Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 41 reacties
Bron: ZDNet

Virus - groene doodskop (kleiner dan kleiner)Nadat eerder al een proof-of-conceptvirus was opgedoken voor Windows XP Professional x64 Edition, meldt ZDNet dat er opnieuw een virus is gevonden voor 64-bit-systemen. Het virus heeft de naam W64.Shruggle meegekregen van Symantec. Wanneer een executable die is ge´nfecteerd met het virus wordt uitgevoerd, gaat het virus op zoek naar andere AMD64-executables waar het zich vervolgens in injecteert. Het virus verspreidt zich dus alleen op de lokale computer en verstuurt zichzelf niet verder. De antivirusexperts van Symantec verwachten op dit moment geen grote verspreiding. De 64-bit-editie van Windows XP verkeert namelijk nog in het bŔtastadium en er zijn derhalve alleen maar testversies van het besturingssysteem beschikbaar. Daar komt bij dat het virus niet werkt onder de 32-bit-versies van Windows omdat het geschreven is in AMD64-assembly code.

Moderatie-faq Wijzig weergave

Reacties (41)

D'r zijn niet veel mensen met kennis van AMD64 assembly code, en nog minder die er een virus mee kunnen schrijven...


Je zou bijna denken dat het om iemand gaat die zelf mee help met het ontwikkelen van win64 of iig ergens werk met goede banden met AMD Mircosoft of een producent die driver schrijft voor win64

Freaky dat zulke mensen zich bezig houden met 'verkeerde' dingen...

(ik heb weleens assembly geprogrameerd voor een oude 68HC11, een 8-bits micro controller geloof me da's geen pretje :P)
Je zou bijna denken dat het om iemand gaat die zelf mee help met het ontwikkelen van win64 of iig ergens werk met goede banden met AMD Mircosoft of een producent die driver schrijft voor win64
Wat dacht je van Symantec? ;)
Precies,
Het virus verspreidt zich dus alleen op de lokale computer en verstuurt zichzelf niet verder.
Hoe kunnen ze het anders als eerste vinden.
Door een user die Norton gebruikt en die het opvalt dat de filesize van bestanden veranderd.. En daarom mail contact met Norton Antivirus begint?

Of door honderden andere dingen :)

Ik vind het niet zo erg dat virussen uitkomen, het bewijst immers constant de zwakke plekken van een systeem. Anti Virusmakers die leren ervan. Bovendien, als al die lekken zouden worden misbruikt door hackers in plaats van virussen, zou er minder snel een update komen en dan worden er alleen maar meer bakken gehacked... Wanneer er een virus uitkomt wat zich snel verspreid en niet eens schade aanricht, dan is de hele wereld ineens in paniek omdat er een grote kans is dat er een "virus" op de computer kan staan..!

En dan als tweede zal het me een zorg wezen of ik een virus heb of niet, zolang hij maar geen schade aanricht...
Er zijn zat virussen die zich alleen maar verspreiden.
Nou zoooo verschillend zijn x86 en AMD64 assembly nou ook weer niet. De concepten zijn gelijk, en de mnemonics zullen ook weinig verschillen.

M.a.w. zelfs voor een proof-of-concept scoort deze hoog op de "ja, duh"-schaal.
mnemonics zijn nix. Ik neem aan dat je opcode bedoelt.

Een assembler vertaaalt een lijst van mnemonics plus nog wat andere shit naar opcodes. Dit zijn getallen die bij een processor de instructies activeren.

opcode = operand code.
mnemonic is een higher level zodat menschen het ook een beetje kunnen begrijpen.
Gedeelte van bericht is fout.

Het is wel NOG een 64-bit virus, maar deze keer gaat het om een versie voor AMD-64 versies van windows (windows for extended systems), volgens ZDNet.

Het vorige virus, was een virus voor IA64 versies van windows, dus voor itanium processors. Dat is een ander soort windows hoor!

Misschien maar ff het bericht wijzigen?
Wanneer een executable die is ge´nfecteerd met het virus wordt uitgevoerd, gaat het virus op zoek naar andere AMD64-executables waar het zich vervolgens in injecteert. Het virus verspreidt zich dus alleen op de lokale computer en verstuurt zichzelf niet verder.
Hoe kun je het virus dan sowieso krijgen? :).

Maar bijv. als een persoon een network mapping heeft gemaakt aan een drive letter. Waar de gebruiker vervolgens bijv. schrijfrechten heeft op een executable. Die vervolgens weer over het netwerk bij andere gebruikers word gexecuted (door de gebruiker zelf dan wel). Maar ok, het krijg dan misschien inderdaad wel wat hulp maar toch :).

[edit] En toen zak ik me ineens nog te bedenken dat het zich natuurlijk kan verspreiden via data geschreven op een CD-rom/diskette/USB-stick |:(, was de "goede" oude tijd even vergeten :P.
Hoe kun je het virus dan sowieso krijgen?
Nou, gewoon ge´nfecteerde executable downloaden of op een andere manier binnenhalen, zoals dat wel vaker gebeurt.

Misschien kan Microsoft nu rekening houden en een fix ofzo schrijven voordat XP64 final wordt.
zou zo'n 64-bit virus sneller zijn dan de 32-bit versie? ;)
Ja, hij kan tot 30% sneller je bestanden wissen :Y)
Waarom geven ze niet elke executable een crc check mee aan het eind, crc niet goed niet opstarten. Dit gebeurde in het dos tijdperk ook vaak ik deed het zelf altijd.
Omdat de crc aan het einde de hele crc van de exe beinvloed. Een exe kan dus bijna onmogelijk zijn eigen crc bevatten. Misschien kan je zo'n crc met een of ander algorimte maken maar dat zou het virus dan ook kunnen.
Omdat de crc aan het einde de hele crc van de exe beinvloed. Een exe kan dus bijna onmogelijk zijn eigen crc bevatten.
Duh! Uiteraard laat je die CRC (of andere hash) niet lopen over de bytes waarin hij is opgeslagen... |:(
Misschien kan je zo'n crc met een of ander algorimte maken maar dat zou het virus dan ook kunnen.
Dat is allleen een probleem als alle programma's het op dezelfde manier zouden doen. Als ze het allemaal anders doen, dan wordt het al veel lastiger voor een virus.
Ik had eigenlijk het idee dat virussen die bestanden infecteren grotendeels verleden tijd zijn. Tegenwoordig zijn virussen toch meer zelfstandige programma's?
Wat echter wel kan is het ondertekenen met een (verifieŰrbaar) digitaal certificaat. Aangezien alleen de maker dit certificaat kan plaatsen, is het virus kansloos. Het virus kan alleen een nieuw certificaat plaatsen, maar die komt dan niet van de oorspronkelijke eigennaar vandaan.

Probleem is alleen dat als je het goed wilt doen, je voor een certificaat dat verifieŰerbaar is door een trusted thirth party geld moet betalen - en niet zo'n beetje ook.
maar Win XP 64 kan toch ook gewoon 32bit software draaie of niet? dan pak je ze toch op precies hetzelfde? correct me if im wrong hoor....
Je hebt gelijk. ;)

Windows XP64 is een besturingssysteem geoptimaliseerd voor de AMD64 uitbreidingen van de Athlon 64. Deze processor heeft ook nog de x86 (32-bits instructies). Een virus voor x86 werkt daarom ook op een Athlon 64, en andersom niet. :)

Verder, is dit weer gewoon een proof-of-concept. Echt schade willen ze nu (waarschijnlijk) nog niet aanrichten. Pas zodra het enigzins interessant zal zijn om virussen voor de AMD64 instructieset te schrijven zal dit populairder worden. Of het echt zal aanslaan is daarentegen nog maar de vraag, misschien over een aantal jaar wel, maar de komende paar jaar zal waarschijnlijk de x86 instructie-set nog teveel gebruikt worden in het algemeen. Pas zodra echt pure 64bits processors (zoals de Itanium) mainstream worden verwacht ik hier echte virussen voor te krijgen (major threats zoals de blaster/sasser-varianten).
dan pak je ze toch op precies hetzelfde? correct me if im wrong hoor....
???
De software is specifiek geschreven voor een amd64 i.c.m. winxp-64 lijkt me.
Misschien kan Microsoft nu rekening houden en een fix ofzo schrijven voordat XP64 final wordt.
Een fix? Je moet zelf de executable draaien. Dus alleen Tinus de domme lummel start de executable, dus hoe kan je hier een fix voor maken? Alles blokken wat schadelijk zou kunnen zijn?
Jij bent niet "Tinus de domme lummel"? Dus jij bent iemand die elke nieuw binnengehaalde .exe/.scr/.dll nauwkeurig bekijkt met een hexeditor, disassembler en vervolgens voorzichtig met een debugger er door heen stapt om te kijken of je toch niet iets vervelends gemist hebt? Dat kost veel tijd dan.

"Tinus de domme lummel" is degene die iedere e-mail bijlage opent, iemand die met een virus geinfecteerd raakt heeft gewoon domme pech.

En ik ben het wel met je eens dat er geen fix tegen virussen bestaat, afgezien van een certificaat achtig systeem, maar dat leidt er wel waarschijnlijk toe dat degene die die certificaten gaat uitreiken er geld voor vraagt, wat er voor zorgt dat men geen eigengemaakte programma's meer kan draaien.
Ach, gewoon even met je knoppix cd bekijken, dan even strings bestandsnaam en je ziet ongeveer ditte:

KERNEL32.DLL
ADVAPI32.dll
iphlpapi.dll
USER32.dll
WININET.dll
WS2_32.dll
LoadLibraryA
GetProcAddress
ExitProcess
RegCloseKey
GetNetworkParams
wsprintfA
InternetGetConnectedState

Dan kan je ervan uitgaan dat het wat met je systeem kan gaan doen.
Ik snap eigenlijk het hele probleem met virussen en wormen niet helemaal. Onder unix/linux zijn tientallen programma's die bestanden hashen en deze bestanden dagelijks opnieuw vergelijken met de hash lijst.

Daar de meeste bugs/virussen in de bestanden van Microsoft zelf zitten lijkt het mij redelijk simpel dat microsoft gewoon een hashlijst meelevert met een service pack.

Computer gebruikers dienen altijd tegen zichzelf beschermt te worden. Voor de meeste mensen is een computer gewoon een hulp middel waarmee zij verschillende taken kunnen uitvoeren. Normaal mogen bestanden in de windows folder niet veranderen..

Hiermee voorkom je natuurlijk niet dat hackers/crackers (beide proberen immers ZONDER mijn toestemming mijn machine te kraken) een bug remote expoiten. Maar het standaard dichtzetten van de netwerkpoorten in SP2 maakt ook die kans weer wat kleiner...

Maar dan nu het dilemma voor Microsoft: Wat moet de software doen als een hash niet klopt? Aangezien de meeste gebruikers al blij zijn als ze de machine kunnen aanzetten, zal microsoft hen niet de vraag willen voorleggen.

Als microsoft de vraag wel aan de gebruikers voorlegt, dan maakt Microsoft windows minder geschikt voor beginners omdat deze (nog) meer basis kennis nodig heeft...

Maar waarom de verantwoordelijkheid alleen bij Microsoft of de gebruiker leggen? Het is immers de hacker/cracker/virusschrijver welke illegale instrcuties naar een machine stuurt. De windows firewall zou dus iig van netbios/iis verkeer ook de payload kunnen controleren. Verdachte pakketten kunnen dan getagged worden. Dan is het zaak de persoon welke illegaal bezig op te sporen en dan komen we uit bij het grootste probleem van internet: internet is internationaal, wat in het ene land strafbaar is, wordt in het andere land gedoogt.

Hoewel virussen vrijwel alleen voorkomen onder windows, geldt dit natuurlijk niet voor bugs.. Steeds meer software wordt cross platform (denk bijv. aan Mozilla of Apache). Remote exploits voor deze software pakketten zullen dus ook steeds vaker cross platform zijn. En geloof me. Je wilt niet weten hoeveel linux gebruikers gewoon altijd inloggen als root omdat het allemaal zoveel 'gemakkelijker' is..

Maar degene die alle correcte antwoorden heeft op deze issues zal een hoop geld gaan verdienen...
Ik denk dat ze tegenwoordig beter de providers kunnen aanspreken voor de virussen dan de klant, het word steeds erger en niet iedereen weet hoe hij/zij een pc up-to-date moet houden
Que?
Alsof je de overheid gaat bekeuren omdat er op hun snelwegen in auto's te hard wordt gereden..

Als je dan zo graag iemand behalve 'de klant' aansprakelijk wil stellen dan de producent van de lekke software...

imho is de virus schrijver aansprakelijk.. en de software maker verantwoordelijk voor snel patches beschikbaar maken/cq veilig opleveren van de software.. en de klant moet updaten..
Heel leuk gedacht, maar daar koop je niets voor.

Het gaat hier niet om wie er verantwoordelijk is, dat is wel duidelijk, maar om wie in de beste positie verkeert om er iets aan te doen. Dat zijn imo twee instanties; nl. de overheid (voorlichting en opsporen/vervolgen virusmakers) en de ISPs.

Denken dat de thuisgebruiker het zal oplossen is naif. Als iedereen een (up-to-date) virusscanner zou hebben, z'n windows up-to-date zou houden en niet in het wilde weg rond zou klikken, dan hadden we geen virusprobleem, of althans niet in deze orde van grootte.

In de praktijk is dit echter niet uitvoerbaar. Niet iedereen beschikt over de kennis adequaat tegen virussen op te treden en ik denk ook niet dat het reŰel is om te denken dat dit ooit zal veranderen, daarvoor zijn er teveel digibeten op de wereld.

Dan blijft over de overheid, de schrijver van het besturingssysteem en de ISP. De schrijver van het besturingssysteem doet al vrij veel, er komen patches uit (zowel voor linux als voor windows) en men tracht gaten te dichten. De overheid doet eigenlijk helemaal niets (afgezien van wetten en regels opstellen) en de ISPs hinkelen op ÚÚn been mee.
De prioriteit moet natuurlijk liggen bij voorkomen, niet bij genezen. OS (en andere software) veilig afleveren = voorkomen. Virusmakers oppakken/zoeken is genezen. ISP handelingen = genezen.
Op dit moment is veruit Windows het grootste probleem. Misschien kan Linux later ˇˇk grote problemen veroorzaken (als 't groter zou worden), maar doet 't nu in 't geheel niet, dus dat doet er verder op dit moment nauwelijks toe. MS moet dus harder aangepakt worden door de overheden opdat ze veiliger software leveren (vˇˇraf, dus niet repareren ßchteraf, zoals nu continue nodig is).
Que ? 't is toevallig wel zo dat als jij door een gat in de weg rijdt en daardoor je auto kapot gaat dat je de eigenaar van de weg aansprakelijk kunt stellen.. Die moet zorgen voor goede infrastructuur.

Ben het met TwiFight eens. Een spamfiler / virusscanner op de ISP Mailservers scheelt hun HEEL veel intern verkeer, da;s dus bandbreedte die je als gebruiker ter beschikking hebt. Daarnaast kan zo'n virusfilter ook voorkomen dat je 'klanten' per ongeluk virusmails versturen (en die dus ook waarschuwen). Natuurlijk heeft de gebruiker ook verantwoordelijkheden, maar ook de ISP's kunnen er HEEL veel aan doen
Que, Precies,

Goede infra structuur, jij zou toch ook niet willen dat de afslag naar je huis word afgesloten.
Wat wil je nu, als je op de snelweg rijd heb je ook kans op een ongeluk, en als iedereen nog maar 30 mag rijden en je op elke afslag voor je papieren word gecontroleerd word jij vast ook niet blij.

Profiders zijn er voor om internet aan te bieden, wat de klant zelf doet met het geheel moet je zelf weten.
Trouwens misschien word die poort ook nog nuttig gebruikt? Laat die verantwoordlijkheid maar bij de klant liggen.

In dit geval lijkt het me beter dat de software standaard alles dicht gooit, maar ja je wil wel weer het net op kunnen he...


't is ook nooit goed he...!!
Het is vrij gemakkelijk als provider zijnde virussen te blokkeren scannen weet ik veel.
Denk aan poorten blokken, mail (in en uit) scannen. en geinfecteerde klanten tijdelijk non-actief zetten (de planet manier)
Dit voorkomt een boel gelazer.

Je kan als overheid weinig doen aan mensen die te hard rijden op de snelweg..
een drempel op de snelweg????
een flitser en traject control lijken me het uiterste.

Dus je vergelijking is aardig scheef.

Tuurlijk moet een pc up-to-date worden gehouden, maar zoals iedereen hier weet doet jan met de pet dat niet zo vaak. Dus lijkt me een soort inperking mij meer iets.

Ontopic:
Waarom is dit nieuws zo belangrijk dat het noemenswaardig is. De virussen maken geen gebruik van de buffer overun dus het heeft niets met de NX bit te maken.
Dus het is niets anders als een 64 bit virus dat ook voorkomt op 32 bit.
Je kunt pas virussen blokkeren als ze al verspreid (= bekend) zijn.
"Dit voorkomt een boel gelazer.":
'Dit geneest enig gelazer', doet meer recht. Als je in 't voorkom-hoekje wil gaan zitten, moet je toch bij MS zijn, die de gatenkaas geleverd heeft. Een Ýets andere (betere) filosofie bij MS, en hup, daar is een superveilig OS.
Om in jouw woorden te spreken: Que?

wie heeft het over bekeuren? wie heeft het over aansprakelijk stellen?

IMO heeft thadiggah wel een punt. niet dat mensen niks meer hoeven te doen tegen virussen, maar de provider kan ook een hoop doen. Soms is het zo simpel als 1 poort op het netwerk dichttimmeren om de verspreiding tegen te gaan. En zeg nou zelf, dat is voor een ISP toch heel wat simpeler dan voor een x aantal duizend mensen om te doen.

Ik vind ook dat ISPs meer verantwoordelijkheid moeten nemen. 2/3/4 euro per maand voor een spam/virusfilter op email? Dat zou elke ISP gratis moeten doen, het scheelt hun zelf immers ook een hoop kosten en problemen. En door op welke manier dan ook actief virussen tegen te gaan kan een ISP misschien wel 50% van de virussen tegengaan (genoemd cijfer is een gok).

Dus misschien ligt de verantwoordelijkheid wel niet bij de provider, dat betekent niet dat ze die dan ook niet hoeven te nemen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True