December slechte maand voor ongediertestrijd Microsoft

Alhoewel de meeste mensen reikhalzend uitkijken naar de komst van des kerstmans arrenslee, zullen sommige Windows-gebruikers dit jaar minder goede ervaringen opdoen met het rendierenroedel uit de Noordpool. Onder de naam Dasher, gelijknamig aan één van de rendieren van de kerstman, heeft namelijk een virus het internet betreden dat naarstig op zoek is naar computers met het besturingssysteem van Microsoft. Dasher maakt daarbij gebruik van een weeffout in Microsofts Distributed Transaction Coordinator (MDTC). In oktober is er al een patch uitgekomen voor dit lek, maar bij sommige Windows 2000-gebruikers is deze update door een fout in de software niet goed geïnstalleerd. Ook Windows-installaties waarop de update MS05-051 niet geïnstalleerd is, zijn vatbaar voor het virus.

Rendier Dasher (anoniem)Dasher is in staat om toetsaanslagen te registreren en te verzenden. Daarnaast kan het geïnfecteerde systemen overnemen en laten werken in een zombienetwerk. Het virus zoekt verder naar open poorten om zich te verspreiden en probeert eventuele antivirussoftware uit te schakelen voor het zichzelf installeert. Dasher heeft in drie varianten de kop opgedoken: A, B en C. Terwijl variant A vrij ongevaarlijk is vanwege zijn instabiliteit, vormen B en C volwassen en gevaarlijke versies van het virus. Tot nu toe zijn er rond de drieduizend infecties genoteerd, waarbij opgemerkt moet worden dat de infectiesnelheid alweer afneemt.

Radmin productdoosIronisch genoeg wordt een softwarepakket dat geen bedreiging voor Windows-gebruikers vormt, juist wel tegengehouden door Microsoft. Radmin, ofwel Remote Administrator, wordt door de detectielijst van Microsoft Antispyware-software namelijk onjuist herkend als malafide software. Famatech, de maker van Radmin, heeft inmiddels aangekondigd contact op te nemen met Microsoft. Eerder ondervond Radmin ook al problemen met onterechte detectie door Symantec AntiVirus en McAfee.

Door Inge Janse

Feedback • 19-12-2005 17:40 24

19-12-2005 • 17:40

24

Lees meer

Microsoft verwacht wormuitbraak
Microsoft verwacht wormuitbraak Nieuws van 11 augustus 2006
Antivirusbedrijf raadt Mac aan
Antivirusbedrijf raadt Mac aan Nieuws van 6 juli 2006
Software biedt noodoplossing tegen exploits
Software biedt noodoplossing tegen exploits Nieuws van 1 mei 2006
Microsoft patcht tien kritieke bugs, Eolas-patch ook in update
Microsoft patcht tien kritieke bugs, Eolas-patch ook in update Nieuws van 12 april 2006
Microsoft ongelukkig met beloning voor schrijven exploit
Microsoft ongelukkig met beloning voor schrijven exploit Nieuws van 20 februari 2006
Advies: scan Windows-pc voor 3 februari vanwege worm
Advies: scan Windows-pc voor 3 februari vanwege worm Nieuws van 30 januari 2006
Microsofts reactietijd op kritieke bugs geëvalueerd
Microsofts reactietijd op kritieke bugs geëvalueerd Nieuws van 13 januari 2006
Red Hat ontstemd over 'vulnerabilitylijst' CERT
Red Hat ontstemd over 'vulnerabilitylijst' CERT Nieuws van 6 januari 2006
Microsoft vervroegt reparatie WMF-gat
Microsoft vervroegt reparatie WMF-gat Nieuws van 6 januari 2006
Nederlandse MSN-gebruikers doelwit virus
Nederlandse MSN-gebruikers doelwit virus Nieuws van 2 januari 2006
Reactiesnelheid virusbestrijders in kaart gebracht
Reactiesnelheid virusbestrijders in kaart gebracht Nieuws van 22 december 2005
Microsoft test online 'Live Safety Center' voor Windows
Microsoft test online 'Live Safety Center' voor Windows Nieuws van 9 november 2005
MS Anti-Spyware wordt uitgebouwd tot 'Windows Defender'
MS Anti-Spyware wordt uitgebouwd tot 'Windows Defender' Nieuws van 6 november 2005
'Oktober was topmaand virusproductie'
'Oktober was topmaand virusproductie' Nieuws van 1 november 2005
Microsoft jaagt op eigenaren 'zombienetwerk'
Microsoft jaagt op eigenaren 'zombienetwerk' Nieuws van 28 oktober 2005
Belgische campagne over veilig internetten van start
Belgische campagne over veilig internetten van start Nieuws van 27 oktober 2005
Zombienetwerk veel groter dan aangenomen
Zombienetwerk veel groter dan aangenomen Nieuws van 22 oktober 2005
Eerste antispywarepakket voor gsm in de maak
Eerste antispywarepakket voor gsm in de maak Nieuws van 11 oktober 2005
Microsoft komt met antivirussoftware voor bedrijven
Microsoft komt met antivirussoftware voor bedrijven Nieuws van 8 oktober 2005
Bug in Symantec AntiVirus maakt remote exploit mogelijk
Bug in Symantec AntiVirus maakt remote exploit mogelijk Nieuws van 6 oktober 2005
Meer producten en artikelen
Software

Reacties (24)

-Moderatie-faq
24
22
15
3
1
2
Wijzig sortering
Verwijderd 19 december 2005 18:31
overigens wordt in de melding van
edit:
MS AntiSpyware
bij VNC gezegd dat het gaat om een rechtmatige tool, waar wel eens misbruik van gemaakt wordt.

Ze blocken hem dus om je in ieder geval een bewuste installatiekeuze te laten maken. Installeren gaat verder prima, dus ik vind het allemaal niet zo'n probleem.
wildhagen 19 december 2005 17:48
Ironisch genoeg wordt een softwarepakket dat geen bedreiging voor Windows-gebruikers vormt, juist wel tegengehouden door Microsoft. Radmin, ofwel Remote Administrator, wordt door de detectielijst van Microsoft Antispyware-software namelijk onjuist herkend als malafide software.
Dit is dan ook één van de meer populaire tools die door hackers gebruikt worden, en als zodanig imho terecht herkend.

Hetzelfde geld voor andere door hackers gebruikte tools als WinVNC, ServU etc.
Domino @wildhagen19 december 2005 18:34
Dat het herkend wordt is volledig terecht, echter de benaming malafide software is dat niet. Veel van mijn collegae gebruiken het als remote beheer pakket, hetzij in de prive situatie(s), hetzij professioneel.
wildhagen @Domino19 december 2005 18:53
Er staat dan ook bij dat het potentieel malafide is, en dat klopt.

Zoals postmeridiem hieronder al (terecht) opmerkt dat de tool ook meld dat het een in beginsel legitieme tool is.

Als jij bewust die tool gebruik kan je hem dus gewoon op Ignore zetten en ben je er in het vervolg vanaf.
YellowOnline @wildhagen19 december 2005 20:40
Ik denk dat betrekkelijk weinig hackers dit gebruiken, gezien het niet meteen een stealth programmaatje is... . Programma's als Back Orifice zijn terzake handiger. Intussentijd wordt dat programmatje wel al een tijd door elke antivirus tegengehouden. De tol van succes ;-)
Dat Radmin als potentieel gevaarlijk aangeduid wordt is terecht gezien zijn architectuur. Maar het een populair tool voor hackers noemen lijkt me gewoon fout.
Gepetto @YellowOnline20 december 2005 08:34
Back Orifice is destijds geschreven door een hackersgroep, Cult of the Dead Cow en ik kan me niet geheel aan de indruk onttrekken dat dit programma niet 100% met de juiste bedoelingen is geschreven. Alleen al vanwege de naam welke een duidelijk sneer was naar Microsoft's Back Office.

Toch zijn er wel degelijk goed bedoelde programma's die ineens als een virus worden gezien. Zo werd mijn RC5 client ineens door Norton van een aantal systemen verwijderd omdat dit een virus zou zijn. :'(

Onlangs gebeurde weer precies hetzelfde met versie 2005 van Norton, maar als ik het goed begrepen heb zijn er inmiddels gesprekken geweest tussen Symantec en DistributedNet en is het nu opgelost.
foppe-jan 19 december 2005 17:47
Ironisch genoeg wordt een softwarepakket dat geen bedreiging voor Windows-gebruikers vormt, juist wel tegengehouden door Microsoft. Radmin, ofwel Remote Administrator, wordt door de detectielijst van Microsoft Antispyware-software namelijk onjuist herkend als malafide software. Famatech, de maker van Radmin, heeft inmiddels aangekondigd contact op te nemen met Microsoft. Eerder ondervond Radmin ook al problemen met onterechte detectie door Symantec AntiVirus en McAfee.
muah, er zijn nogal wat stukken spyware/trojans die gebruik maken van de Radmin engine..
Verwijderd 19 december 2005 21:14
En tevens is het gebruik van RAdmin, VNC of elk ander soortgelijk programma in strijd met the EULA van WinXP Home.

Maar ik denk dat het gebruik van de daemons door virus-schrijvers meer van toepassing is. VNC bijvoorbeeld is open source, dus is gemakkelijk voor zelfs een beginnende virus schrijver om deze functionaliteit dan toe te voegen.

Waar ik wel een hekel aan had, is dat het Live Safety center, een Serv-U installatie ongedaan maakte, en ServUDaemon.exe verwijderde, zonder eerst om toestemming te vragen. Daar heb ik als admin een hekel aan, ook al was het een virus geweest.

@error_: Voor XP Home is een extra licentie nodig als je met een ander pakket, zoals VNC of RAdmin een ander XP Home of XP Pro systeem wilt bedienen. Deze 'extra' licentie is niet nodig voor XP Pro, daarom kan je met een XP Pro systeem een XP Home systeem op afstand overnemen, maar niet andersom. Ik heb net de EULA opnieuw bekeken, en de bewoording is inderdaad verandert, maar als je op google kijkt, dan kan je de commotie zien die er 4 jaar terug was, over de letterlijke verwijzing dat 'remote desktop' gelijkwaardige software niet gebruikt mocht worden. Er was ook veel commotie over het feit dat de EULA het verbood om image copies aan te maken, echter die verwoording is inmiddels ook gedeeltelijk aangepast.

@TO_Tall, het gaat hier om 3rd-party programma's niet om Microsofts eigen RDP oplossing. Het is namelijk wel toegestaan om via RDP een Window 2000 of 2003 Server te bedienen, echter dan zit de benodigde 'extra' licentie in het Terminal Server pakket ingesloten. De 2003 Web Edition bijvoorbeeld komt standaard met 2 RDP licenties, 1 voor de server zelf, en 1tje extra voor het geval een WinXP Home of ander niet-EULA geschikt systeem wordt gebruikt.

Tevens is dit geen monopolie misbruik, je kan het Microsoft niet kwalijk nemen, dat ze het verbieden dat zakelijke applicatie toepassingen verboden worden op een in prijs gereduceerde versie die bedoeld is voor thuisgebruikers. Het activeren van IIS in XP Home is daarom ook in strijd met de EULA.


Maar dan hebben we het over een EULA, dit is gewoon een "we moeten ons indekken voor alle stomme rechtzaken" methode, waar vaak nooit daadwerkelijk van gebruik wordt gemaakt, tenzij er grof geld mee verdient wordt. Microsoft gaat wel achter een bedrijf aan als Getronics als die computer netwerken gaat bouwen voor bedrijven met een gemanipuleerde XP Home versie in een netwerk omgeving, maar niet achter Klaas Kip die VNC gebruikt om vanaf zijn werk de computer thuis te bedienen.
Verwijderd @Verwijderd19 december 2005 21:36
Haha, dus volgens jou mag je op windows XP Home geen VNC server (en/of client ?) instaleren want dan ben je in overtreding ?

Zou wel heel erg grappig zijn. Dat is zoals zeggen; je mag enkel dit bier van merk X drinken als je het ook op een onderlegger van merk X zet.
Verwijderd @Verwijderd19 december 2005 21:54
jouw vergelijking klopt van geen kant... zoals jij het zegt zou je dus alleen remote desktop die in windows zit mogen gebruiken, maar aangezien het hier om een home versie van windows gaan, en aangezien er in de home versie geen remote desktop zit, klopt het dus niet. Het is de bedoeling van Windows Home dat je hem voor normaal thuisgebruik gebruikt, volgens microsoft hoort remote desktoppen daar niet bij (mijn mening is anders, maar ik begrijp hun standpunt wel)
To_Tall @Verwijderd19 december 2005 23:33
en wat jij zegt klopt ook niet!!

Remote Desktop is ingebakken in de PRO versie en niet beschikbaar voor de HOME editie..

VNC is een extern pakket dat remote beheer toestaat..

wat jullie hierboven verkondigen is dat remote beheer tools zoals VNC verboden zijn voor de HOME versie's. dat houd in dat windows messenger ook geen remote beheer mag gebruiken.
zolang je de tools van de PRO versie niet gebruikt in de HOME versie en dat doet VNC niet mag je 3party software gewoon remote beheer instaleren.!!

edit :+

zou wel kneuzig zijn als MS 3party software gaat verbieden!!
blouweKip @Verwijderd20 december 2005 00:10
ongeacht waar MS hun pakket voor bedoeld heeft: een eula is maar zelden ook geldig, uit eigen ervaring weet ik dat zelfs MS en de resellers zich niet aan de eula houden dus ik zou me er zeker niet zo druk over maken ;)
Opa 19 december 2005 17:44
Radmin kan "silent" geïnstalleerd worden, zonder dat er op de bestuurde pc iets als een tray icon te merken valt en is op die grond als backdoor gecategoriseerd denk ik.
cyspoz @Opa19 december 2005 23:17
Precies, bovendien kunnen de bestanden van Remote Administrator ook worden misbruikt door een ander programma. Symantec Antivirus Corporate 9 & 10 markeren deze bestanden ook als een mogelijke thread.
Verwijderd @Opa19 december 2005 17:48
Dat is het probleem niet met RAdmin, een gewone server installatie met een zichtbaar icoon word ook geblocked door McBeffie. Net als mIRC, en vele andere programma's. Gelukkig heb ik daar nooit last van met Norman.
Mathijs 19 december 2005 23:03
Dit artikel is mooi in strijd met die mooie microsoft advertentie die af en toe de kop opsteekt op tweakers.net.

Was iets met wij geven de trojans geen kans, en was een advertentie van Microsoft.

Ik moest toen ik dat zag wel een beetje lachen. ;)
HooGLaNDeR 20 december 2005 08:17
Kaspersky gaat ook over zijn nek van Radmin :?
Daar moet ik het programma ook op de uitzonderingen lijst zetten om het niet te laten verwijderen.
ThomVis 20 december 2005 09:25
En volgens Symantec is de W32.Dasher.D variant ook al uit.
Verwijderd 21 december 2005 13:43
Dasher maakt daarbij gebruik van een weeffout in Microsofts Distributed Transaction Coordinator (MDTC).
Mss wel een beetje onnodig om te zeggen, maar tis MSDTC en geen MDTC.
Smoke @Verwijderd19 december 2005 22:54
Ze hebben het recht niet om deze software als virus te markeren, het recht wat ze wel hebben is om eens achter ECHTE virussen en wormen aan te gaan in plaats van deze bullshit tijdverspilling waar mensen die dit soort programma's ook nog ns legaal gebruiken ook hinder van hebben...
Als je nou eens eerst de andere reacties had gelezen, had je gezien dat het programma als POTENTIEEL malafide software wordt aangemerkt omdat het gebruikt kan worden door verschillende hacktools en trojans.

Oftewel: Je zit voor niks te flamen ;).

Lezen is schijnbaar nog altijd een vak...

Respect krijg je niet hiervoor, je wordt gewoon uitgelachen. Als ik zo de rest van je reacties zie moet je dat nu onderhand wel gewend zijn ;). Ik zou je dus hierbij willen adviseren om eerst na te denken voordat je op die reageer-knop ramt.
alt-92 @Verwijderd19 december 2005 19:45
Hoop je nou respect te oogsten met dit soort uitlatingen of heb je echt oogkleppen op?
blouweKip @Verwijderd20 december 2005 00:08
wow, ik wist niet dat de emoties zo hoog konden oplopen bij warez kiddies ;)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq