Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 30 reacties
Bron: InformationWeek

InformationWeek meldt dat er weer een interessante nieuwe worm over het internet dwaalt. De worm haalt steeds nieuwe titels en teksten uit nieuwsberichten op CNN's website, om een e-mailbericht zo echt mogelijk te laten lijken. Ook het attachment heeft een naam die goed bij het bericht past, waardoor het bericht overkomt als een authentieke nieuwsbrief van CNN. Als Crowt.a, de applicatie in het attachment, eenmaal geïnstalleerd is, begint het met het opslaan van toetsaanslagen, die vervolgens naar de maker gestuurd worden. Deze toetsaanslagen kunnen belangrijke gegevens voor bijvoorbeeld online bankieren bevatten, waar de verspreider van het virus dan weer misbruik van kan maken. Deze worm speelt dus in op de grote behoefte aan nieuws en het feit dat veel mensen sowieso al geabonneerd zijn op de nodige nieuwsbrieven. Daar heeft de maker van deze worm handig op ingespeeld.

Moderatie-faq Wijzig weergave

Reacties (30)

de makelijkste manier om van dit virus af te komen is natuurlijk om de CNN site aan te passen.
het virus moet op een bepaalde manier aan zinnige headlines komen. waarschijnlijk omdat headlines steeds op een bepaalde plaats in de HTML te vinden zijn.
door de site te verandere en ervoor te zorgen dat de headline die het virus krijgt altijd luid "dit is een virus" (zonder dat het op de website te zien is natuurlijk) zou het virus vanzelf moeten sterven
Het 'breaking news' maken op CNN is genoeg ;)
Is wel grappig ge-mod, maar als de worm de headlines uit de RSS feed haalt (wat waarschijnlijk is, anders moet je de HTML steeds parsen, en die verandert op CNN vrij vaak afhankelijk van het bericht du joure) dan zouden ze tijden een permanente RSS entry op de bovenste positie kunnen plaatsen.

Op die manier zouden de slachtoffers van de worm alsmede reguliere lezers op de hoogte zijn van het probleem.

Zal overigens wel niet gebeuren - veel waarschijnlijker is dat de sites/servers waar data naartoe gestuurd wordt onbruikbaar wordt/worden gemaakt.
Je zou zeggen dat het dan eenvoudig is die gast op te pakken. Je hoeft alleen na te gaan waar al die gegevens heen gestuurd worden.
Dat kan even goed een of gratis service zijn voor webruimte (zoals er zovelen zijn). Die hoeft niet geregistreerd te zijn met echte gegevens én kan geconsulteerd worden vanuit bijvoorbeeld een internetcafé of hotelkamer.
Op die manier kan je imho je identiteit al redelijk lang verbergen mits je zelf voorzichtig bent. En dan heb ik niet eens gesproken over spoofingmethodes en proxys ;)
Natuurlijk betekent dat allemaal niet dat hij ongrijpbaar zal zijn, maar ik denk dat het oppakken van een cybercrimineel die weet wat hij doet niet zo eenvoudig is als jij wil doen uitschijnen :)
Psst, die worm kijkt op het moment dat ie gestart wordt naar de nieuwste headlines van CNN (vanuit de pc van het slachtoffer), vermoedelijk via de RSS feed ofzo. Nagaan waar al dat verkeer heen gaat heeft dus geen nut, dan krijg je de slachtoffers te pakken, en niet de maker van de worm.
Er worden ook gegevens naar de maker gestuurd:
Als Crowt.a, de applicatie in het attachment, eenmaal geïnstalleerd is, begint het met het opslaan van toetsaanslagen, die vervolgens naar de maker gestuurd worden.
is vrij makkelijk hoor: http://cocorosa.ath.cx is zijn host en zijn email is ramonvaldezar@yahoo.com.ar

kijk maar op http://www.sophos.com/virusinfo/analyses/w32crowta.html# onder advanced.

maar dat is natuurlijk maar een gratis account.
huh :?

Pinging cocorosa.ath.cx [10.0.1.128]

alle sites werken fijn
hoe kan het nu dat deze site naar een lokaal ip geroute wordt?
Zelfde hier vanaf sapo.pt waarschijnlijk heeft de dns beheerder van ath.cx ook maatregelen getroffen.

Ik vraag me alleen af waarom dit nummer en geen localhost. Iemand daar een verklaring voor?
Dat is het IP adres van je ISP. Die hebben de DNS aangepast naar een voor hun lokaal netwerk. Daar slaan zij alle gegevens op die op jouw pc ingetypt worden. ;)

Maar ik vraag me af waarom juist dit virus in het nieuws komt? Omdat het een nieuwe techniek is óf omdat er gebruik wordt gemaakt van een grote site?
Als je namelijk op de site van McAffee kijkt, dan is het niet 1 van de meest gevaarlijke/meest verspreide wormen...
Dit lijkt me wel tegen de policy van Yahoo in gaan. Die zullen dat account nu wel afgesloten hebben. Dat domein is ook wel te filteren door de ISP's (ik kan er vanaf Chello al niet meer bij)(

Je pakt daar de dader niet mee, maar je zorgt er wel voor dat hij geen resultaten van de worm meer door krijgt.
Zou dit ook in Mozilla mail/browser werken of alleen in Outlook/IE/ActiveX ??
het gaat hier om een e-mail bericht, kortom zeer standaard stuurt ie naar iedereen een e-mail. En met welke mail client je hem ook openmaakt, die attachement blijft hetzelfde.
ja, maar als het een of ander activeX component gebruikt, dan werkt het niet ine een non-outlook client. Als het bv vbs gebruikt, dan werkt het niet onder non-ms os-en... etc

het maakt dus wel uit wat voor technologie het attachment gebruikt
ook niet in een geupdate wel-outlook...

dat geflame op ms/outlook de heletijd... een up2date outlook2003 komt geen drol doorheen.
Geen paniek echter; gelukkig kan je gebruik maken van een virusscanner en een firewall, die dit beestje onschadelijk maken. :)
edit: verkeerde subthread
De worm haalt steeds nieuwe titels en teksten uit nieuwsberichten op CCN's website, om een e-mailbericht zo echt mogelijk te laten lijken. Ook het attachment heeft een naam die goed bij het bericht past, waardoor het bericht overkomt als een authentieke nieuwsbrief van CNN.
Mmm... als ik een nieuwsbrief krijg van CNN, terwijl ik me niet eens heb aangemeld dan krijg ik toch echt wel een vermoeden dat er iets niet helemaal zuiver is.

Oftewel, naar de trashcan ipv openen...
Stel je voor dat het nitwits zijn? die denken zoals beschreven "Ahh heerlijk...nieuws" en vervolgens is het einde oefening...niet iedereen denk zo na
:) tis al eerder gezegd, maar als ik zo'n ongevraagde nieuwsbrief krijg gaat ie als
"shift;delete en enter" tenminste ook niet via de prullebak. vaya con dios dus.
Maar dat is dus niet bij een leek het geval. Ik weet dat mijn oom bijvoorbeeld dat mailtje zal gaan openen als hij hem krijgt. Het enige wat je daar tegen kunt doen is waarschuwen en goed in de gaten houden op welke nieuwsbrieven je geabonneerd bent :)
Nen normaal denkende mens moet toch bedenkingen hebben bij attachments die meekomen met nen nieuwsbrief van CNN, zelfs als ze zich daarvoor hebben ingeschreven.
Krijg je de nieuwbrief :

headlines :
virus verspreidt zich door CNN nieuwsbrief |:(
tsja das ook een manier natuurlijk, moet zeggen ze worden steeds echter :'(
of juist steeds beter, zo worden wordscanner nml ook steeds beter en zitten we beter tegen een eventuele echte serieuze aanval oid ;p
kleine verbetering maarja als je gewoon let op wat je opent gewoon de attachment niet uitvoeren.
Als je the full header controleerd kan je er achter komen of de mail echt van een bepaald persoon komt.
Maar welke figuur instaleerd iets van CNN?
Wie heeft er een CNN nieuwsbrief ik niet dan valt het wel op. En als je die wel hebt valt het ook op opeens 1 extra nieuws brief.
Zal die zo slim zijn die toetsaanslagen naar een andere PC te sturen, voordat ie ook snel gepakt wordt, like the webcam guy ;)

Maar t moet eens stoppen met al die virussen, maakt internet er niet leuker op. Ik open geen mailtjes met verdachte afzenders en attachments, alleen dingen waarvan ik zeker weet dat ik ze kan vertrouwen. Gelukkig krijg ik praktisch nooit van die ongein :D
Waar haalt de worm z'n nieuws vandaan? Een RSS-feed ofzo?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True