geval vrij eenvoudig. De enige persoon die namelijk de broncode in zijn bezit heeft moet wel de auteur van het virus zijn, c programma's decompile je immers niet zo eenvoudig naar een mooi opgemaakte broncode. Nu de broncode verspreid is hebben meer mensen deze het (goh

) en is het, wanneer iemand gevonden is die de broncode in zijn bezit heeft, lastig te achterhalen of deze de schrijver van het virus is. Het feit dat hierdoor zijn 'stijl' bekend wordt neemt hij kennelijk dus voor lief. Een kwestie van meer sporen creëren om je eigen te laten opgaan in de massa.

Verwijderd @langgelee2002 • 7 juli 2004 01:10

Dit kunnen bijvoorbeeld variabelen namen zijn, OF de wijze van programmeren

Auteur

Jurroon @langgelee2002 • 7 juli 2004 01:56

even wat verduidelijkt

Kipcorn 7 juli 2004 01:27

[off-topic]

De ene AV firma noemt het dus Beagle en de ander weer Bagle...
Daarom vraag ik me af hoe een virus nou aan zijn naam komt.

Krijgt zo'n virus een soort signature mee waar een AV programma z'n naam uit kan halen ofzo?
Of krijgt een virus een naam door z'n eerste vinder?
Ik ben best benieuwd hoe dat nou werkt.

Dawai @Kipcorn • 7 juli 2004 01:32

Hier een leuk verhaaltje daarover:

http://www.msnbc.msn.com/id/4376005/

Vorkie @Kipcorn • 7 juli 2004 01:31

Hij krijgt zijn naam óf van de vinder óf er staat iets in

Heel vaak krijgen de virussen een naam die erin staat, bijvoorbeeld als iemand zijn liefde betuigt aan iemand via het virus...

Tipje, zoek maar op Google en op Tweakers.net, dit is ook ter sprake geweest namelijk

Verder is het weer raak dus, vraag me af of er ooit nog mensen gaat kappen met dit soort ongein, wat lossen ze ermee op? Helemaal niets? Jawel, hun eigenwaarde en potentiele patswaarde...
Vraag me af, moeten we dit zoeken bij diegene, of bij de samenleving van tegenwoordig?

Edwin van Cleef 7 juli 2004 04:29

aanpakken deze lui en goed ook

alleen al de ellende die het met zich meebrengt al is het maar vanwege de 80 emails virussen die ik iedere dag in mijn mailbox krijg gewoon niet leuk meer de virusscanner slaat bij iedere ophaling van mijn mail volledig op tilt word er ziek van.

het word lijkt het wel steeds erger en natuurlijk kan je jezelf ertegen bewapenen maar het neemt o zon rompslomp met zich mee.
alles moet iedere keer geupdate worden (maakt dat iedereen maar eens wijs)
zo lang dat niet gebeurd blijven we met die ellende zitten.
op dagen dat virussen hoogtij spelen staat hier de telefoon ook roodgloeiend omdat menig persoon toch weer die engels getitelde emails van de betreffende onbekende nederlander heeft geopend en dat gaat maar door.

aanpakken die lui en goed hard ook van mij part levenslang opsluiten wil zo langzamerhand wel eens verlost zijn van die ellende

Verwijderd @Edwin van Cleef • 7 juli 2004 09:16

Stap 1: spam filter bij je provider aanzetten (hetnet, dds, whatever)
Stap 2: geen outlook gebruiken (bijv Mozilla / Thunderbird)
Deze heeft ook een ingebouwde (zelf lerende) spam filter.
Stap 3: geen Internet Explorer gebruiken (bijv Mozilla / Firefox)
Stap 4: firewall installeren (zonealarm of iets dergelijks)
Stap 5: virusscanner (alhoewel dat ding bij mij eigenlijk niets meer doet door stap 1 - 4

)

Sindsdien heb ik nergens last van!

Edit:
Mozilla / Thunderbird / Firefox: http://mozilla.org/
Nederlands: http://mozillanl.mozdev.org/

Volk 7 juli 2004 01:28

damn.

Vorig jaar werd half ons dorp geterorriseerd met Blaster en nu dat vieze b(e)agle weer.

Dat beloofd weer veel goeds deze zomer

langgelee2002 @Volk • 7 juli 2004 01:33

Tsja, een dorp..
In steden gebruikt men virusscanners en firewalls

Verwijderd @Volk • 7 juli 2004 01:36

Misschien krijg ik weer flink wat centen om in het halve dorp pc te fixen. ^_^

* 786562 RuL0R

Verwijderd @Verwijderd • 7 juli 2004 01:44

LOL

Klinkt bekend

Verwijderd 7 juli 2004 09:08

Levenslang opsluiten omdat Microsoft en jij een fout maakt?
Niemand heeft je gedwongen om die mail te openen.

cavey @Verwijderd • 7 juli 2004 09:17

(ik = spuit elf)

Niemand heeft je gedwongen om die mail te openen.

Nee, dat doet Microsoft Outlook volautomatisch

(Hoewel ik eerlijk moet bekennen dat ze het nu standaard al iets dichter timmeren............ maja, beetje dicht is nog steeds wagenwijd open voor malware/virussen/trojans/etc...)

[ah, deze ook al overbodig... ik snap de moderators van tweakers.net niet meer........ als iedereen alles al snapt en begrijpt, waarom worden er dan nog zoveel onzin reacties gegeven waar met een beetje gezond verstand al antwoord op gegeven kan worden? .. oh wacht, gezond verstand is overbodig. ik snap het al... ja, nu is het -10 flamebait/troll etc geworden.]

mae-t.net @cavey • 7 juli 2004 22:07

Het is dat ik al gereageerd heb (zal zo es kijken hoe ik gemod ben

), maar van mij krijg je alsnog een +1 inzichtvol. Dat kan niet van elke tweaker gezegd worden

Kom maar op met die -4 troll!

lost95 @Verwijderd • 7 juli 2004 16:58

En hoe zit het dan met bombrieven? Niemand dwingt je om een envelop opent te maken...

Verwijderd @Verwijderd • 7 juli 2004 12:40

Neh niet levenslang opsluiten......

geef mij maar 5min. met zo'n jojo en een dik stuk hout

wedden dat ie het niet meer in z'n "hoofd" of wat er van over is haald om nog een virus te schrijven/herschrijven

heuveltje 7 juli 2004 01:15

is het nou beagle of bagle ?
ik dacht nl beagle, of is dat weer een ander virus ?

* 786562 heuveltje

NBK @heuveltje • 7 juli 2004 01:19

Beagle en Bagle zijn het zelfde virus. Bij Symantec noemen ze hem Beagle en bij McAfee noemen ze hem Bagle.

trogdor @NBK • 7 juli 2004 11:17

Een hond of een koekje, wat maakt het uit.

Pietervs

Bedrijfsnieuws

@trogdor • 7 juli 2004 13:20

Een hond of een koekje, wat maakt het uit.

Wacht maar tot een van de twee op je bord ligt...

trogdor 7 juli 2004 11:52

Hopelijk kunnen de antivirusbestrijders dankzij de broncode hier tegenmaatregelen voor opstellen, aangezien de auteur enkele programmeeraanwijzingen heeft achtergelaten.

antivirusbestrijders ?

Verwijderd @trogdor • 7 juli 2004 12:31

blijken ze dus toch virussen te maken

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (49)

Sorteer op:

Weergave: