Antivirusbedrijven overspoeld door MyTob-varianten

Antivirusbedrijven worden overspoeld door een grote hoeveelheid varianten van de MyTob-worm. De schrijvers van de worm, die opereren onder de naam HellBot, releasen meerdere varianten per dag. Deze varianten verschillen onderling weinig, ze zijn goed te bestrijden op basis van de algemene kenmerken. Carole Theriault, specialist van Sophos, vermoedt dat de virusschrijvers werken aan een superworm. De leden van de HellBot-groep gaan gestructureerd te werk waardoor de worm zich kan ontwikkelen. Het verspreiden van verschillende varianten kan duiden op de zoektocht naar geschikte elementen voor een superworm.

Worm De globale werkwijze van de MyTob-wormen is wel gelijk: verspreiding vindt plaats via het e-mail adresboek en de beveiligingssettings van de pc worden uitgeschakeld. Daarnaast is het vanaf een besmette pc niet mogelijk om antivirus- of beveiligingssites te bezoeken. De worm zet soms een backdoor open of is vergezeld van spyware of adware. Veertig tot vijftig procent van de meldingen die bij Sophos binnenkomen betreffen de MyTob varianten, ze bezetten inmiddels de helft van de top twintig van de virusspecialist.

IT-banen

Reacties (80)

Mombasa 5 juni 2005 10:55

Ik vraag me af of wormen en andere vormen van spyware of virussen ooit geschiedenis zullen zijn. Wij hebben tegenwoordig toch ook horren (firewall) tegen de insecten en als ze dan toch binnen zijn slaan we ze dood, of hebben we dingen in huis als kleefbanden of andere verdelgers (virusscanner) en toch hebben we nog slapeloze nachten van de muggen.

Stilgar @Mombasa • 5 juni 2005 11:01

Waarschijnlijk heb je gelijk, en zullen we -tot op zekere hoogte- moeten leven met virussen en wormen.
In dit specifieke geval laten mensen de worm echter zelf binnen, ze openen immers een e-mail attachment.

Verwijderd @Stilgar • 5 juni 2005 13:38

Ik heb gisteren voor de 'gein' geprobeerd om deze worm toe te laten en te installeren. Het leek een .htm file, maar met tig spaties was het uiteindelijk een PIF bestand.

In het begin schrok ik me rot!

1. CTRL-ALT-DEL (taskmanager) deed niets meer
2. MSCONFIG kwam ik niet in
3. Ook virussites (zelfs onbenullige gratis sites) kwam ik niet meer op (om een worm-removal tool te downen) (ook niet via de google cache!)
4. Mijn Virusscanner en firewall werden uitgeschakeld
5. Heel langzaam stuurde de worm zich naar anderen (te zien aan traffic monitor)
6. Als je naar bepaalde security sites surft, krijg je 'banners' en 'spyware' binnen!
7. ik raakte 'belangrijke' admin rechten kwijt!

Maar:
1. De windows firewall kon ik nog wel bedienen! (om zo misbruikte poorten te blocken)
2. En via een standaard proxy kwam ik wel heel eenvoudig op de antivirus sites om een removaltool bestand te downen.
3. Register en CMD kwam ik wel gewoon in. Er was een bestand (beta.exe) geinstalleerd die ik uit het register heb gesloopt (maar het blijkt dat meer varianten er zijn)
4. Het beste is om de 'header' van het email bericht te zoeken op google. Dan blijkt dat het gaat om een MyTob variant.

Dus gewoon een MyTob remover downen via een proxy! of zelf op zoek gaan naar een dergelijk bestand

Als ze de worm willen sterken, moeten ze dus zorgen dat je niet een proxy in kan stellen! en dat je niet regedit en CMD kan gebruiken (dan kun je zelf wel een Regfile schrijven, maar dat is al wat moeilijker!)
Verder is het niet slim om 'enkele' sites te blocken.
Via via kom je namelijk bij 'oplossingen' terecht! Maar ik denk dat de virusschrijver bang zijn om google of andere grote zoekengines te blocken (dan krijgen ze echt bloedhonden achter ze aan!)

Verder weet ik niet of ze onderwater ook emailadressen harvesten en opslaan in een eigen database. (misschien zijn ze dan te achterhalen)

Maar ook dan kan je nog via veilige modus opstarten en in Msconfig zien dat "beta.exe" er niet thuis hoort en verwijderen.

Het wordt pas link als ze een worm schrijven die gebasseerd is op Shop Assistant of Cool Web Search.
Die zijn behoorlijk moeilijk te verwijderen. zelfs met "HitMan Pro" of "Search and Destroy" blijven enkele versies actief!

Zolang F8 bestaat, is er geen worm die mij het leven onmogelijk maakt!

Verwijderd @Verwijderd • 5 juni 2005 14:29

Ik weet niet meer welke versie, maar er is een versie van CWS die ook niet door MSAS verwijderd kan worden. (ik kreeg 'm niet weg) (staat nu nog ergens op een pc)

Daarnaast zijn er tig miljoen pc's die MSAS niet kunnen installen omdat ze een onofficiele XP versie gebruiken.
En MSAS wordt waarschijnlijk gewoon 'uitgezet' door een dergelijke MyTob versie.

Fuzzillogic @Verwijderd • 5 juni 2005 14:04

Dit alles deed je toch wel op zijn minst in een virtuele PC omgeving, zoals QEMU he?? Of...

Verwijderd @Verwijderd • 5 juni 2005 14:06

Niet virtueel, maar wel op een echte 'ragbak'. Waar ik alles op uit probeer.
Van spyware (Coolwebsearch) tot virussen en wormen.

Verwijderd @Verwijderd • 5 juni 2005 14:13

Shop Assistant en Cool Web Search zijn zeer gemakkelijk te verwijderen via MS AntiSpyware. De enigste lastige is de combinatie van een virus die CoolWeb als payload gebruikt (ben effe de naam kwijt, is alweer een paar maanden terug dat ik hem moest verwijderen bij een klant).

McAffee, NAV, AVG, Kaspersky herkende allemaal het virus, echter konden het niet correct verwijderen. PC-Cillin had er echter geen problemen mee (had toen niet getest of Housecall hem kon verwijderen met het handmatig beëindigen van het explorer.exe proces).

Stilgar @Guru Evi • 5 juni 2005 16:00

Ik heb ook nog nooit een virus gehad op mijn Windows XP machine. Kwestie van goed patchen, goede firewall, surfen met FireFox en geen domme dingen doen. Dingen die voor elk OS gelden.
Als mensen overtuigd kunnen worden om een bijlage te starten vanuit hun mail is geen enkel OS veilig.

@ 35MHz OC
De procedure die je moet volgen om een bestand vanuit je mail te starten heeft natuurlijk meer met je mail client te maken dan met het OS. Het is daarom altijd verstandig om een veilige client uit te kiezen.
De schade blijft in het geval van een goed *nix installatie inderdaad wel beperkt. Maar ook onder een gewoon non-privileged user-account kunnen je documenten en mail worden verwijderd, een backdoor worden opengezet en je machine als zombie worden gebruikt worden... daar zijn geen bijzondere privileges voor nodig.

35MHz OC @Guru Evi • 5 juni 2005 17:39

Het is wel zo dat een bijlage in een e-mail op een *Nix platform wel wat meer nodig heeft dan een dubbelklik.

Bestand op de harde schijf opslaan. In de file manager er naar toe. Het bestand executable zetten en daarna pas uitvoeren. (Dat vergt wel een erg sterk staaltje social engineering, als je het mij vraagt).

Komt nog bij dat deze procedure in het user account, alleen mayhem veroorzaakt onder mappen en bestanden van het user account.

Als je echt een systeem wil overnemen, moet je ook nog eens iemand overtuigen om rootrechten te nemen voordat hij het bovenstaande allemaal uitvoert.

Gelukkig gaat MS in Longhorn standaard gebruik maken van het Least-priviledged User Account (LUA) bij een installatie, dus dan is het ook onder Windows straks een stuk moeilijker.

kimborntobewild @Guru Evi • 6 juni 2005 00:28

Gelukkig gaat MS in Longhorn standaard gebruik maken van het Least-priviledged User Account (LUA) bij een installatie

Ah, da's uitstekend nieuws voor de ICT-industrie... Er zullen dan vele duizenden extra werknemers nodig zijn om dingen aan te praat te krijgen bij al die Longhorn gebruikers... (tenzij 't een absoluut peuleschilletje voor ook de leek zal zijn om jezelf administrator rechten te geven... Want dan doen ze dat gewoon).

_XipHiaS_ @Mombasa • 5 juni 2005 13:01

Vergeet de honkbalknuppel niet, voor de grotere "insecten"'

. (Ik als gebruiker zelf in de opruim modus

Verwijderd 5 juni 2005 10:57

Is het niet gewoon FUD? Als de AV-bedrijven nu maar hard genoeg schreeuwen dat er superwormen, supervirussen of andere enge dingen aankomen wordt de gemiddelde PC gebruiker misschien wel zo bang dat ie nu maar eens een virusscanner, firewall, etc. gaat aanschaffen...

Nutral @Verwijderd • 5 juni 2005 11:33

Ik zou zeggen gebruik avast die zet automatisch tags in je emails (veilig of niet dus staat er niks dan is avast uitgeschakeld onveilig)

Acolyte @Verwijderd • 5 juni 2005 15:02

Ja, mensen lokken door virussen te bedenken die uitgeschakeld kunnen worden door alleen hun producten of ieder gewenst product kan goede reclame zijn maar een worm 'bedenken' die hun eigen producten uitschakeld is natuurlijk geen goede reclame. Waarom zouden mensen dan nog het product kopen als zelfs daarmee de worm niet is uit te schakelen?

emgaron @Verwijderd • 5 juni 2005 11:27

Ik vraag me af of het niet ook averechts kan werken - hoe erger de bedreigingen onder Windows blijken (dankzij de propaganda van de AV bedrijven) hoe groter de kans dat de mensen toch eens verstandig worden en op alternative OS overstappen. En dan verwacht ik tenminste in het begin een duidelijke teruggang van de inkomsten van de AV-bedrijven.

Sfynx @emgaron • 5 juni 2005 16:46

En als mensen op dat alternatieve OS ook altijd als root draaien (want dat gebeurt onder Windows, alleen heet dan het account anders), maakt het niets uit. Windows is een prima OS qua veiligheid als je het goed gebruikt, maar veel mensen zijn daar te lui/dom/gemakzuchtig voor.

35MHz OC @Sfynx • 5 juni 2005 17:51

Dan zullen dergelijke gebruikers erg snel van een koude kermis thuis komen. De cultuur onder de *Nix gebruikers hierover is erg simpel.

Als je zo stom bent om constant als root te draaien en je krijgt daardoor problemen, dan krijg je geen sympathie, maar gewoon de opmerking dat je je verstand had moeten gebruiken. Je mag daarna ook zelf je troep opruimen.

Niet echt "gebruikersvriendelijk", maar daarentegen kweekt het wel gebruikers, die hun zaakjes op orde houden.

kimborntobewild @Sfynx • 6 juni 2005 00:36

Als je zo stom bent om constant als root te draaien en je krijgt daardoor problemen, dan krijg je geen sympathie,

Dat maakt weinig uit... Op Windows-systemen doen mensen net zo goed dingen die je niet moet doen. Krijgen die geen ondersteuning? Jawel hoor... Een groot deel van internet is eraan gewijd.
Als iemand een Linux-gebruiker niet wil helpen, wil ie een Windows-gebruiker hoogstwaarschijnlijk ook niet helpen.

Dionisos 5 juni 2005 11:52

@all_star

Het is vaak zo dat virusschrijvers die gepakt worden, nadat ze hun straf hebben uitgezeten worden aangenomen bij een anti-virus bedrijf.

Dit is dus niet

al wel een aantal keer gelukt

Het gebeurt bijna elke keer, als de anti-virus bedrijven denken dat de virus schrijver een aanwinst zou kunnen zijn.
De virusschrijvers nemen deze (goedbetaalde) banen zeker aan

@thefonz
[/quote]Als dit een email-virus is, hoe helpt een firewall daar dan tegen?[/quote]
Een firewall checkt alle inkomende/uitgaande connecties. Dus als de worm een backdoor maakt onderschept de antivirus deze(behalve als de backdoor onbekend is

)

Waarom heet dit een worm? Ik dacht dat dit soort type malware een virus heet. Hij kan zich niet op eigen houtje verspreiden, je moet 'm zelf opstarten.

A computer worm is a self-replicating computer program, similar to a computer virus. A virus attaches itself to, and becomes part of, another executable program; however, a worm is self-contained and does not need to be part of another program to propagate itself. They are often designed to exploit the file transmission capabilities found on many computers.

Werkt hij alleen onder Outlook? Of werkt hij ook met (of kan hij geschikt gemaakt worden voor) Thunderbird, Eudora etc?

Het virus verspreid zich vanaf het moment dat je hem opent en miss ook wel dmv een bug in de browser.
Dus outlook en welke browser dan ook is besmettelijk.

Als je niet als administrator werkt, kan hij dan nog steeds "de beveiligginssettings van de PC uitschakelen"?

Hij kan altijd de beveiliging uitschakelen

Geef hem daar dus niet de kans toe en houd je anti-virus/firewall up to date!

@Xneo
Geen id hoe ze het doen, maar programmeurs bij anti-virus bedrijven hebben een erg mooi inkomen.
Van 'underground programmer' naar goedbetaalde programmer, ze hoeven tog geen extra pak geld boven op dat mooie inkomen?

Titusvh @Dionisos • 5 juni 2005 12:04

Hij kan altijd de beveiliging uitschakelen

Volgens mij kan dat dus niet altijd. Alleen omdat het niet altijd lekker werkt om niet met admin rechten te zijn ingelogd doen mensen dit dus toch, en dan heb je meer kans dat een worm met admin rechten wordt uitgevoerd.

Ik heb niet een linkje bij de hand maar volgens mij heeft er op tweakers een berichtje gestaan dat ze willen werken aan een systeem waarbij de browser (en daarmee wormen die van browser exploits misbruik maken) NOOIT met admin rechten draait, dus ook als de gebruiker die wel heeft.

Get!em @Titusvh • 5 juni 2005 22:32

jij bedoelt misschien surfright? dat wat hitmanpro gebruikt?

zie link

H!GHGuY @Dionisos • 5 juni 2005 12:06

misschien is dat hun doel wel:
bij een anti-virus bedrijf gaan werken

T4F.nl_Muad @H!GHGuY • 5 juni 2005 12:53

tja, is dit gewoon een open sollicitatie

Antediluvian @Dionisos • 5 juni 2005 12:17

Dat was vroeger zeker zo maar tegenwoordig komen dergelijke dingen minder voor. Security experts zeggen trouwens dat een goed virus kunnen schrijven niet betekend dat je een goeie antivirus expert bent / kan zijn.

Edwin van Cleef 5 juni 2005 11:01

Ik kan totaal geen bewondering vinden voor de figuren die dit soort praktijken uithalen.
In ieder Os zitten wel programmeerfouten en ipv dat aan te geven van er zit een lek in de software gaan ze het misbruiken.
Er word meer data over het net gestuurd,systemen worden overbelast en gebruikers ondervinden er hinder aan.
Mailservers die overspoeld raken door die rommel
Ontwikkelaars van antivirussoftware moeten overuren maken en voor ze er mee klaar zijn is het meeste leed al geleden.
Er zullen wereldwijd afspraken gemaakt moeten worden om dit soort praktijken strafbaar te stellen.
Ongeacht welk OS je draait het blijft in mijn ogen kapitaalvernietiging want er word totaal niets mee gewonnen en je hebt er alleen maar ellende van.
Dus voor de makers van deze worm kan ik totaal geen ontzag en/of respect opbrengen.

Verwijderd @Edwin van Cleef • 5 juni 2005 11:18

In ieder Os zitten wel programmeerfouten en ipv dat aan te geven van er zit een lek in de software gaan ze het misbruiken.

Daar heb je inderdaad gelijk in, ware het niet dat deze fouten waarschijnlijk niet gefixed zouden worden als niemand er last van heeft en van het bestaan ervan af weet. Pas als mensen er last van krijgen en gaan klagen over deze fouten, dan wordt er pas iets tegen gedaan.

Uiteraard zijn er ook zat virusschrijvers die hier maling aan hebben en het gewoon voor de sport doen, of om beter te zijn dan de anderen (denk ik). Deze mensen moeten ze misschien opsluiten in een computergestuurde woning met één van hun eigen virussen

Gody @Verwijderd • 5 juni 2005 12:06

Ow dus het is een soort van werkgelegenheid creeren bedoel je? Door virussen/virusschrijvers kunnen virusmakers, computerbedrijven en neefjes-die-goed-zijn-met-de-computer weer meer werken.

Titusvh @Verwijderd • 5 juni 2005 12:08

ware het niet dat deze fouten waarschijnlijk niet gefixed zouden worden als niemand er last van heeft en van het bestaan ervan af weet

Dat zou in de meeste gevallen ook niet erg zijn. Want van die fouten heb je pas last als iemand er misbruik van maakt.
Hert is dus geen verdienste van de viorus/worm schrijvers. Zo klinkt het wel een beetje...

Verwijderd 5 juni 2005 14:24

mmm, virusschrijvers onozele zielige prutsers?

ik las juist het artikel over de pishing mail over de postbank:
"pishing 'aanval' van de postbank komt waarschijnlijk uit rusland"

ik keur het niet goed of wil het dit niet aanmoedigen, maar ligt de basis hiervan niet in het huidige 'wereldsysteem'? Welke toekomst heeft iemand in pakweg zuid rusland? of in Oekraine? of in Bolivie? of ... ? Onderwijs kan je niet betalen, je corrupte leiders worden gesteund door 'het vrije westen', landen als polen of litouwen zijn niet welkom in de eu, etc...

Ok ik geef toe ik gooi het allemaal een beetje op een hoopje, maar ik denk dat jullie wel zien wat ik bedoel. Als criminaliteit je enige mogelijk bron van overleven is is het dan nog crimineel?

Verwijderd @Verwijderd • 5 juni 2005 15:53

mmm, ben effe op Symantec website gaan zien naar info over W32.Mytob.CU@mm. Dit was er in te vinden:

Copies itself as one of the following:
%System%\Lien Van de Kelder.exe
%System%\Lien vd Kelder.exe

Adds one of the following values:
"[http://]www.lienvandekelder[REMOVED].be" = "Lien Van de Kelder.exe"
"[http://]www.lienvandekelder[REMOVED].be" = "Lien vd Kelder.exe"
to the registry subkeys:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Lijkt me dus geen Rus of Armeen maar een ordinaire Belg of Hollander, misschien wel iemand op Tweakers.net?

dj.verhulst 5 juni 2005 11:04

Ik denk als je een update virusscanner heb , je OS regelmatig (lees automatisc) update
een hw firewall in je kabel/adsl router , en je een beetje nadenkt hoe & waar je surft , en hoe je met mail om moet gaan je 99 % minder kans maakt op virussen...

Een helebooel noobs , denken als ze een besmet mailtje binnen hebben dat ze een besmet systeem hebben , terwijl de virrusscanner het mailtje schoon maakt of als dat niet wil weggooit ( attachment)

emgaron @dj.verhulst • 5 juni 2005 12:07

Een automatische update heeft ook veel nadelen - vooral in bedrijven zou je dit in het algemeen niet tegenkomen, omdat de kans dat er iets misgaat veel te groot is. En dan hangt het ervan af hoe snel de beheerder is. Vooral in kleine bedrijven kan dat vlink tegenvallen, aangezien dat veel beheerders in dat soort bedrijven systembeheer maar "erbij" doen en dus vaak onvoldoende tijd voor die taak hebben.

Pietervs

Bedrijfsnieuws

@emgaron • 5 juni 2005 17:12

Een automatische update heeft ook veel nadelen - vooral in bedrijven zou je dit in het algemeen niet tegenkomen, omdat de kans dat er iets misgaat veel te groot is.
In bedrijven kom je het juist wel tegen, maar dan in een gecontroleerde vorm. Met andere woorden: een SUS server.
Of dacht je dat systeembeheerders een paar honderd PC's af gaan lopen om de updates handmatig te installeren?
Voor veel (grotere) bedrijven geldt, dat ze de SUS server de updates laten downloaden, ze installeren op een of meerdere testsystemen, en ze daarna uitrollen naar de gebruikers.

Gody @dj.verhulst • 5 juni 2005 12:03

Maar dan moet je virusscanner natuurlijk het nieuwe virus wel herkennen, anders zijn ook wij, tweakers, straks het haasje omdat zelfs wij niet konden voorkomen om besmet te raken.

Dionisos 5 juni 2005 11:06

Het hoeft niet zo te zijn dat ze de attachment openen, er zijn functies die ze automatisch openen.

Ook is het mogelijk dat de worm een bug van IE gebruikt en daarmee zijn worm installeerd..

Een van de beste antivirus software is gratis,
jammer genoeg niet bekend onder 'het gewone volk'
Antivir is de virus scanner waar ik het over heb.

er zullen ook best goede firewalls zijn maar die zijn bij mij niet bekend

Rembert @Dionisos • 5 juni 2005 12:24

Welke Antivir bedoel je? Die van Avast of van HBEDV? Anyway, beiden hebben in het verleden behoorlijk wat steekjes laten vallen met een aantal virus-in-the-wild tests. Symantec scoort daar bv. beter, al vind ik het een draak van een virusscanner: het doet veel te veel terwijl ik juist van mening ben dat een virusscanner zich enkel bezig moet houden met, jawel, virusscannen.

Ik heb een aantal jaren geleden de extreem snelle (en goede) nod32 van eset naar Nederland gehaald en ben een tijdje de enige representant van ze geweest. Nu zijn ze behoorlijk gegroeid (Microsoft gebruikt deze virusscanner intern ook). In bovengenoemde test komt nod32 een stuk beter uit. Daarnaast worden veel virussen al herkend (als onbekend virus) voordat ze opgenomen zijn in een update. Of dit ook geldt voor MyTob weet ik niet. Antivir scoort hier een stuk lager maar is zeker ook niet verkeerd, helemaal niet als gratis virusscanner (dat geldt voor de Antivir van beide producenten).

Overigens, de nieuwste versie van nod32 scant ook spyware en heeft de checkmark certificatie behaald, net als Trend Micro (ook een virusscanner / spyware scanner die erg aan de weg timmert en bezig is om boven het gemiddelde uit te stijgen).

anvil @Rembert • 5 juni 2005 13:49

Ehh.... die hebben BEIDE sinds ruim een jaar alleen maar "pass" staan, terwijl "grote jongens" als McAfee en CA (waar Microsoft nota bene gratis CD's van loopt te verspreiden met een 365 dagen licentie) zeer recent nog fails op hun conto hebben staan. Tel erbij op de kosten en zo slecht doen ze het nog niet.

thegve @Rembert • 5 juni 2005 19:32

En je weet zeker dat je niet aan het spammen bent?

Verwijderd @Dionisos • 5 juni 2005 11:16

kerio is niet verkeerd als firewall
in combi met harden-it en
xp-antispy
lukt het aardig en idd
je virusscanner bijhouden

Verwijderd 5 juni 2005 13:19

Ik vraag mij ook af wat deze mensen met "Lien van de Kelder" hebben.
Elke (of bijna elke) virus variant verwijst naar haar.

Wij zijn op ons werk ook maar standaard ZIP-files met inhoud gaan blokken op extinctie (zoals bat, pif, scr, enz) en niet alleen op virussen. McAfee houd het niet meer bij. Woensdag op donderdag nacht heb ik alleen al 600 virussen geblockt ( en 2 legitieme mails, maarja die zijn opgelost).

TRON

5 juni 2005 10:48

Interessant, zeer interessant. Uiteraard kunnen de anti-virusbedrijven nu inspringen op de gedachte dat er misschien wel een superworm gecreeerd wordt. Hetzelfde geldt voor firewall-schrijvers.

Weet je, het klinkt misschien vreemd, maar aan de ene kant heb ik een vorm van bewondering voor dat soort virusschrijvers. Vind maar eens gaten en software en misbruik dat voordat er patches uit zijn (in de praktijk gaat dit vrij makkelijk, immers patches laten nogal lang op zich wachten, en vooral als het de publiciteit niet bereikt heeft).

Ja, aan de ene kant bewondering. Aan de andere kant echter, ik kan geen wrok vormen tegen dit soort mensen. 'k Heb meer problemen met schrijvers die destructieve virussen schrijven; gewone wormen heb ik zeker geen problemen mee. Je hiermee zien dat de huis-tuin-en-keuken gebruiker zich niet aan de regels houdt, welke aan hem opgelegd wordt door kennissen/vrienden/familie/provider/computerbladen.

//// -=-edit-=- ////
Best wel weer grappig om te zien dat als je een andere mening hebt dan anderen dat je dan op 'overbodig' gemodereerd wordt.

Natuurlijk kunnen deze virusschrijvers zich beter inzetten voor de veiligheid, echter er zal niet snel iets aan gedaan worden als men niet bewijst dat er fouten zijn. Dus het wie-niet-leren-wil-moet-maar-voelen principe.

Als je al kan nagaan hoe arrogant sommige bedrijven zijn als je een XSS-vulnerability meldt... dan kan je wel raden dat exploits en dergelijke ook net meteen gerepareerd worden - neem eens een kijkje naar Microsoft. Microsoft brengt patches vaak te laat uit, zelfs nog als het een wereldwijd probleem geworden is.

blobber @TRON • 5 juni 2005 11:24

Nou ik heb er wel problemen mee, bewondering heb ik er al helemaal niet voor, als je dan zo briljant bent, zet je fantastische skills dan eens op een zinvolle manier in.
Ja natuurlijk is het te doen om de gebruikers te wijzen op hun onverantwoorde gedrag.Bullshit als je het mij vraagt, de enigen die onverantwoord bezig zijn, zijn deze kl##tzakkken die die dingen bedenken.En wees maar niet bang de zgn "echte" gevaarlijke virusschrijvers zullen ongetwijfeld weer heel wat opgestoken hebben van het "vooronderzoek" dat deze lieve knulletjes gedaan hebben.

n4m3l355

Bedrijfsnieuws

@blobber • 5 juni 2005 18:21

problemen die je hebt zijn voor 99% te wijten aan je eigen incompetente gedrag qua surfen/gebruikersgemak. als je alles een beetje up to date houd hoef je je niet druk te maken over een virus als deze voor een groot gedeelte.
Verder het mag misschien averechts klinken maar juist door dit soort gedrag van de schrijvers worden bedrijven als MS maar ook linux developers gedwongen om een gedegen product te schrijven. het is zeker geen nette manier van aantonen maar er zijn bv zeker bij MS zat exploits die zeker MyTob zal misbruiken die allang bekend zijn bij MS maar juist door het dwingen er iets aan te doen door ze te misbruiken gebeurd er iets in het grote MS wezen.
verder

wees maar niet bang de zgn "echte"...

het zal mij absoluut niet verbazen als de groep Hellbot een zooitje oost-europeanen zijn die deel uit maken van de georganiseerde misdaad. georganiseerde misdaad gaat verder dan wat drugs verhandelen/afpersen van mensen. het internet is voor hun een nieuwe markt die ze al enige tijd aanboren en dit soort praktijken zijn een veilige manier om extra geld te verwerven. dit zijn dan ook echt niet een zooitje scriptkiddo's die wat aan het experimenteren zijn maar serieuze developers die in opdracht van zitten te ontwikelen. deze hebben zowel tijd als geld en het is enkel een kwestie van tijd dat de zgn. 'super' variant vrijkomt.

ymmv @TRON • 5 juni 2005 11:26

Jouw houding is ongeveer: ik heb best wel bewondering voor inbrekers, die zijn altijd op zoek naar nieuwe, niet bekende gebreken in zelfs de meest geavanceerde sloten. Knap om die te vinden! En de mensen waarbij ze dan wel inbreken, ja, dom, hadden ze maar hun sloten regelmatig moeten vervangen.

Het punt alleen is: zouden we allemaal niet heel veel beter af zijn als er gewoon _geen_ inbrekers (of worm/virusschrijvers)zouden zijn? Als mensen gewoon af bleven van andermans bezit? Het is toch idioot dat we het blijkbaar normaal vinden dat we elke dag virusupdates moeten binnenhalen en om de paar weken software moeten updaten vanwege beveiliginsfixes. Het is toch bizar dat 80% van alle email junk is? Dat een moderne pc nier meer kan zonder antivirussoftware, firewall en spyware-removal-tool, of anders binnen tien minuten overgenomen wordt en misbruikt wordt voor DDOS-aanvallen of het versturen van junkmail?

blouweKip @ymmv • 5 juni 2005 13:47

Alleen is er hier geen sprake van inbraak (als je toch een analogie wilt gebruiken) maar van insluiping (aangezien de deur op een kier stond)

Dat een moderne pc nier meer kan zonder antivirussoftware, firewall en spyware-removal-tool, of anders binnen tien minuten overgenomen wordt en misbruikt wordt voor DDOS-aanvallen of het versturen van junkmail?

naja, op mijn pc's heb ik geen van alle en ik heb nog nooit ergens last van gehad, ligt dus aan de software die je draait (al is uiteindelijk de gebruiker ook de "zwakste schakel")

//edit: grappig dat deze post zo ver naar beneden gemod, schijnbaar vinden mensen het niet leuk op hun eigen verantwoordelijkheid gewezen te worden bij het voorkomen van dit soort problemen

gooddaddy @blouweKip • 5 juni 2005 14:01

zoiets vertelde iemand mij ook eens toen hij mij een alarmsysteem wou verkopen. Zonder goede bevieliging, vroeg ik erom dat er ingebroken zou worden. Hij kon toen direct gaan.

Het is natuurlijk hetzelfde met computers. al heb je hem wagenwijd openstaan, iedereen hoort er met zijn fikken vanaf te blijven. Helaas gebeurt dit niet

blouweKip @blouweKip • 5 juni 2005 14:31

Het is natuurlijk hetzelfde met computers. al heb je hem wagenwijd openstaan, iedereen hoort er met zijn fikken vanaf te blijven. Helaas gebeurt dit niet

Er zijn veel dingen die "horen" maar de werkelijkheid is dat als jij je deur open laat staan je bijvoorbeeld ook minder tot geen verzekeringsdekking hebt, dat is dan zeker ook belachelijk?
Feit is dat er mensen en organisaties zijn die misbruik maken en daarom is het onverstandig om de "deur" open te laten staan alleen omdat je vind dat het geen probleem zou mogen zijn.

Verwijderd @blouweKip • 5 juni 2005 14:40

Blauwe Kip

Jouw Pc kan nu dus een server zijn voor al die ellende .
Het kost 47 Minnuten om een onbeschermde PC besmet te laten worden als je hem op een willekeurig ip nummer aan internet hangt.
Als jij geen beschermde software op je Pc hebt staan kan je niet eens waarnemen hoeveel servers er nu draaien op de bak van je !

In dat geval ligt het niet aan de software die je draaidt maar meer aan de software die je niet ! draaid.
Dat jij MISCHIEN ! schoon bent gebleven ligt echt niet aan jouw Slimme surf gedrag of Slimme Aplicatie keuze .
Maar doordat er gewoon een firewall in je modem zit (geen echte maar een Nat server) .

blouweKip @blouweKip • 5 juni 2005 14:57

Jouw Pc kan nu dus een server zijn voor al die ellende .
Het kost 47 Minnuten om een onbeschermde PC besmet te laten worden als je hem op een willekeurig ip nummer aan internet hangt.

hmm, ff gechecked (chkrootkit et all) , maar van de paar virii die ik mogelijk zou kunnen oplopen heb ik er geen enkele (tja, ik ga die virii ook niet handmatig uitvoeren), op mn laptop idem

Als jij geen beschermde software op je Pc hebt staan kan je niet eens waarnemen hoeveel servers er nu draaien op de bak van je !

brr, das wel een eng idee ja, ik zie er maar enkele draaien, moet er niet aan denken dat er nog severs zonder pid draaien die geen mem, cpu en netwerk gebruiken en die verder geen sporen achter laten .....

In dat geval ligt het niet aan de software die je draaidt maar meer aan de software die je niet ! draaid.
Dat jij MISCHIEN ! schoon bent gebleven ligt echt niet aan jouw Slimme surf gedrag of Slimme Aplicatie keuze

Zozo, dus het maakt niet uit of ik als root/administrator werk of als een "gewone" user, zelfs het gebrek aan lokale en remote exploits maakt mn systeem schijnbaar niets minder dan een openstaande honeypot

Maar doordat er gewoon een firewall in je modem zit (geen echte maar een Nat server) .

Helaas, mn modem is gewoon een simpele bridge (die idd wel verbonden is met een servertje, met oa nat idd

Ik ben dus nog steeds van mening dat je softwarekeuze invloed oop je veiligheid heeft, al kan het natuurlijk nooit kwaad om je systeem up to date te houden, maar ik heb echt geen virusscanner, spyware of firewall op mn pc's zelf nodig nu

35MHz OC @blouweKip • 5 juni 2005 17:26

Torch, niet iedereen gebruikt Windows, dus het afwezig zijn van McAffee of Zone-Alarm hoeft niet te betekenen dat je box binnen een uur ge-0WnEd wordt.

Het is misschien niet populair om te zeggen, maar je keuze van OS bepaalt gewoon de moeite die je er in moet steken om de boel veilig te houden.

Verwijderd @blouweKip • 5 juni 2005 22:31

35MHz

De meeste mensen kunnen die keus Niet maken .
Software is er nou eenmaal niet altijd voor elk OS .
En linux is voor veel mensen minder toegangkelijk .

Verwijderd @ymmv • 7 juni 2005 09:59

En de mensen waarbij ze dan wel inbreken, ja, dom, hadden ze maar hun sloten regelmatig moeten vervangen.

Dit is de verkeerde blik op de zaak. Het is namelijk niet de schuld van de mensen die hun sloten niet vervangen, het is de schuld van diegenen die de sloten maken. Was er laatst niet hilariteit over een topmerk, perperduur laptop slot dat met een bic-pen binnen 20 seconden gekraakt kon worden? Dat is een mooie analogie voor wat TRON bedoeld.

Verwijderd 5 juni 2005 11:41

Ik ben niet zo bekend met wormen & virussen (gebruik thuis geen windows en op 't werk hebben ze alles potdicht gezet), dus een paar vragen:

Als dit een email-virus is, hoe helpt een firewall daar dan tegen?

Waarom heet dit een worm? Ik dacht dat dit soort type malware een virus heet. Hij kan zich niet op eigen houtje verspreiden, je moet 'm zelf opstarten.

Werkt hij alleen onder Outlook? Of werkt hij ook met (of kan hij geschikt gemaakt worden voor) Thunderbird, Eudora etc?

Als je niet als administrator werkt, kan hij dan nog steeds "de beveiligginssettings van de PC uitschakelen"?

Titusvh @Verwijderd • 5 juni 2005 11:59

Als dit een email-virus is, hoe helpt een firewall daar dan tegen?

Al het verkeer gaat via de firewall. Sommige firewall's scannen de flow een beetje intelligent en kunnen zo virussen detecteren.
Tevens kan een firewall uitgaand verkeer tegengaan. Dus als je een worm hebt die zichzelf via internet proebert te verspreiden vanaf jouw PC.
Merk wel op dat de firewall zoals die inrouters zit vaak geen uitgaand verkeer tegen houden. Dat moet je dan toch in software oplossen.

Waarom heet dit een worm?[en geen virus]

Een virus verspreid zich normaliter via bestanden.
Een worm verspreid zich direct via netwerken (zoals internet). Vaak misbruik makend van bugs in bijvoorbeeld server software.
Als je deze posting leest zou het dus een virus kunnen heten. Maar het zet ook een backdoor open, die benadering vanaf buiten via een netwerk toestaat. Ik denk dat daarom gekozen is voor 'worm'.

Los daarvan gebruiken veel mensen het door elkaar.

MrSpacely @Titusvh • 5 juni 2005 12:18

Idd je hebt firewalls waarop je een actieve content filtertende filrewall kan installeren. (er zijn zelf velen)

Voorbeelden wingate met kasperski erop.
je hebt ook nog ipcop achtige projecten met zulke dingen (linux based)

Hierdoor kan je zelfs de domste n00b beschermen.

Zulke virusscanners kunnen ook sommige virussen vinden die nog niet bekent zijn. (door de code te lezen)

Verwijderd @MrSpacely • 5 juni 2005 13:44

Ja, maar als er tig miljoen/miljard mailtjes gescand moeten worden, worden routers/servers er echt niet sneller op!
Weet je hoeveel mail een ISP te verwerken krijgt!
Dan is 'snelheid' belangrijker dan 'veiligheid'

_JGC_ @Verwijderd • 5 juni 2005 12:34

Dit virus zorgt ervoor dat het niet uitsterft op het moment dat email niet meer mogelijk is, het ding is nml "slim" gemaakt:
- Het mailt naar alles en iedereen die het maar kan vinden op je systeem
- Het zet een backdoor open op je systeem
- Het valt andere windows PC's aan via bugs in windows die nog steeds niet gepatcht zijn door debielen die geen internetverbinding verdienen (de zgn RPC bugs, ben ik ff blij dat veel ISPs alle MS specifieke poorten dichtzetten)

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (80)

Sorteer op:

Weergave: