Malwareschrijvers gebruiken open-sourcetactieken

Malwareschrijvers gebruiken open-sourcetechnieken om langer verborgen te blijven, zo lezen we op Linux Insider. Veel trojanschrijvers maken gebruik van een gemeenschap die in een verborgen omgeving zijn leden helpt bij het maken en onderhouden van hun malware. Via de Trojaanse paarden krijgen de kwaadwillenden vaak de beschikking over zogenaamde zombienetwerken, bestaande uit computers die via de malware zijn overgenomen door de schrijver. Deze worden vervolgens meestal gebruikt voor het versturen van spam. Volgens schattingen van Scott Chasin van een Amerikaans spambestrijdingsbureau zijn zombienetwerken verantwoordelijk voor vijfentwintig tot dertig procent van alle spam, een Canadees beveiligingsbureau zegt zelfs te denken aan tachtig procent.

Omdat zoveel spammers werken via de zombies, is er een markt ontstaan voor de verkoop van deze netwerken. USA Today heeft eens een netwerk van twintigduizend zombies opgespoord, dat werd verkocht voor twee- tot drieduizend dollar. Omdat de malwareschrijvers geen enkele investering hoeven te doen om deze netwerken te bemachtigen, is dit dus een pure winst van enkele duizenden dollars per netwerk: een lucratieve business. Een aantal providers probeert nu hun netwerken tegen de zombies te beschermen.

Aangezien de illegale netwerken voor het versturen van de enorme ladingen e-mail gebruikmaken van poort 25, wordt deze door de ISP’s geblokkeerd wanneer een gebruiker onnatuurlijk veel data over deze poort verzendt. Om dit te voorkomen, gebruiken spammers nu grotere netwerken zodat ze minder berichten per pc hoeven te versturen. Bovendien gebruiken ze de computers in tijden waarop de normale eigenaar er niet achter zit, bijvoorbeeld tijdens kantooruren of ’s nachts. Op deze manier valt hun werkwijze minder snel op en kunnen zij hun netwerken langer gebruiken zonder afgesloten te worden.

Reacties (46)

zordaz 10 september 2004 15:09

Beetje een rare titel: Ik kan uit dit artikel en uit het orgineel toch echt niet afleiden wat de overeenkomsten zijn tussen Open Source "tactieken" en Malwareschrijvers. Wat voor Open Source taktieken worden dan bedoeld? Dat meerdere mensen en/of computers virtueel samenwerken? Dat staat toch los van Open Source?

troje @zordaz • 10 september 2004 15:13

Ik denk dat de auteur bedoelt "Malwareschrijvers gebruiken distributed project taktieken.

Open source heeft er inderdaad geen bal mee te maken in dit geval.

Anoniem: 92889 @troje • 10 september 2004 15:23

Blijkbaar willen ze O.S. in het zelfde gebied als die illigalen drijven om zo een soort van 'verbod' los te peuteren.
De zoveelste FUD poging lijkt het wel.
En distributed project taktieken zijn niet echt alleen gereserveerd voor O.S.

Anoniem: 72316 @Anoniem: 92889 • 10 september 2004 15:27

Beetje "Johnny Mnemonic" achtige verhalen. Een "up-town" waarin slechts 'respectable ppl' mogen komen (lees: gehoorzamen) en "down-town" waar chaos & anarchie heerst.

off-topic: een beetje de strijd die momenteel gaande is in Hong Kong, alwaar de Chinese overheid er alles aan doet om de westers denkende gemeenschap op de knieën te krijgen.

Anoniem: 28145 @troje • 10 september 2004 16:03

De auteur bedoelt dat malware-schrijver net zoals Open Source developers vaak een community vormen (met als doel een bepaalde synergie te verkrijgen):

"There's a community of worm builders creating, almost in an open-source fashion, Trojan source code that can be downloaded, compiled and released into the wild," said Scott Chasin, CTO of e-mail defense solutions company MX Logic in Denver, Colorado.

Is dan ook de enige parallel die ik uit het originele artikel haal die verwijst naar Open Source....

Anoniem: 72316 @zordaz • 10 september 2004 15:25

Ik denk dat ze heir de vergelijking bedoelen met de zgn 'openheid' van de projecten. in OS community kun je jezelf inschrijven op projecten en er zo aan meewerken. Gok dat dat is, wat zich ook ondergronds afspeelt.

> zodra je trojan een paar PC's heeft omgetoverd tot zombies, stap je ermee naar de community en gooi je ze in de 'databench', ofzo. Zo krijg je een verdeling van 'spamtijd', bijvoorbeeld

Ik weet het absoluut niet hoor, dit is slechts wat ik denk. Dus zonder disclaimers ed..

Originele artikel, openingslijnen:

The techniques used to develop open-source software like Linux have proven to be so effective that they've been adopted by malware writers to improve their mischievous ways.

Compleet wat anders: iemand nog last gehad van zombies, de laatste tijd?

Olaf van der Spek @Anoniem: 72316 • 10 september 2004 15:38

Compleet wat anders: iemand nog last gehad van zombies, de laatste tijd?

Jazeker, ben laatst slachtoffer geweest van een zware DDoS attack.
Om nog maar te zwijgen over de hoeveelheid spam.

Anoniem: 72316 @Olaf van der Spek • 10 september 2004 15:42

Da's minder..
K9 (http://keir.net) helpt bij mij uitstekend tegen spam, though. En tegen een DDoS valt, volgens mij, weinig meer te beginnen dan een routertje met ingebouwde firewall (thuis) neerzetten. Of een dedicated firewall, natuurlijk. Daarmee stop je niet echt een DDoS, of er moet een 'flooder' inzitten, die teveel requests detecteert, enzo.

Nu je het zegt, volgens mij komt er bij mij ook regelmatig ééntje langs; dan gaat mijn router weer eens plat. Om de 2 à 3 weken is het hier ook prijs.

Olaf van der Spek @Olaf van der Spek • 10 september 2004 16:20

K9 (http://keir.net) helpt bij mij uitstekend tegen spam, though. En tegen een DDoS valt, volgens mij, weinig meer te beginnen dan een routertje met ingebouwde firewall (thuis) neerzetten.

Ik heb Mozilla Thunderbird met spam filter.

En tegen een flood van 9 - 80 mbit/s valt met een routertje weinig te beginnen.

Anoniem: 32075 @zordaz • 10 september 2004 16:34

Dit is amerikaanse FUD

nhimf 10 september 2004 14:58

Om dit zelf te kunnen monitoren, vraag ik mij af of er programma's zijn, waarmee je per poort het dataverkeer kan zien over een bepaalde tijd.

Als die progsels er zijn, dan kan je redelijk goed in de gaten houden of jij last hebt van dit soort dingen, want virusscanners en progsels als adaware zijn nooit 100% en lopen altijd achter (je kan immers niet voor het uitkomen van een trojaans paard hem al detecteren).

jb044 @nhimf • 11 september 2004 14:20

Tuurlijk bestaan zulke programma's, voor Linux heb ik hiervoor ipac. Voor windows zal het er vast ook in vele gedaantes zijn, denk aan iets dat altijd in de achtergrond draait.

Een firewall, zoals defspace zei, help ook. Maar als het niet om een firewall gaat die ala Zonealarm niet alleen over poorten beslist maar ook bepaald welke programma's op het net mogen, is het een wassen neus. En zelfs dan is het helemaal niet paranoide om los van je firewall de boel in de gaten te houden, een userland firewall kan de malware immers (mogelijk) omzeilen omdat ie simpelweg uitgezet kan worden of nog erger gefopt..

Defspace @nhimf • 10 september 2004 17:40

Wat dacht je van een Personal firewall ?
Ik heb ook een keer een spyware tooltje op mijn pc gehad welke mijn virusscanner en adaware niet had gedetecteerd maar mijn firewall begint meteen te piepen als een niet vertrouwd programma iets van het net wil halen of naar het net stuurd.
b.v.
http://www.tinysoftware.com
http://www.kerio.com/kpf_home.html

tofus 10 september 2004 16:04

Ik snap het doel van dit artikel niet helemaal. De nieuwswaarde is absoluut nul: iedereen die zich de afgelopen jaren ook maar heel even heeft verdiept in de wereld van online security en virussen/malware, weet dat er voor (de development van) dit soort zaken al jaren komplete toolkits en docs voorradig zijn, en dat deze o.a. via IRC worden 'verspreid', 'gebruikt' en 'verbeterd'. Dit is niks nieuws

Het enige 'nieuws' wat dit artikel brengt, is het EXPLICIET noemen van de term 'Open Source' i.v.m. malware/virussen/spam. Maar waarom? Wat heeft Open Source software in vredesnaam te maken met malware?!? Hoeveel virussen/spam zijn er 'uitgegeven' onder de GPL/BSD/Apache/whatever license? Hoeveel virus-kits en trojan-tools zijn er daadwerkelijk te downloaden via Sourceforge.net? Dat zijn er nagenoeg nul, toch?

Ik krijg een beetje de zure smaak dat de enige functie van dit artikel het 'combineren' van de termen 'open source' en 'malware' cq. 'spam' is, om op deze manier een precedent te scheppen bij mensen die geen verstand hebben van de 'open source'-community, en ze de indruk te geven dat 'open source'-ontwikkeling een 'vrijbrief' is voor de ontwikkeling van virussen en malware.

Zo bekeken is het hele artikel dus niks meer dan een poging interessant te doen en/of FUD te verspreiden.

Waarom helpt tweakers.net hieraan mee (dit is zeker niet de eerste keer dat er een FUD verhaal op tweakers verschijnt, zonder dat dit vergezeld gaat van een gezonde dosis 'objectiviteit' bij de nieuwsposter), door dit soort artikelen klakkeloos over te nemen? Persoonlijk vindt ik dit een beetje zonde.

Anoniem: 103538 10 september 2004 15:45

In dit nieuwsbericht staat dat de spammers om detectie te voorkomen 's nachts gebruik maken van een netwerk. Valt het juist niet enorm op als er vanuit een groot bedrijfsnetwerk (5000+ clients) midden in de nacht als daar niemand aan het werk is enorm veel e-mail wordt verstuurd?

Ortep

@Anoniem: 103538 • 10 september 2004 15:53

Niet altijd...vaak is het netwerk juist midden in de nacht het drukst. Allerlei processen lopen juist 's nachts om de gewone gebruikers te ontzien. Backups, replicaties, uitgestelde mails die te groot waren om in een keer te verzenden etc.
Bovendien zit er juist op die tijden niemand te monitoren. Voor je het weet heb je het 3-4 dagen kunnen doen. Zeker als je op vrijdag avond begint.

Tuxie @Anoniem: 103538 • 10 september 2004 15:55

Nee, omdat op de meeste systeembeheerafdelingen niks gemeten wordt en ze vaak de ballen verstand ervan hebben.

Anoniem: 72316 @Anoniem: 103538 • 10 september 2004 22:37

Neen, omdat jouw aannames slechts via (illegale) backlogging zijn te achterhalen. Een bedrijfsnetwerk in India, op welke GMT zitten zij?

Pruttelpot 10 september 2004 14:59

Hierover stond laatst ook een stuk in de C'T

C'T Mei 2004, pagina 84.

(niet computer totaal, maar computer techniek he

)

Anoniem: 84469 @Pruttelpot • 10 september 2004 16:09

Als je het correct afkort, is het gelijk duidelijk waar het om gaat.

C!T is computer totaal
c't is computer techniek.

Mental @Anoniem: 84469 • 10 september 2004 19:24

niet voor de mensen die alleen de C!T lezen. die gaan er niet automatisch van uit dat c't computer techniek is

MuddyMagical 10 september 2004 14:57

Zulke dingen zul je altijd houden zolang sommige mensen niet precies weten hoe met een pc om te gaan en te beveiligen. Maar ook fabrikanten van software hebben hier schuld aan door niet goed aan te geven hoe hun product beveiligd kan worden en standaard de veilige instellingen uit te zetten.

Maar ik ben het er wel mee eens dat zulke acties hard aan gepakt moeten worden. Spam is een grote overlast voor veel gebruikers en genereerd een grote hoeveelheid dataverkeer. Als je van de 100 mailtjes er 95 moet weggooien dan is de lol er snel vanaf.

diederik77 @MuddyMagical • 10 september 2004 17:05

/quote: "Zulke dingen zul je altijd houden zolang sommige mensen niet precies weten hoe met een pc om te gaan en te beveiligen."

Met dingen als windows XP sp2 wordt dat toch wel een stuk lastiger, aangezien je bij elke computerstart met je neus op een eventuele 'te slechte beveiliging' wordt geduwd.

Anoniem: 79837 @diederik77 • 13 september 2004 11:45

het nadeel is dat de gemiddelde gebruiker alleen denkt: daar heb je weer zo'n stom venster. druk ff op toestaan, dan heb ik er geen last meer van

Anoniem: 114775 @MuddyMagical • 10 september 2004 16:50

netstat

is dus een reactie op NhImf

Herko_ter_Horst

10 september 2004 17:14

Ik weet niet wie het bedenkt, maar "Malwareschrijvers gebruiken open-sourcetactieken" is net zo'n soort titel als "Terroristen gebruiken mijnbouw-technologie"...

boesOne @Herko_ter_Horst • 10 september 2004 17:58

"Terroristen gebruiken Open Source taktieken" zou nog betere FUD zijn.

Terroristen vormen communities en wisselen informatie uit over methodes. In geheime netwerken zijn open recepten te krijgen waarin precies beschreven wordt hoe een bom te maken. Ook werken ze onderling aan verbeteringen en wisselen ze ervaringen uit; net zoals in de Open Source community.

Desgevraagd antwoorde de befaamde terrorist bekend onder de schuilnaam bin\laden "Zelfs mijn schuilnaam heb ik afgeleid uit een van de bekendste Open Source projecten, we hebben veel van ze geleerd.. dank je Linus"

* 786562 boesOne

Proxy @boesOne • 10 september 2004 23:15

boesOne vindt dat t.net dit artiekel wel mag moven naar dev\null

Mag het ook naar dev/null?

shytah 10 september 2004 15:00

Ineens heb je het......je word malwareshrijver

Anoniem: 81202 10 september 2004 16:45

Malwareschrijvers gebruiken open-sourcetactieken
Malwareschrijvers gebruiken open-sourcetechnieken om langer verborgen te blijven, zo lezen we op Linux Insider. Veel trojanschrijvers maken gebruik van een gemeenschap die in een verborgen omgeving zijn leden helpt bij het maken en onderhouden van hun malware.

Eindelijk weer eens diepgaand nieuws op T.net: Virusschrijvers werken samen! Net als zakenlui, bosjesmannen, piraten, struikrovers, wetenschappers, opensourceaanhangers en mensen.

Tenshi818 10 september 2004 17:53

Er moet meer tijd besteed worden om mensen duidelijk te maken hoe malware werkt, hoe het zich verspreid, hoe je infectie kan verkomen en hoe je er van af kan komen.

Een cursus in een bedrijf van 1000+ kan een hoop problemen met malware zowel op het bedrijf as bij deze mensen thuis vermeden worden. Ook provijders zouden meer tijd/geld hierin moeten steken want hun netwerk word belast door deze zooi.

De meeste mensen hebben
1. geen idee wat malware is of wat het doet.
2. Hoe ze er aan komen en hoe ze dit kunnen verkomen.
3. Belangrijkheid van bijv. windows updates gezien pc's zonder upgrade binnen 20 minuten all met mallware zijn geinfecteerd.

Zo zijn er nogwel meer punten waar aan gewerkt moet worden om het volk een beetje veilig te houden.

Edit: Typo's...
@Cruzlee
Als dat de enige spel fouten zijn die je kunt vinden zit er iets niet goed lol m'n nederlands is erg slecht -_-

TtL8e7ay @Tenshi818 • 10 september 2004 20:42

1. geen idee wat mallware is of wat het doet.

Ja hoor. Volgens mij wordt daar dan gewoon malware mee bedoeld.

Op dit item kan niet meer gereageerd worden.

Malwareschrijvers gebruiken open-sourcetactieken

Lees meer

Reacties (46)

Sorteer op:

Weergave: