Virusmaker test infectie handheld via ActiveSync-verbinding

De MARA - een groep die onderzoek doet naar virussen voor mobiele apparaten - heeft van een anonieme virusbouwer het bewijs toegezonden gekregen dat het mogelijk is om een pda of mobiele telefoon via een pc te besmetten. Eerdere mobiele virussen probeerden zichzelf ook mobiel te verspreiden, bijvoorbeeld via Bluetooth, maar dat bleek in de praktijk niet goed te werken. Er zijn wel verschillende meldingen van infecties bekend, maar van een epidemie kan niet echt gesproken worden. Het 'proof of concept' dat aan de MARA werd getoond kan zich echter via internet verspreiden, net als ieder ordinair Windows-virus. Eenmaal in het register genesteld wacht het op een ActiveSync-verbinding, en zodra die gevonden wordt slaat het toe: het kopieert zichzelf naar de pda of mobiele telefoon en wist vervolgens de inhoud van 'My Documents'. Het virus is geschreven in C# met behulp van .NET, waardoor het op meerdere platforms kan draaien. Vereiste is natuurlijk wel dat het mobiele apparaat ook een smaak van Windows draait met het .NET Framework erop.

Windows Mobile - PDAAndersom werkt de infectie (nog) niet, maar de auteur van het virus voegde desondanks een onheilspellende boodschap toe aan zijn brouwsel: 'Dit virus dicht het gat tussen handhelds en desktops, nu is het één grote wereld die voor iedereen open staat.' Er is echter geen reden om in paniek te raken, want in het wild is iets dergelijks nog niet gesignaleerd. De MARA belooft de code door te gaan sturen naar antivirusbedrijven en beveiligingsexperts om te bestuderen en eventuele tegenmaatregelen te verzinnen.

Door Wouter Tinus

Feedback • 28-02-2006 18:58 33

28-02-2006 • 18:58

33

Bron: PC World

Lees meer

'Mobiele virussen gaan zich verspreiden via mms'
'Mobiele virussen gaan zich verspreiden via mms' Nieuws van 24 april 2009
Nieuwe mms-worm kan belkosten opjagen
Nieuwe mms-worm kan belkosten opjagen Nieuws van 7 augustus 2006
Steeds meer internetgebruik via de mobiele telefoon
Steeds meer internetgebruik via de mobiele telefoon Nieuws van 24 april 2006
Kaspersky: 'Groepen virusmakers in oorlog met elkaar'
Kaspersky: 'Groepen virusmakers in oorlog met elkaar' Nieuws van 6 april 2006
MMS-virus wurmt zakenwereld binnen
MMS-virus wurmt zakenwereld binnen Nieuws van 1 september 2005
Uitbraak Cabir-Bluetooth-virus op WK atletiek
Uitbraak Cabir-Bluetooth-virus op WK atletiek Nieuws van 13 augustus 2005
Eerste MMS-worm voor Symbian-platform is een feit
Eerste MMS-worm voor Symbian-platform is een feit Nieuws van 9 maart 2005
Velasco-wormschrijver is trots op zijn creatie
Velasco-wormschrijver is trots op zijn creatie Nieuws van 24 januari 2005
Eerste Symbian file infector en .lnk-virus gevonden
Eerste Symbian file infector en .lnk-virus gevonden Nieuws van 11 januari 2005
Symbian-trojan 'Skulls' duikt op in het wild
Symbian-trojan 'Skulls' duikt op in het wild Nieuws van 21 november 2004
Meer producten en artikelen
Software

Reacties (33)

-Moderatie-faq
33
33
15
5
2
8
Wijzig sortering
^Mo^ 28 februari 2006 19:00
"To run this virus you need at least the .NET framework 2.0"
Verwijderd @^Mo^28 februari 2006 20:04
Oftewel Windows Mobile 5.0
SunnieNL @Verwijderd28 februari 2006 20:16
euhm.. ik heb op mijn Windows Mobile 2003SE ook al .NET framework draaien.
marcieking @SunnieNL1 maart 2006 13:58
Maar misschien zit in WM5 al .net geintegreerd waardoor je het niet meer appart nodig hebt?
G-bird 28 februari 2006 19:27
Dit wordt een nachtmerrie voor bedrijven. Firewall in orde. Werknemers werken op een goed beveiligde terminal server en middels synchronisatie met PDA (voor de outlook agenda) wordt de hele zaak alsnog besmet.

Dit zal heel wat IT-ers hoofdpijn op gaan leveren. :(
Dubbeldrank @G-bird28 februari 2006 20:30
Ik denk dat dat opzich wel meevalt, een beetje sysadmin heeft een goed anti virus systeem op het netwerk draaien. En in het geval van een onbekend virus maakt het helemaal niet uit hoe goed en hoeveel beveiliging je hebt. Met een firewall hou je overigens geen virussen tegen, je kan wel door virussen veel gebruikte poorten blocken.
tvdleur @G-bird28 februari 2006 19:59
Och, als je weet wat de al veel gevreesdere USB pennetjes allemaal nu al mee naar binnen nemen....
Verwijderd @tvdleur28 februari 2006 20:07
En welke geheime bedrijfsgegevens daarmee weer naar buiten gaan. :(
crashmatrix 28 februari 2006 18:59
Brengt de kunst terug in het virus schrijven? :+
Eelco de V 28 februari 2006 19:06
Het 'proof of concept' dat aan de MARA werd getoond kan zich echter via internet verspreiden [...] en wist vervolgens de inhoud van 'My Documents'.

Ik vind het vrij agressief voor een 'proof of concept'. Te hopen dat het niet per ongeluk ontsnapt...
Madcat 28 februari 2006 19:03
Toch vind ik het op zich nog wel raar, want elke applicatie die ik instaleer moet ik toestemming verlenen om het te instaleren, in het artikel staat niet echt duidelijk dat diervoor geen toestemming hoeft te worden verleend.

De vraag is dus een beetje, is dit wel een virus?

En waarom alleen "my documents", dat is zo'n beetje de enige directory die mij weinig intreseert, ik zou het veel erger vinden als mijn CF zou worden gewist, of de complete agenda en contacten van zowel mijn pda als mijn pc.

edit @ GH45T
dat "bluetooth virus" was ook niet echt een virus als hij vraagt "do you want to install commwarrior" iedereen met een beetje verstand die niet te nieuwschierig is zal op nee drukken.

edit2 @ dtech
tja makkelijk op te lossen toch:
Do you want to install commwarrior
no
Do you want to install commwarrior
-> reboot / shutdown

Ik heb er zelf nooit last van gehad, maar kan me indenken dat het wel te omzeilen is als je het nog niet geinstaleerd hebt. en het alleen not maar in het volatile geheugen staat.
Maar iid het is een proof of concept, maar daarom maakt het niet minder intresant
dtech @Madcat28 februari 2006 19:45
Het enige probleem was:
"do you want to install commwarrior"
No
"do you want to install commwarrior"
No
"do you want to install commwarrior"
No
"do you want to install commwarrior"
No
"do you want to install commwarrior"
No
"do you want to install commwarrior"
No
"do you want to install commwarrior"
No
"do you want to install commwarrior"
Yes
, tja dan werkt het wel.

Hoe het met deze zit weet ik niet, maar er is vast wel een manier om het te omzeilen of het wordt op bovenstaande manier gedaan.
Bovendien is dit een "proof of contept", het is dus ook niet bedoeld als een echt virus voor in het wild, maar enkel om te laten zien wat mogelijk is.
My-life @Madcat28 februari 2006 19:05
Is het dan niet juist een virus?
GH45T @Madcat28 februari 2006 19:07
Denk je dat dat nog wat uitmaakt?

Enigste wat ik zo kan bedenken wat uit zou kunnen maken is als je als user draait en niet als administrator en dat het virus in een gedeelte van het register probeert te schrijven waar de user geen schrijffrechten heeft (alles buiten de hkey_current_user)

Je wilt helemaal niet weten wat er allemaal in het register gebeurt als jij een beetje zit te computeren, ook als je niets installeert of iets dergelijks kan er wat veranderd worden hoor.
s_sabbagh @Madcat28 februari 2006 19:39
Ik denk dat het niet veel uitmaakt of nou de My Documents folder word gewist of een andere folder... het gaat er om dat de mogelijkheid daar is dat er überhaupt iets gewist word.

Met betrekking tot toestemming geven voor het installeren van een programma... volgens mij gaat dat hier niet op, gezien het niet een programma per se betreft maar eerder een registry sleutel o.i.d.
SkyStreaker @Madcat28 februari 2006 23:34
"proof of concept" en mijn inziens al virus genoeg.
onno2 28 februari 2006 23:55
Ik vind Activesync zelf ook al als een "virus" eens een PDA aan je computer laten hangen, dan start het forever het op en WCEcomm gaat dan toch iedere keer aan je reg zitten als je afgehaald is van de RUN list.

Alles van MS wilt dezelfde doen, zichzelf ALTIJD opstarten zodat je GEEN (of heel moeilijk) een ander sync programma kan gebruiken anders dan Microsoft.

Hier heb ik meerdere PDA's en mobile liggen en ze lopen elkaar echt te vechten op het recht. Alles tegelijk laten lopen is ook niet verstandig. Na dat Activesync gestart is loop je synchronisatie ook pijnlijk langzaam, vooral als je een Divxje naar je SD wilt overzetten.

MS laat je keuze makkelijk vallen ~~~ Je hebt n.l. geen keuze. |:(
TheBlasphemer 1 maart 2006 00:22
Nou nou, poeh poeh, wat een virus.
in ActiveSync zit een functie dat je PC exes direct kan uploaden en uitvoeren naar je PDA. dit wordt onder andere gebruikt door HTC ROM Upgrades (de bootloader wordt gestart door een progje naar je PDA te sturen en uit te voeren), en door allerlei andere dingen (bijv IDA, een debugger, die een remote debugger via ActiveSync upload en uitvoert).

Als je je PDA aansluit met ActiveSync, dan is dit juist om je PC en PDA te synchroniseren. Als je dan een virus hebt op je PC, synched ie ook naar je PDA ;) Niet echt wenselijk, maar wel precies waar ActiveSync voor is.

Kortom: niet zo zeuren, kun je net zo goed al je write-access weghalen op XP, stel je voor, straks verspreid het virus zich nog naar je harde-schijven :o
Adrianb 28 februari 2006 19:06
Hebben zo'n kleine handhelds ook al registers? :/
denivan @Adrianb28 februari 2006 19:35
Natuurlijk. Ik heb zowat elke grote generatie van PocketPC gehad (2000,2002 en 2003SE) en deze hadden allen een register. Voor zover ik weet zit er standaard geen registry editor op, maar er zijn tig tooltjes gratis te downloaden om het register te editeren. Het register volgt trouwens dezelfde structuur en onderverdeling als op de desktop (bvb. HKEY_CURRENT_USER , HKEY_LOCAL_MACHINE etc..)

Ik heb jammer genoeg nooit een Palm-size PC gehad (de vorige generatie PDA's), maar ik vermoed dat deze ook gewoon een register hadden.

Bij PalmOS PDA's ligt de zaak natuurlijk wel een beetje anders (filesystem etc.).

Zie hier trouwens voor uitleg en plaatjes van de verschillende mobiele Windows operating systemen :

http://en.wikipedia.org/wiki/Pocket_PC

http://en.wikipedia.org/wiki/Palm-size_PC

http://en.wikipedia.org/wiki/Handheld_PC

Edit : zoals te verwachten net te laat met m'n reactie (pwd vergeten). Maar GH45T kan dus bevestigen dat zelfs de Handheld PC's al een register hadden.
GH45T @denivan28 februari 2006 19:47
Zoals ik al poste mijn Jornada 680 heeft een register en dat is een palm-size pc.
^Mo^ @Adrianb28 februari 2006 19:09
Het virus doet wat met het register op je desktop computer, maar misschien hebben die mobiele dingen ook wel een register, Windows Mobile is immers een soort XP lite
Killer @Adrianb28 februari 2006 19:23
Ja. En best een uitgebreide ook nog...
GH45T @Adrianb28 februari 2006 19:28
Mijn HP jornada 680 met Windows CE had al een register dus ik denk dat ze het tegenwoordig ook nog wel hebben :)
Spacecowboy @Adrianb1 maart 2006 13:33
Hij nestelt zich in het register van je PC, en wacht daar op een ActiveSynv verbinding, en springt dan over.
Eenmaal in het register genesteld wacht het op een ActiveSync-verbinding, en zodra die gevonden wordt slaat het toe: het kopieert zichzelf naar de pda of mobiele telefoon en wist vervolgens de inhoud van 'My Documents'.
Doet an sich dus niks met het register van je PDA...
Oet 28 februari 2006 19:07
Elk virus heeft een specifiek doel cq gat om te exploiten.. Gelukkig loop ik met dit voorbeeld geen risico met HotSync(palm) :) :+
The-MeLLeR 28 februari 2006 20:31
Gelukkig heb ik net het syncen van me pocket pc onder linux aan de praat :+

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq