Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Bots sporen spyware op

Antispywarebedrijf Webroot Software is van mening dat de hedendaagse opsporingstechnieken voor spyware, die net zoals antivirusprogramma's gebaseerd zijn op 'signatures', te veel werk zijn om up-to-date te houden en heeft daarom een andere aanpak ontwikkeld. Phileas, zoals de technologie heet, speurt het internet af door middel van bots die websites controleren op de aanwezigheid van spyware of adware, vergelijkbaar met de webcrawlers van zoekmachines die nieuwe pagina's zoeken. Op basis van de verzamelde informatie zal het bedrijf een antispywareprogramma ontwikkelen waardoor infectie met spyware voorkomen kan worden door de bron aan te pakken of te blokkeren, in plaats van pas in actie te komen wanneer een kwaadaardig bestand gedetecteerd wordt.

Spyware & AdwareVolgens Richard Stiennon, vice-president van het bedrijf, kunnen tien werkdagen handmatig onderzoek teruggebracht worden tot een uur automatisch zoeken met behulp van de bots. Bij een eerste testrun in oktober vorig jaar werden meer dan 20.000 sites geïdentificeerd. Webroot wil tegen februari echter meer dan honderd bots online hebben, waarmee tien sites per seconde onderzocht zouden kunnen worden. Ook Microsoft ziet voordelen in de automatisering van spywaredetectie en implementeerde daarom de SpyNet-functie in zijn antispywareprogramma.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Yoeri Lauwers

Eindredacteur

Feedback • 13-01-2005 10:30 40

13-01-2005 • 10:30

40 Linkedin Google+

Bron: Information Week

Lees meer

Microsoft gaat antispywaretools gratis weggeven Nieuws van 15 februari 2005
'Spywarebedrijf sluit deal met makers antispyware' - Update Nieuws van 14 februari 2005
Adware infecteert explorer.exe met virustechnieken Nieuws van 11 februari 2005
Consortium tegen spyware valt uiteen Nieuws van 8 februari 2005
Worm vermomt zich als nieuwsbrief met actuele headlines Nieuws van 22 januari 2005
Windows Media drm-features misbruikt door trojan Nieuws van 12 januari 2005
Maandelijkse virusdetectie- en verwijdertool van Microsoft Nieuws van 7 januari 2005
Microsoft komt mogelijk met 'A1' veiligheidsabonnement Nieuws van 5 januari 2005
Adware begint virusachtig gedrag te vertonen Nieuws van 17 december 2004
Top 10 van ongewenste spyware opgesteld Nieuws van 14 december 2004
Spyware niet altijd een probleem Nieuws van 8 december 2004
CA: Kazaa grootste spywaredreiging Nieuws van 28 november 2004
Meer producten en artikelen
Bedrijfsnieuws

Reacties (40)

-Moderatie-faq
-140040+138+223+310Ongemodereerd0
Wijzig sortering
+3Koffie
13 januari 2005 10:35
Ik snap 'm niet helemaal :?

Ze willen dus met bots site afsneupen, om zo te zoeken naar sites die spy/malware ongezien probeert te installeren bij de bezoeker.

En dan ,dan hebben ze die sites in kaart gebracht maar kunnen ze het enge beestje toch niet zomaar mee identificeren als het op de client geinstalleerd staat ?
+3MossMan
@Koffie13 januari 2005 12:16
Als ik het zo lees (ik zie geen link en ben te lui om het zelf te gaan zoeken...) denk ik dat dit een mis-quote is of een journalistische misverstand.

Het lijkt mij dat Webroot van mening is dat het *HUN* tijd spaart door actief op zoek te gaan naar bronnen van spyware, niet dat de bots iets te maken hebben met je eigen PC thuis.

Maw. jij als klant zult toch een anti-spyware programma runnen die zoekt naar signatures, alleen zijn die signatures juist door de bots van Webroot verzameld, ipv. door personeel die handmatig allerlei spyware proberen te vinden, want:
tien werkdagen handmatig onderzoek [kunnen] teruggebracht worden tot een uur automatisch zoeken met behulp van de bots.
EN VERDER zal dit programma proberen te voorkomen dat je besmet wordt door als één of ander proxy/sniffer te fungeren... Ik denk dat één van de zinnen hierboven hoort te zijn:
Op basis van de verzamelde informatie zal het bedrijf een antispywareprogramma ontwikkelen waardoor infectie met spyware voorkomen kan worden door
TOEGANG TOT
de bron aan te pakken of te blokkeren, in plaats van pas in actie te komen wanneer een kwaadaardig bestand gedetecteerd wordt.
Het lijkt me sterk dat ze denken dat ze alleen maar dmv. een proxy oid. echt alle mogelijk aanvallen kunnen voorkomen, dus achteraf opsporen moet gewoon nog steeds kunnen. Hoe denken ze anders een net uitgevonden stukje spyware te stoppen als het nog niet door de bots gedetecteerd is?
+3TD-er
@MossMan13 januari 2005 12:41
Ik las het artikel toch anders...
Ze gaan een stukje software maken wat op de client-PC's bepaalde sites gaat blokkeren die spyware aanbieden.
De lijst met gevaarlijke sites gaan ze zelf bijhouden door bots in te zetten die sites afsnuffelen.

In het artikel staat namelijk dat ze 10 sites/sec kunnen bekijken... dat haalt een consumenten lijntje volgens mij niet echt.
+1MossMan
@TD-er13 januari 2005 19:46
Ik zie niet in waarom je dit anders vind dan wat ik zelf schreef.

TD:
Ze gaan een stukje software maken wat op de client-PC's bepaalde sites gaat blokkeren
MM:
VERDER zal dit programma proberen te voorkomen dat je besmet wordt door als één of ander proxy/sniffer te fungeren
en

TD:
De lijst met gevaarlijke sites gaan ze zelf bijhouden door bots in te zetten
MM:
Het lijkt mij dat Webroot van mening is dat het *HUN* tijd spaart door actief op zoek te gaan naar bronnen van spyware
en

TD:
dat haalt een consumenten lijntje volgens mij niet echt
MM:
niet dat de bots iets te maken hebben met je eigen PC thuis
dus...

"huh?!?" :-)
+3Louis-Paul Linssen
@Koffie13 januari 2005 10:39
Als je weet wat de bron is kun je deze aanpakken, momenteel worden geinfecteerde bestanden weer schoon gemaakt, dat is eigenlijk dus een stap te laat.
+3Ron.IT
@Louis-Paul Linssen13 januari 2005 10:43
Het is vooral de snelheid waarmee je een uitbraak kan insluiten. Het is vaak binnen een kwartier dat een goede worm uitbraak (zoals Blaster) al het meeste kwaad heeft gedaan.

Voordat de admin dit ontdekt en oplost is er al veel tijd verloren. Dus als website visitors op deze manier tijdelijk geblokkeerd worden, todat het euvel is verholpen komt alleen maar ten goede.
+3Reacher
@Koffie13 januari 2005 10:40
Het gaat meer om preventie denk ik. Het aanmaken van een lijst waar de spyware voorkomt kan in anti spyware programma's opgenomen worden en dan heb je eerste voor selectie natuurlijk al gehad.

Ik vraag me alleen af of dit wat uit haalt. p2p netwerken zitten vol met dergelijke meuk, en dat installeerd iedereen maar kwakkeloos zonder na te denken over gevolgen.
+1Netsensei
@Reacher13 januari 2005 10:53
Als je zo stom bent om bijvoorbeeld KaZaA te installeren, that is. |:(
+2mvdlee
@Netsensei13 januari 2005 15:23
Kazaa is bij lange na niet het enige met spyware besmette p2p tool. Voor p2p tools kan je beter open source gebruiken, net een tikje veiliger.
+2ptaverne
@Koffie13 januari 2005 12:51
SpyWare wordt vaak geinstalleerd via ActiveX controls die via webpagina's worden uitgevoerd.

Het is echter niet nodig om die webpagina's te blokkeren. Je kan namelijk gewoon selectief die kwaadaardige ActiveX controls blokkeren.

Je kan voor elk ActiveX control een zogenaamd kill bit aanzetten in het register. Dit zorgt ervoor dat het bijbehorende control niet meer uitgevoerd wordt.

http://support.microsoft.com/kb/240797

Er bestaan al tools die op deze manier spyware voorkomen. Bijvoorbeeld SpywareBlaster.

Je kan natuurlijk ook gewoon FireFox gebruiken :P
+3ILUsion
@ptaverne13 januari 2005 15:06
Verklaar dan maar waarom Spyware Blaster ook een Firefox-gedeelte heeft ...

Met Firefox ben je zeker niet 100% veilig, zoveel is zeker! Je krijgt wel vaak mooi de vraag of hij het mag installeren en je zelf veel minder binnenkrijgen dan met Internet Explorer zoals dat op de meeste computers aanwezig is (dat is IE6 op Windows XP SP1 of oudere versies (van Ie/Windows)). Met XP SP 2 heeft Microsoft wel heel wat meer veiligheid ingebouwd, daar ben ik van overtuigd, maar Firefox is gewoon tien keer makkelijker te gebruiken door functies die IE mist en natuurlijk door de vele (veilige) extensies die ervoor beschikbaar zijn, voor IE zijn er ook veel plug-ins, maar het overgrote deel is spyware :(
+2DeTeraarist
@ILUsion13 januari 2005 18:13
Verklaar dan maar waarom Spyware Blaster ook een Firefox-gedeelte heeft ...
Tsja, heb je ook gekeken waar dat stukje voor dient?
Om cookies tegen te houden. Cookies is geen spyware. Cookies zouden kunnen gebruikt worden om je surfgedrag te bekijken. Moet degene die die cookies set (adverteerder), wel op iedere webpagina een banner hebben... En aangezien er wel 1000en verschillende banner bureaus zijn, is dat dus niet zo...
Maar je kunt ze dus wel blokken met spyware blaster.

Zoals al gezegd, veel spyware wordt geinstalleerd via een ActiveX object. Mozilla heeft standaard geen ActiveX ondersteuning en hoeft dus ook niet beschermd te worden tegen ActiveX Spyware.
Alleen door bugs in Mozilla zul je automatisch iets kunnen installeren. Zover ik weet zijn die er niet. En anders kun je misschien ergens installeren dat je automatisch XPI's installeert, maar dan vraag je om moeilijkheden en kun je net zo goed met IE gaan surfen en ActiveX aanzetten en je beveiliging op laag zetten.
+1fendke
@ILUsion13 januari 2005 17:24
Heb toch niet te klagen over firefox moet ik zeggen. Heb gisteren na een 2-tal maand nog eens een scan gedaan met spysweeper en er waren 0 threats gevonden. En zit iedere dag meerdere uren op het internet met dik bakje.
+1aurora1982
@Koffie13 januari 2005 13:27
Dit is een prachtig initiatief! Eindelijk een goed voorstel om spyware echt te lijf te gaan.

Wat ook wel praktisch zou zijn is dat ze samen zouden werken met zoekmachines zoals bijvoorbeeld Google waardat dan een waarschuwing komt te staan naast een link indien geweten is dat er op die site spyware bevindt.

edit/
oei, blijkbaar te laat, hieronder staat blijkbaar nog iemand met hetzelfde idee :)
/edit
+3BlueDays
13 januari 2005 10:37
kunnen ze hiervoor net beter samenwerken met een zoekbedrijf als google?
Google bijvoorbeeld heeft veel ervaring/capaciteit om veel sites te doorzoeken, waardoor het product een aardige boost krijgt van zijn dekking. Terwijl google min of meer kan gaan garanderen dat elke site die opgezocht word spyware vrij is.
+1Toff
@BlueDays13 januari 2005 13:24
Sukkel, met dit idee had je geld kunnen verdienen!
+1XoloX
@BlueDays13 januari 2005 15:32
Met hele grote nadruk op min of meer ja. En zelfs dan zul je nog rechtzaken zien volgen.

Dit sluit overigens niet uit dat verschillende grote bedrijven op internet die al bots en caches hebben inderdaad zouden kunnen samenwerken met spyware bestrijdings bedrijven. Kan het proces zeker versnellen :*)

- XoloX
+3Ron.IT
13 januari 2005 10:38
Op zich goed, maar er kleven ook nadelen aan, want wie beslist wat fout is en wat goed is. In een extreem geval worden de cookies van doubleclick.net gezien als spyware. Dat is op zich ook zo, maar er zijn een hoop goede sites die van deze advertenties gebruik maken.

Het zou dus goed zijn om dit wel goed te regelen anders krijg je de situatie dat het éné bedrijf een andere site blokeerd, omdat het een concurrent is.

Maar het is zeker een goede zaak voor de echte worm virussen, die zich nestelen op gehackte/geïnfecteerde websites.
+3JorisS
13 januari 2005 11:41
Ook Microsoft ziet voordelen in de automatisering van spywaredetectie en implementeerde daarom de SpyNet-functie in zijn antispywareprogramma.
Geloel natuurlijk. Microsoft heeft spynet niet geimplementeerd. Microsoft heeft een succesvol antispyware programma overgenomen en er een MS-sticker opgeplakt. Giant is de bedenker van Spynet.

Wel een goed initiatief overigens om het kwaad bij de bron aan te pakken. Wat data betreft is spyware net als milieuvervuiling.
+2JoRuZ
13 januari 2005 10:44
En wat nou als die spywaresites bots blocken? zoals met robots.txt ofzo?
+2the_stickie
@JoRuZ13 januari 2005 10:55
Is het rekening houden met robots.txt niet een vorm van goodwill? Ik bedoel daarmee: het is toch niet verplicht om dat bestand te openen en er rekening mee te houden?
Het is niet zoiets als een firewall waar je doorheen moet ;)
+2T-MOB
@the_stickie13 januari 2005 12:23
Lijkt me niet helemaal het geval. Zo'n robots.txt is soms bittere noodzaak. Als je een webapplicatie hebt die uitgaat van normale userinput en er komt een bot langs die op ijnhumaan tempo alle links afgaat kan er wel eens wat vastlopen. Bijvoorbeeld als je een spelletje oid host.
+2XoloX
@T-MOB13 januari 2005 15:35
@T-MOB: Ik denk dat je een beetje de weg kwijt bent, of ik begrijp je echt totaal niet.

Een robots.txt bestand staat dus op een web site. Bots lezen dit bestand en weten zo wat geindexeerd/doorzocht kan worden en wat niet. (ook @ the_stickie: ) Dit is inderdaad goodwill, het is gewoon een conventie. Meer niet.

@T-MOB again: Die bots gaan dus draaien op de verbindingen van het bedrijf. Vervolgens wordt een "blocklist" met geinfecteerde web sites verspreid onder de gebruikers, die dan beschermd worden, doordat de bron niet toegankelijk is.

PS. Verwar je nou de functie van een robots.txt bestand of heb je het over thuis een web server draaien? Een spelletje hosten gebeurt op je eigen pc, die bots draaien dus op de pc's van dat bedrijf, en ik neem nu toch aan dat je het niet hebt over het persoonlijk hosten van een web site, terwijl je spelletjes host :*)
+2w!mz
13 januari 2005 10:48
Op basis van de verzamelde informatie zal het bedrijf een antispywareprogramma ontwikkelen waardoor infectie met spyware voorkomen kan worden door de bron aan te pakken of te blokkeren
Dit zal dan hopelijk wel allemaal instelbaar zijn toch? Stel dat dat ding automatisch websites blokt uit zijn database en misschien 'iets' gevonden heeft op bv tweakers, dan kan ik mooi de site niet meer op.

En hoe kan deze bot de 'bron' aanpakken? Dat betekent volgens mij dat hij iets met de besmette site gaat doen. kan dat legaal allemaal wel?

Zoals ik het dus begrijp uit het stukje is dit een actieve antispywarebot, in tegenstelling tot de passieve bots die op desktops staan, maar dat begrijp ik niet helemaal. Er staat duidelijk
in plaats van pas in actie te komen wanneer een kwaadaardig bestand gedetecteerd wordt.
Dit doet die bot toch ook? in actie komen wanneer een bestand gedetecteerd is? Hij kan toch niet al in actie komen als hij niets gedetecteerd heeft?
+1BoGhi
@w!mz13 januari 2005 11:35
"in plaats van pas in actie te komen wanneer een kwaadaardig bestand gedetecteerd wordt" zal slaan op detectie na besmetting op een client-PC. Terwijl in deze oplossing dus de bron 'aangepakt' wordt.

Waarbij inderdaad de vraag interessant is wat er met dit 'aanpakken' bedoeld wordt. Het blokken middels een black-list is weinig vernieuwend, en dat noemen ze zelf ook als een andere mogelijkheid. Dus.. gaat deze bot de site onderuit halen?? Of terugmelden aan zijn baasje dat deze site een besmettingsrisico is, zodat die juridische stappen kan gaan ondernemen.. :?

Daarnaast zal het spel van van opsporen en ontwijken, net als bij virussen, gaan spelen. De genoemde signatures zullen dus voor de bots net zo goed nodig zijn, lijkt me. Vast gecombineerd met heuristiek, zoals ook weer in virusscanners.

Op zich is het idee goed, maar aan de (vernieuwende) uitvoering zitten nogal wat haken en ogen, lijkt me.
+2omixium
13 januari 2005 10:32
Voorkomen is beter dan genezen... goede zet!
0Bitpusher2
@omixium13 januari 2005 13:06
Voorkomen aan de serverkant is nog een stap beter dan voorkomen bij de client zoals bij: "Spybot Search & Destroy" en "Microsoft Anti Spyware" En deze waren al weer een stapje slimmer dan: Ad-aware die genezend werkt bij de client.

Maar de zoekmachine vindt logischerwijs pas iets als het er op staat en de tijd daar tussen blijft nog besmettingen veroorzaken.
+2theskysurfer
13 januari 2005 10:47
maar worden die spyware progjes werkbalken etc etc niet bewust op dergelijke sites gezet,
als inkomstenbron of zo?

want vaak die ik dat die active-x bestanden die je 'moet' installen. zo zijn geintegreerd in de site, dat je anders niet verder kan.

crack sites, freeserials etc.
op al dat soort sites.

dus als je ze zou aanschrijven zouden ze zegge van jah :r

of zit ik hier verkeerd te denken?????

maar verder het idee van aanpakken bij de bron vind ik superzz,
vind dat achteraf idee ook nix.
is het zelfde als je een virus hebt, de oplossing format aanbieden :?


@JoRuz:
dan moet de bot wel naar robots.txt zoeken, en de daarin opgeslagen data accepteren toch???
+1homernt
13 januari 2005 10:33
Is er ergens ook een lijst van die sites waar je wat kan oplopen?
+2bitflusher
@homernt13 januari 2005 10:38
in spybot kun je je hostfile met loopbacks volproppen met adressen waar ad- en spyware vandaan komt, dat is een mooi begin

mode > advanced.
tools>hostfile>add spybot S&D hosts list
+1solatis
13 januari 2005 10:40
Doet me een beetje denken aan die phpBB-exploit-fix-worm... er was eerst een worm voor phpBB die de forums deface'de, vervolgens maakte iemand anders een gewijzigde versie van deze worm die de phpBB's fixde en zichzelf weer verspreidde...

*dat* is volgens mij de techniek die gebruikt moet worden... alhoewel er waarschijnlijk privacy issues aan zitten enzo. Desalniettemin zal het fijn zijn als er een white hat hacker zoiets losliet gaan... :)
+2memphis
@solatis13 januari 2005 10:50
En dergelijke reparatie-tools vond men ook niet fijn gezien de bandbreedte die het zou kunnen opslurpen....

Dus tot hoe ver zouden dit soort bot´s dat ook doen ?
1 2

Op dit item kan niet meer gereageerd worden.

Apple iPhone XS HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True