Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 31 reacties

Mikko Hypponen, leidinggevend onderzoeker van F-Secure, heeft in zijn blog geschreven dat het bedrijf er achter is gekomen hoe het Sober-virus aan zijn updates komt. Het was al een tijd bekend dat de malware code bevat die vanaf een bepaalde datum op speciale url's zoekt naar een update, maar het achterhalen van het algoritme achter de wisselende websites liet tot mei dit jaar op zich wachten. De reden dat het bedrijf nu pas publiek gaat met de vondst was dat er gevreesd werd dat de virusschrijver zijn algoritme zou aanpassen en zo alsnog de doorbraak in de zaak teniet zou doen. Wel zijn de Duitse overheid en de betrokken ISP's geïnformeerd over de werkwijze van het programma.

Computer virusHet algoritme is gebaseerd op de datum waarop het virus kijkt naar updates. Per twee weken genereert het een aantal urls die vervolgens periodiek worden gecontroleerd op updates. Meestal bestaan de websites niet en in dat geval blijft het virus in rust tot de volgende check. De bedenker van het virus kan vervolgens uitrekenen op welke dag welke websites worden bezocht, en op één daarvan een update plaatsen. Zodra die dag langskomt, zullen alle geïnfecteerde computers massaal de lijst met sites afgaan en vanzelf de nieuwe code aantreffen en gaan toepassen. Volgens iDefense zal de eerste controle op 5 januari vallen, de dag waarop 87 jaar geleden de eerste Nazi-partij werd opgericht. De dag daarna zal meteen de reeks urls worden aangepast, als begin van het interval van 14 dagen. In de geschiedenis is Sober nogal eens gebruikt door rechtsextremistische partijen om hun propaganda te verspreiden. De voorgaande data waarop het virus actief werd vielen ook samen met belangrijke gebeurtenissen in het verleden van de fascistische wereld.

Moderatie-faq Wijzig weergave

Reacties (31)

Het klinkt cru maar chappoo voor de virusschrijver.
Die gaat wellicht een grote toekomst tegemoet.
Zucht, daar gaan we weer:
Dat jij hiervan onder de indruk bent, zegt meer over jou dan over de technische kwaliteiten van deze script kiddies.

Een virus schrijven is niet moeilijk, zelfs niet met updater en encryptie. Een lokale sigarenboer overvallen is ook niet moeilijk. Van allen mensen die dit kunnen zijn er maar weinig mensen die het ook doen.
Ik vraag me af of het wat zegt over zijn kunnen of over jouw inschattings vermogen. Hoewel met een virus niks goeds wordt gedaan zijn somige ervan een behoorlijk stuk aan programeer werk.

Een anti-virus bedrijf met hun reverse-engineers kan je niet makkelijk een aantal maanden bezig houden, zeker een "script kiddy" niet. Deze komen vaak niet verder dan een vbs'je of het aanpassen van een bestaande rootkit.

Je hoeft het niet te waarderen wat die persoon gemaakt heeft, maar het is zeker geen script kiddy werk. En ik weet zeker dat niet 'zoveel' mensen dit daadwerkelijk ook kunnen.
Jah, hij mag zijn mede gevangene vertellen hoe hij het gebouwd heeft... achter de tralies :+
Hij krijgt waarschijnlijk een leuk baantje bij een anti-virus bedrijf.
met een leuk salaris, en zijn borgsom o.i.d. zal ook voor hem betaald worden

(edit; lang zal hij iniedergeval niet zitten)
Hij krijgt waarschijnlijk een leuk baantje bij een anti-virus bedrijf.
Ik denk niet dat er veel anti-virus bedrijven iemand willen aannemen waarvan bekend is dat hij verantwoordelijk is voor Nazi-achtige spam. Ook gezien het feit dat de schrijver nazi-sentimenten heeft (de update vind plaatst op de verjaardag van de opriching van de eerste Nazi-partij - geen bijzondere leap of imaginition) denk ik niet dat de schrijver in kwestie op steun uit die hoek mag rekenen.
(edit; lang zal hij iniedergeval niet zitten)
Nou... in theorie kan het zijn dat er uitlevering wordt gevraagd door bijvoorbeeld Amerika, omdat hij in dat land grote economische schade heeft aangericht. En we weten allemaal hoe Amerika denkt over Nazi's.

Stel: de persoon in kwestie is duits of oosterijks (de landen waar het Nazi-dom dan wel begonnen is, dan wel nog steeds volgelingen heeft - en de taal van de nazi-spam was ook duits), dan wordt hij aangeklaagt (en hopelijk veroordeeld) op meerdere punten.

- moedwillig schrijven van code die computer security probeert te omzeilen
- het verspreiden van racisme / verheerlijken van racisme
- lidmaatschap van een criminele organisatie (als bewezen dat hij/zij een Nazi is).

Dat komt je op niet al te frisse straffen te staan. Als Amerika vervolgens om uitlevering vraagt voor berechting daar, en dat is *heel* goed mogelijk, dan wacht hem/haar daar nog eens een hele leuke straf.
Right now, none of these URLs exist. If they are to be used, the virus writer will register them just before the activation.
Kunnen ze niet freewebs & arcor lief aankijken en zorgen dat ze niet geactiveerd worden? :)
ze staan al gereserveerd voor de schrijver.
als de host even meewerkt dan kan die helpen de gegevens door te geven (naam+mail+ip e.d.) van die persoon.
vergelijk de lijsten
en een naam zal blijven vallen.


ps. wat heeft 5 januari 1918 er mee te maken?
hebben we nou meteen vooroordelen over het virus schrijver dat hij een rascist is?
Hoe willen ze dat doen als hij het op een openbare pc lanceerd? Als het echt een pro is, komen wij nooit achter zijn IP/Adres.
Hoe willen ze dat doen als hij het op een openbare pc lanceerd? Als het echt een pro is, komen wij nooit achter zijn IP/Adres.
Simpel: oren en ogen open houden. Vroeg of laat maakt zo iemand altijd een fout. Bij conventionele criminelen noemen ze dat ook wel ' going blabby', en aangezien virusschrijvers soms ook regelrechte opscheppers zijn is het goed mogelijk dat op die manier jusitie erachter komt wie het zou kunnen zijn. Vervolgens is het een kwestie van in de gaten houden.
Op 5 januari 2005 is ook de doodsoorzaak van Toetanchamon ontdekt, aldus WikiPedia.

Misschien wilde de virusschrijver wel niet dat dit ontdekt werd...

Oftewel: 't is inderdaad wel erg insinuerend.
De virusmaker kan natuurlijk ook een groot Lingo fan zijn....


1989 - De eerste uitzending van het tv-spelletje Lingo. Presentator is Robert ten Brink.
FSecure:
Last thing: Several earlier Sober variants (most notably Sober.Q) have been sending out neonazi propaganda messages. According to iDefense, the activation date of January 5th is an anniversary date for the nazi party.
hebben we nou meteen vooroordelen over het virus schrijver dat hij een rascist is?
Lijkt er dus wel op!
Maar dat stukje tekst, dat dat feitje over 5 januari relevant maakt, staat niet in deze nieuwspost. In deze nieuwspost is dat feitje dus niet relevant en un1ty's opmerking is dus volkomen begrijpelijk.
sober is al eerder gebruikt om nazi-spam te versturen (meerdere malen geloof ik)
Als die hosts nou een beetje slim zijn kijken ze gewoon op de belangrijke dagen uit de geschiedenis of er ineens veel bandbreedte gebruikt wordt en de volgende dag niet meer dan is het bijna zeker dat daar bestanden van het sober virus op gehost worden :*). Tjakka ... gegevens pakken en aangeven bij de pliesie }>.
ja tuurlijk controleer even elke server op het internet of er toevallig die dag veel data op word verstookt, doe je ongeveer maar 300 jaar over om die gegevens te analyseren ;)
heheheh jha misschien kun je zwe even helpen |:(
Wikipedia:

January 5 is the 5th day of the year in the Gregorian calendar. 360 days (361 in leap years) remain in the year after this day.

Hmmm.... klinkt ook niet best
Bedoel je te zeggen dat de cirkel daarmee rond is? (behalve in schrikkeljaren)
of heeft 't iets met xboxen te maken :+
Dat vind ik nou echt beledigend en suggestief. Misschien gebruikt de maker helemaal geen Gregoriaanse kalender maar bv de chinese. Of zelf eentje die helemaal niet in zonnejaren telt.
Wat is daar mis mee? Dat is toch logisch..?
Precies... De Gregoriaanse kalender. :?

Volgens mij is dat onze eigen kalender. Ik snap niet zo goed waarom je dat nu aanhaalt. Heeft weinig te maken met het onderwerp. |:(

Of was het een grapje?

Hoe dan ook... Ik hoop dat met deze informatie kan worden voorkomen dat er straks toch weer van alles gaat gebeuren met SOBER. Al weet ik niet precies hoe de schrijver deze updates moet gaan realiseren aangezien hij is opgepakt.
Al weet ik niet precies hoe de schrijver deze updates moet gaan realiseren aangezien hij is opgepakt.
Je weet niet hoeveel vriendjes/bewonderaars hij heeft die het voor hem over willen nemen...
Nu de virusschrijver dit ook weet, gaat hij geen update plaatsen.
In plaats van te kijken wie er een update plaatst, zelf een update op de site plaatsen die alle geinfecteerde pc's vrijmaakt van deze rotzooi.

ps. chapeua voor de innovatieve insteek, ik geloof niet dat er eerder een virus was die op deze manier update's binnenhaalde.
Nee. Die gaat als de bliksem het land uit. (als ie al niet in de cel zit).
Hij heeft zijn naam geregistreerd om die domeinen te krijgen. Dus hij is nu bekend.

OF hij lacht zich nu te pletter omdat hij een gejatte identiteit gebruikte, die nu opgepakt gaat worden.
Wikipedia:

January 5 is the 5th day of the year in the Gregorian calendar. 360 days (361 in leap years) remain in the year after this day.

Hmmm.... klinkt ook niet best
moeten we maar snel veranderen dan..dat er nog 360 dagen overblijven na 5 januari...misschien is het beter als er 360 dagen over blijven na...17 augustus?
Wie zal het zeggen.


Kortom, klinkt me gewoon als waarheid in de oren, mij best :)
Ik moet toch zeggen dat ik deze methode van updaten best inventief vind. Wellicht dat updaten via een p2p netwerk en nog betere en gemakkelijker methode is (voor de virusschrijver). Maar goed, laten we geen mensen op ideeen brengen :z

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True