Bezorgdheid om toename aanvallen op IM-netwerken

Beveiligingsbedrijven waarschuwen dat de groei van geëxploiteerde kwetsbaarheden in instantmessagingsoftware uiteindelijk een worm kan voortbrengen die binnen enkele seconden enkele honderdduizenden slachtoffers zal eisen. Volgens een van die bedrijven, IMlogic, is de hoeveelheid aanvallen via messagingapplicaties in september met dertig procent toegenomen. Daarbij is ook de aard van de aanvallen veranderd; waar tot zes weken geleden de hackers voornamelijk keyloggers en adware installeerden, worden nu virusscanners uitgeschakeld en persoonlijke informatie ontfutseld van nietswetende chatters. Vorige maand zijn er ook al aanvallen geweest met rootkits. Een rootkit is een speciaal soort malware dat de systeembestanden van een pc aanpast en zo zijn eigen processen onzichtbaar kan maken voor de systeemaanroepen van andere programma's, waaronder virusscanners, taakbeheer en verkenner.

Tot nu toe vergen de IM-wormen interactie met de gebruiker om de eerste stap te zetten richting een infectie. Vaak is dat het aanklikken van een link in een berichtje dat van een andere geïnfecteerde gebruiker komt. IMlogic denkt echter dat het een kwestie van tijd is voordat de eerste worm opduikt die volledig geautomatiseerd is en binnen korte tijd een groot gedeelte van het netwerk weet te infecteren. In 2003 deed Symantec een onderzoek naar de impact van een soortgelijke worm op een gesimuleerd netwerk. Het virtuele beest wist binnen dertig seconden 500.000 systemen binnen te dringen. Een van de methoden om dit type wormen tegen te gaan is het in de gaten houden van het gedrag van de verschillende IM-clients op een netwerk. Zodra een chatprogramma zichzelf verdacht gedraagt, kan het toegang worden geweigerd tot de rest van het netwerk en in quarantaine worden geplaatst.

MSN Worm

Door Bart Veldstra

Freelance Nieuwsposter

Feedback • 02-11-2005 23:17 29

02-11-2005 • 23:17

29

Bron: TechWeb

Lees meer

Nieuwe MSN-wormen richten zich op Nederlanders
Nieuwe MSN-wormen richten zich op Nederlanders Nieuws van 28 september 2006
'Wormhole' in Symantec AntiVirus ontdekt
'Wormhole' in Symantec AntiVirus ontdekt Nieuws van 26 mei 2006
Yahoo Messenger-worm installeert eigen webbrowser
Yahoo Messenger-worm installeert eigen webbrowser Nieuws van 22 mei 2006
MSN Messenger-worm verwacht vanwege phishingsite
MSN Messenger-worm verwacht vanwege phishingsite Nieuws van 2 mei 2006
'Oktober was topmaand virusproductie'
'Oktober was topmaand virusproductie' Nieuws van 1 november 2005
Beveiligde Sony-cd verstopt bestanden op pc
Beveiligde Sony-cd verstopt bestanden op pc Nieuws van 1 november 2005
Blizzard: maker van spyware of van een betere wereld?
Blizzard: maker van spyware of van een betere wereld? Nieuws van 31 oktober 2005
Microsoft jaagt op eigenaren 'zombienetwerk'
Microsoft jaagt op eigenaren 'zombienetwerk' Nieuws van 28 oktober 2005
Belgische campagne over veilig internetten van start
Belgische campagne over veilig internetten van start Nieuws van 27 oktober 2005
Aantal geregistreerde phishing-sites weer afgenomen
Aantal geregistreerde phishing-sites weer afgenomen Nieuws van 18 oktober 2005
'Meeste spam komt nog altijd uit de VS'
'Meeste spam komt nog altijd uit de VS' Nieuws van 14 oktober 2005
Sysinternals brengt tool uit om rootkits in Windows te vinden
Sysinternals brengt tool uit om rootkits in Windows te vinden Nieuws van 24 februari 2005
Microsoft maakt zich zorgen om rootkits voor Windows
Microsoft maakt zich zorgen om rootkits voor Windows Nieuws van 19 februari 2005
Simulatie liet IM-worm 500.000 pc's besmetten
Simulatie liet IM-worm 500.000 pc's besmetten Nieuws van 4 oktober 2003
Meer producten en artikelen
Bedrijfsnieuws

Reacties (29)

-Moderatie-faq
29
28
21
7
0
3
Wijzig sortering

Sorteer op:

Weergave:
Tha_Butcha 2 november 2005 23:51
lijkt me van niet
maar de malloten en breezahsletjes die gewoon overal op klikken zijn meestal ook niet zo slim om een gewone user account aan te maken.
da_Mastah @Tha_Butcha3 november 2005 00:08
Of zo slim om gewoon te jabberen :)
Apie! @da_Mastah3 november 2005 08:17
Volgens mij is het niets meer dan een kwestie van tijd totdat er een exploit voor dat netwerk wordt gevonden en misbruikt. Dus eerlijk gezegd snap ik in deze context het 'slimme' van jabberen niet zo :?
da_Mastah @Apie!3 november 2005 09:29
nee, punt van jabber is juist dat het netwerk een open protocol heeft. Daardoor worden er tig verschillende clients gebruikt itt MSN waaar 90% van de mensen ofzo de officiele MSN client gebruikt.
Hierdoor kan er nooit een explot in 1 bepaalde client direct iedereen besmetten
Apie! @Apie!3 november 2005 13:08
Ik weet wat Jabber is (doh) en met een exploit voor 1 type client kan je in theorie alle clients (van dat type) in het netwerk besmetten. Dan besmet je wel niet het hele Jabber netwerk, maar toch. Dat is imo dus gewoon een kwestie van verschillende exploits voor verschillende jabber clients maken, maar indirect zei je dat zelf ook al :)

Verder kan ik me best een scenario voorstellen dat iemand z'n eigen client bouwt die, afhankelijk van iemand anders z'n type client, de juiste exploit op 'm afstuurt.

Het feit dat er een open protocol wordt gebruikt, en er daardoor verschillende clients op het netwerk zitten maakt je natuurlijk niet immuun voor dit soort attacks.
shytah 2 november 2005 23:46
Owkee, hier een tip om de kans op infectie met factor 100 te verkleinen: Gooi alle breezersletjes uit je lijst, scheelt je een hoop onnodige berichtjes met vage links/bestanden die automatisch verstuurd worden :o

edit: natuurlijk ben je zelf eindgebruiker, maar als dit proces geheel geautomatiseerd word dan is het maar beter om mijn tip te volgen ;)
SWINX @shytah3 november 2005 01:51
Dan kun je MSN dus beter uit laten staan.
Kom op zeg, je klikt toch niet op een link die eindigd in .pif met een of ander vaag tekstje eromheen??
locke960 @shytah3 november 2005 20:08
Gooi alle breezersletjes uit je lijst

Eeuh, zijn die niet de enige reden om uberhaupt MSN te draaien ? :P
PipoDeClown 3 november 2005 07:59
uhm een link die je aanklikt opent toch gewoon in je internetbrowser of geassocieerd programma?

wat is hierin de rol van je im behalve dat het het doorgeefluik is voor die link en je browser of geassocieerde programma voor de content?
Verwijderd @PipoDeClown3 november 2005 10:50
Lees het artikel eerst eens en kijk daarbij niet alleen naar het plaatje...
Robinski 2 november 2005 23:30
als dit soort wormen gaan komen, en die kans lijkt mij vrij groot, en verschillenden IM aanbieders koppelen hun netwerk, zoals Microsoft en Yahoo, dan krijgen we net als met de Vogelgriep een snel verspreidende Pandamie straks.
Verwijderd 2 november 2005 23:46
Mocht je onder XP, een zo'n gebruiker zonder rechten oid, dan kan dit toch niet geinstalleerd worden? of zie ik dat fout?
Sfynx @Verwijderd3 november 2005 11:57
Inderdaad, fratsen als rootkits of het uitschakelen van scanners, etc. kunnen dan niet, omdat de malware dan ook draait in de context van de normale user. Dit is dan ook de enige goede oplossing hiertegen, ervanuit gaan dat een programma zo lek is als een gatenkaas (worst case scenario) en het daarom met zo weinig mogelijk rechten draaien (security op OS-niveau).

Helaas heeft de meerderheid van de computergebruikers geen benul van security en Windows helpt deze mensen hier niet bepaald mee. Een OS als Mac OS X lost dit mooi op door gewoon voor iedere handeling waarvoor adminrechten nodig zijn het password te vragen en vervolgens alleen die handeling uit te voeren. Zomaar het complete systeem met die rechten laten draaien is dan al een stuk lastiger, en zal een n00b dus niet gauw doen.
418O2 2 november 2005 23:25
Sja.. het is natuurlijk kinderlijk makkelijk om op deze manier virii te verspreiden. En aangezien er veel naievelingen IM's gebruiken gaat het dan heel snel..
dasiro @418O23 november 2005 00:48
het gaat om de geautomatiseerde worm en niet om de human error (en nee het gebruik van windows is geen human error)
Verwijderd @dasiro3 november 2005 01:11
wel dus: verkeerde keus

// Abilty to choose make humas better. Fate, it seems, is not without a sense of irony. //
4VAlien @Verwijderd3 november 2005 01:36
@iyanic:

Als een ander platform een grotere populariteit had, zou dat het doelwit zijn van de virusmakers. Tevens kunnen IM wormen al hun kunstjes gewoon in userspace doen (Het gaat ze immers om -jouw- data + contacts, en die staan ook onder *nix onder jouw account), dus is een ander type OS niet veiliger.
BoekaBart @Verwijderd3 november 2005 10:36
@Terracotta:
Nou voor de schaal maakt het niet veel uit, stel dat er 5 platforms zijn dan is de schade dus hooguit 5 keer zo klein, is niet echt 'significant' te noemen. (500.000 of 100.000 in 10 seconden is allebei net zo erg)
Terracotta @Verwijderd3 november 2005 10:18
Het gaat niet om het gebruik van een ander platform, het gaat om het gebruik van VERSCHILLENDE platformen. Dat is het enige middel om de schade te beperken.
freaky @Verwijderd3 november 2005 15:16
Verschillende clients voor hetzelfde netwerk zou in dit geval al voldoende moeten zijn (w/o human stupidity).
418O2 @dasiro3 november 2005 06:56
Tot nu toe vergen de IM-wormen interactie met de gebruiker om de eerste stap te zetten richting een infectie. Vaak is dat het aanklikken van een link in een berichtje dat van een andere geïnfecteerde gebruiker komt.
Er is bezorgd gereageerd op de toename van aanvallen. Dus iets uit het verleden wat eventueel tot in het heden speelt. Iets verderop lezen we
IMlogic denkt echter dat het een kwestie van tijd is voordat de eerste worm opduikt die volledig geautomatiseerd is en binnen korte tijd een groot gedeelte van het netwerk weet te infecteren.
in die toekomst vrezen ze dus voor een 'geautomatiseerde worm'
xbassiex @418O23 november 2005 15:52
Precies, br33z4h sletjes klikken op elke link die ze zien :+
Sorcerer8472 3 november 2005 00:48
Zodra een chatprogramma zichzelf verdacht gedraagt, kan het toegang worden geweigerd tot de rest van het netwerk en in quarantaine worden geplaatst.
Antivirusoplossingen in de servers. Goed heuristisch te doen ook, zoiets :) Kost je een bom aan cpu-cycles (en geld om op te zetten) maar dan heb je ook wat :+
Verwijderd 3 november 2005 08:31
Nou, zo een vaart zal het wel niet lopen. Vergeet niet dat dit bericht komt van een beveiligingsfirrma. Hoe meer schrik ze zaaien, hoe meer €€ ze oogsten.


Net zoals het _onderzoek_ gaan ze uit van aannames en theoriën .
Verwijderd 3 november 2005 10:50
Overleving van de sterksten :P.

Alle n00bjes zullen niet meer kunnen chatten, blijven alleen de 1337 mensen over :+ :+
appies 3 november 2005 00:14
Of gewoon lekker online msnén/imén, via webmsn of een ander alternatief. Welkom o.a. live.nl, al dat serverside gebeuren kan zulke onzin wederom enorm elimineren.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq