MS Word-gebruikers bedreigd door vulnerability

eWeek meldt dat een tot nu toe onbekende fout in Microsoft Word is uitgebuit door hackers, waardoor zij volledige toegang tot een Windows-systeem krijgen. De aanval is bij een anoniem bedrijf in de praktijk gebracht en begint met het versturen van een e-mail met een geïnfecteerd .doc-bestand. De headers van het e-mailtje zijn aangepast waardoor het lijkt dat het e-mailtje afkomstig is van binnen het bedrijf. Wanneer de gebruiker het .doc-bestand opent, buit de hack de voorheen onbekende fout uit en infecteert het een zelfs volledig gepatcht Windows-systeem. De exploit haalt een trojan uit het Word-document, start de trojan en overschrijft het document met een schone kopie. Het openen van het bestand laat Word crashen en wanneer de gebruiker het bestand opnieuw wil openen, is het bestand reeds overschreven met de schone kopie en werkt het zonder problemen.

Trojan horse Microsoft is inmiddels op de hoogte gesteld van de problemen. Experts wijzen erop dat deze hack zeer geavanceerd is. De exploit laat een backdoor achter en verbergt zichzelf met rootkit-achtige maatregelen tegen detectie door virusscanners. De backdoor neemt contact op met een server in China om informatie over het geïnfecteerde systeem door te geven. De aanvaller krijgt de mogelijkheid om bestanden en directories te maken, lezen, wijzigen, verwijderen en te doorzoeken. Daarnaast kan de hacker het register wijzigen, services aanpassen, processen starten en te stoppen, screenshots maken, een overzicht krijgen van openstaande vensters, eigen applicatiewindows te starten en tenslotte Windows 'locken', opnieuw opstarten of afsluiten. Volgens Symantec is alleen Word 2003 kwetsbaar op dit moment. Word 2000 crasht weliswaar, maar de shell-code wordt niet uitgevoerd. De aanval lijkt sterk op bedrijfsspionage aldus een expert. Tot op heden is slechts bekend dat één bedrijf op zeer specifieke wijze is aangevallen en de wijze waarop de exploit informatie verzamelt, doet vermoeden dat de exploit gebruikt wordt voor spionagepraktijken.

Reacties (53)

Tyrian 20 mei 2006 11:18

En dan te bedenken dat er maar weinig bedrijven zijn die elke losse patch voor Office installeren. Vaak worden in het beste geval alleen de grote service releases uitgerold, en nog vaker blijft het bij de versie die op de CD staat.

Gelukkig verwacht ik dat de anti-virusprogramma's de geïnfecteerde Word documenten snel kunnen herkennen waardoor de real-time virusscanner hem wel zal tegenhouden.

Parasietje 20 mei 2006 11:44

Ach, er wordt toch sowieso teveel met Word-documenten gewerkt.
Mensen moeten leren dat plaintext ook makkelijk leesbaar is. Veel van de informatie die wordt doorgestuurd, kan beter ofwel in cleartext, ofwel in PDF. Het is maar zelden dat ik zei: "He, het is nu best handig dat dit in word staat."

TLer 20 mei 2006 10:40

Ik blijf mij er over verbazen hoe 1 applicatie fout zoveel in een besturing systeem kan aanpassen/besturen/ect.. Dit geeft wederom aan dat er iets fundamenteels fout is in Windows.

Maar zoals het artikel zegt lijkt dit erg veel op bedrijfs spionage. Te meer omdat het emailtje aangepast is om intern te lijken. Er wordt veel moeite gedaan om zoveel mogelijk systemen binnen een bedrijf te raken.

Tijger @TLer • 20 mei 2006 11:24

Waarom volstaat een simpele URL in Word of Powerpoint al in OS X?
http://arstechnica.com/journals/apple.ars/2006/5/18/4030

Als *nix zo perfect is, waarom komen rootkits dan vooral voor bij *nix?

Verwijderd @Tijger • 20 mei 2006 11:38

Als *nix zo perfect is, waarom komen rootkits dan vooral voor bij *nix?

Misschien omdat in *nix de gebruiker standaard GEEN root is en er dus op een andere manier root rechten verkregen moeten worden. In Windows is de gebruiker 9 van de 10 keer WEL administrator en is de rootkit overbodig: enkel toegang tot het systeem is dan voldoende om alles te kunnen regelen.

Tijger @Verwijderd • 21 mei 2006 02:00

Mjah, verklaart nog steeds het bestaan niet van de vele rootkits voor *nix.

Mathijs @Tijger • 20 mei 2006 12:01

Waarom bestaan jouw voorbeelden uit MS software die op dat andere OS draaien?

Tijger @Mathijs • 21 mei 2006 01:58

Ach, het was een voorbeeld dat ik bij de hand had, hetzelfde werkt namelijk ook met andere programma's waarin clickbare URL's gebruikt kunnen worden.

Verwijderd @TLer • 20 mei 2006 11:39

Naar mijn mening zit het hoofdprobleem in de verwevenheid van explorer.exe met internet explorer en de Office programma's. Hetzelfde programma dat Windows doet draaien word ook gebruikt voor internet en Office. Het is toch ook nergens voor nodig om het internet te kunnen browsen met Word of Exel, of met Windows verkenner? Als daar gescheiden processen voor waren zag het er al een stuk beter uit.

Blokker_1999

@TLer • 20 mei 2006 10:46

imho als een fout zoals deze zich voordeed in een *nix achtig systeem dan waren de gevolgen evengroot. Ook dan zou het trojan zich kunnen aanmelden bij die chinese server, ook dan zou het bestanden waartoe de gebruiker toegang heeft kunnen overschrijven of lezen, ook dan zou het screenshots kunnen maken en sturen.

iKiddo @Blokker_1999 • 20 mei 2006 11:13

Als je alleen root-user de beschikking geeft over chmod levert deze exploit al niets meer op.
Zoiezo kan onder *n?x zonder root-privileges volgens mij een rootkit geinstalleerd worden...

Verwijderd @TLer • 22 mei 2006 11:37

@TLer:

Ik blijf mij er over verbazen hoe 1 applicatie fout zoveel in een besturing systeem kan aanpassen/besturen/ect.. Dit geeft wederom aan dat er iets fundamenteels fout is in Windows.

In windows is niks fundementeels fout. Wel eens iets voor Windows geprogrammeerd? Windows NT en hoger werkt gewoon met security, tot op Thread niveau toe. Als een gebruiker onvoldoende rechten heeft om zelfs een threadobject te maken kan dat ook niet. Dat geldt voor objecten binnen het OS wat maar security verlangt. Dat er mensen zijn die een process opstarten met admin rechten is niet het probleem van Windows maar van de beheerder. Je moet het gewoon zo zien: *nix en Windows hebben nagenoeg een identieke security filosofie waarbij de implementatie alleen verschilt. Wanneer je onder `root` onder *nix gaat webbrowsen en je krijgt een troian binnen dan heb je een probleem. Onder Windows evenzo. Zou je Windows echter gebruiken zoals onder *nix het geval is, met goed ingeregelde priveleges dan is het net zo dicht. Gaten in Windows (op OS bugs na) zijn altijd de fout van de beheerder, net zoals onder *nix.

Zie het zo, *nix is kluis type A, Windows is kluis type B.
Gebruikers en beheerders van kluis type "A" zijn over het algemeen netter dan die van type "B". Zij doen altijd netjes de deur dicht, zorgen voor een goede "code" op de deur. Gebruikers van kluis type "A" laten de deur altijd open staan, veranderen de code voor de deur nooit, laten het zelfs op default staan. Wanneer je kluis type "A" beheerders/gebruikers nu met kluis type "B" laat werken dan gaan zij het gedrag vertonen van "B" gebruikers en zeggen dan "Dit type kluis is niet veilig". Wanneer je andersom, kluis type "B" gebruikers met kluis type "A" laat werken, dan schieten ze in de stress want het is allemaal moeilijk en moeten ze opeens nadenken en volgens procedures werken. Kortom, het ligt niet aan het type kluis maar aan de gebruiker ervan.

@Van:

Als daar gescheiden processen voor waren zag het er al een stuk beter uit.

Het zijn ook gescheiden processen. Alleen draaien de "childs" in het zelfde security space als de "parent". Dat wil zeggen dat als de parent al met te veel rechten draait, zal het child dit ook doen. Een klein voorbeeld:

Gebruiker logt in met "Administrator" rechten. Gebruiker start "Internet Explorer" op en laat dit open staan. Alles wat in deze instance van Internet Explorer gedaan wordt geschied onder "Administrator" rechten. We noemen dit IEvA. Nu maken we op de desktop een shortcut aan naar WinWord. We laten Winword met andere credentials opstarten (RunAs). Dit zijn Guest equivalent rechten. We starten deze WinWord op en starten vanuit WinWord een URL op. Wat er n u gebeurt is dat het nieuwe IE venster opeens bijna niks meer kan op de PC, deze heeft nl. de rechten geerft van WinWord. We noemen dit IEvG. Wanneer we nu naar IEvA en IEvG kijken is dat IEvA alles kan en IEvG in een "sandbox" loopt. Kortom het systeem is zo veilig als de gebruiker.

skralan 20 mei 2006 10:35

De aanvaller krijgt de mogelijkheid om bestanden en directories te maken, lezen, wijzigen, verwijderen en te doorzoeken.

Toch enkel als de trojan onder een administrator account geinstalleerd is? En bij mijn weten zitten gebruikers van bedrijven nooit op een administrator gemachtigde account... Of de IT afdeling heeft een zware fout gemaakt als ze dit toestaan.

Of heb ik dit verkeerd voor?

TheGhost @skralan • 20 mei 2006 10:48

Ik ken anders een zeer groot bedrijf waarbij iedere werknemer admin-rechten op z'n systeem heeft...

[edit] en nee dat is dus geen fout van de IT-afdeling, dit is daar standaard zo geregeld...

Verwijderd @TheGhost • 20 mei 2006 11:44

Als dat daar standaard zo is geregeld is dat dus een fout van de IT-afdeling

Wim-Bart @Verwijderd • 20 mei 2006 18:07

Als dat daar standaard zo is geregeld is dat dus een fout van de IT-afdeling

Dat iedereen admin is op een bedrijfs PC heeft verschillende oorzaken:

Gebrek aan verantwoordingsgevoel bij beheerders;
De makkelijkste weg kiezen bij gebruik bepaalde software;
Gebrek aan kennis van het OS bij de beheerders;
Gebrek aan overtuiginskracht richting management vanuit IT afdeling;
Stommiteit.

Gebrek aan verantwoordingsgevoel bij beheerders
Beheerders zien het gevaar niet van deze openheid en voelen zich daarbij ook niet verantwoordelijk voor de systemen en servers die ze beheren. Lockdown is moeilijk en volgens hun niet nodig want wat maakt het hun uit, als ze maar betaald krijgen.
De makkelijkste weg kiezen bij gebruik bepaalde software
Sommige software vereist dat er geschreven kan worden in bepaalde folders en registry plaatsen welke niet onder de "user"-space horen maar bij de "machine"-space behoren. Wanneer deze software niet werkt onder "user" credentials dan maken ze het maar "admin". Wanneer ze echter goed hun werk doen kunnen ze met policies binnen GPO alles regelen om rechten voor een applicatie op specifieke posities aan te passen, zowel op disk als ook in het register. Dat niet doen getuigt meer van luiheid dan van interesse. Zie ook voorgaande.
Gebrek aan kennis van het OS bij de beheerders
Dit is ook een probleem, maar wordt vaak gebruikt om gebrek aan verantwoordelijkheidsgevoel en luiheid te verdoezelen.
Gebrek aan overtuiginskracht richting management vanuit IT afdeling
Door gebrek aan verantwoordelijkheidsgevoel, gebrek aan inspanningsvermogen en eventueel kennis zijn deze beheerders niet in staat om het Management goed te adviseren om een security plan op te zetten. Firewall is begrijpbaar en leuk speelgoed, fileservers iedem, maar de werkplek, daar kunnen ze niks mee, dus vergeten ze het belang. Ze vergeten ook dat een bedrijf met alleen servers en geen werkplekken slechter functioneerd dan een bedrijf met alleen werkplekken zonder servers. Werkplekken zijn niet interessant voor ze.
Stommiteit
Tja, dit is een duidelijke, maar wordt pas zichtbaar als ze weer eens een virus binnen hebben gehad. Het probleem is dan alleen dat ze tegen het management zeggen "Kijk eens we hebben een virus gehad, we lagen plat en zie daar hoe goed we zijn want we hebben het opgelost." terwijl het eigenlijk moet zijn: "De hele wereld had problemen met een virus en wij niet, want we hebben het allemaal goed geregeld.". De eerste catagorie zijn "sukkels" en de tweede zijn "de echte helden".

Pietervs @Verwijderd • 20 mei 2006 11:58

Als dat daar standaard zo is geregeld is dat dus een fout van de IT-afdeling
Of een fout van het management, die eisen stelt aan software waar de ICT afdeling alleen aan kan voldoen door gebruikers admin rechten te geven.
Je wil niet weten hoeveel programma's er zijn, die niet fatsoenlijk werken zonder dat gebruikers extra rechten moeten hebben op het register, de System32 directory en/of de Program Files directories. Natuurlijk is dat per programma vaak wel af te timmeren, maar er zijn helaas uitzonderingen. Neem daar nog even een flinke werkdruk bij vanwege migraties/verhuizingen/reorganisaties/ziekte/verlof/... (noem maar op), en dan wordt er al snel gekozen voor de makkelijkste weg: gebruikers Admin rechten geven...

Terracotta @Verwijderd • 20 mei 2006 12:29

Dan wordt het tijd om van OS te veranderen waar dit niet voor is

, en andere programmas gebruiken helpt ook vaak.

Wim-Bart @Verwijderd • 21 mei 2006 01:23

@LauPro:

Zeer terechte opmerking. Echter kan je soms niet anders als systeembeheerder. Neem bijvoorbeeld een stukje maatwerk software waar een heel bedrijf op draait en wat echt enkel onder administratorrechten werkt (zit hardcoded in de software).

De enige oplossing is dan het bedrijf dat de software maakt opbellen en vertellen dat ze het 'even' moeten aanpassen omwille van de veiligheid. Die je vervolgens fijntjes zullen vertellen dat het bij de 100 andere klanten die ze hebben wel goed werkt, en ze best wel 'even' willen kijken maar dan wel voor 140 euro per uur.

Wanneer dit het geval is dan is er al iets in het voortraject fout gegaan voordat er maar ook 1 bit binnen je IT omgeving binnenkomt. Het is heel éénvoudig. In je voortraject leg je je eisen neer, voordat er ook maar 1 factuur betaald is. Kan een fabrikant daar niet aan voldoen dan is er een probleem, hun probleem, want voor veel toepassingen, vooral custom made, zijn er genoeg alternatieven en zat bedrijven welke het wel voor je willen doen. Kom je er bij de implementatie achter dat de leverancier niet heeft voldaan aan jouw specificaties dan is het makkelijk, dan is het het probleem van de fabrikant en niet van de klant. Veel bedrijven doen dan een oogje dicht en wordt het van kwaad tot erger. Wanneer ik specificaties opstel voor een klant welke een oplossing wil implementeren en bij de testen komt er niet uit zoals ik gedefinieerd heb dan interesseert het mij niet dat de fabrikant zoveel extra uren moet besteden, ze moeten leveren wat ik zeg dat ze moeten leveren. En als ze dan zeggen dat "100" andere klanten niet klagen dan zeg ik gewoon dat wij die "100" andere klanten niet zijn. En juridisch en contractueel laat ik een fabrikant dan ook gewoon door het ijs zakken, want dan wordt er gewoonweg niet betaald en wordt desnoods het product niet aangeschaft, hoeveel uur ze er ook aan werken. Daarom is het ook zo verdomde belangrijk om je specs op papier te hebben en dit ook in de contracten mee te nemen. Dit gaat ook fout bij veel bedrijven. Die zeggen "Ik wil dit ongeveer zo hebben" terwijl ze bij zichzelf te raden moeten gaan over hoe ze het "exact" willen hebben zodat ze de fabrikant daar ook over kunnen afrekenen. Het vreemde is dat heel veel mensen terug gaan naar de winkel als in de winkel wordt gezegt dat de nieuwe DVD speler DivX ondersteund en wanneer ze thuis komen dit niet zo blijkt te zijn. Maar die zelfde mensen kopen voor 1.000den euro's aan software implementaties en op het moment dat er iets niet klopt komen ze er achter dat het niet goed op papier stond. Ondertussel lachen de softwarebouwers zich rot, want dan wordt het maatwerk met een flinke factuur. Onduidelijkheden in de beschrijving van een opdracht is het mooiste wat een fabrikant kan overkomen. En tijdsdruk is geen argument, want dat dek je eveneens contractueel af. Gewoon een boeteclausule voor te late oplevering in je overéénkomst opnemen.

defusion @Verwijderd • 20 mei 2006 17:35

bij capgemini is iedereen admin, maar daar zitten ook zoiets alle techneuten op een rijtje, dus denk dat het daar juist minder tijd kost voor de echte admins om iedereen admin rechten op zijn machine te geven.
ik neem aan dat ze op het netwerk niet admin rechten hebben

LauPro @Verwijderd • 20 mei 2006 22:00

@Wim-Bart:

Zeer terechte opmerking. Echter kan je soms niet anders als systeembeheerder. Neem bijvoorbeeld een stukje maatwerk software waar een heel bedrijf op draait en wat echt enkel onder administratorrechten werkt (zit hardcoded in de software).

De enige oplossing is dan het bedrijf dat de software maakt opbellen en vertellen dat ze het 'even' moeten aanpassen omwille van de veiligheid. Die je vervolgens fijntjes zullen vertellen dat het bij de 100 andere klanten die ze hebben wel goed werkt, en ze best wel 'even' willen kijken maar dan wel voor 140 euro per uur.

Denk dat het dan gewoon een kwestie is van het verplaatsen van je verantwoordelijkheden als beheerder. In dit geval: de servers zijn geheel het domein van de systeembeheerders en de clients; dat is de verantwoordelijkheid van de gebruiker. Ik zie het ook liever anders maar soms gaat het gewoon niet anders.

Niets te maken met luiheid of desinteresse. Maar met budgetten: 'het werkt bij die 99 klanten ook zonder problemen dus waarom bij ons wel die aanpassing maken?'

De beste oplossing die ik zie is een Novell-omgeving met Linux clients, maarja dat zal qua inplementatie waarschijnlijk erg in de papieren gaan lopen (maatwerk applicatie, AutoCAD, illustrator etc.)

benoni @Verwijderd • 20 mei 2006 22:31

En als je verplicht onder Windows als admin moet draaien, zouden deze opties dan misschien de beheersbaarheid verbeteren:
- Elke dag 'schoon' opstarten met netboot of een Linux boot die de Windos partitie van een mirror overkopieert.
- Onder Citrix draaien, met extra toezicht op de terminal server (monitoring van gebruikersprocessen e.d.).
En verder kan het bij 'onbeveiligde' werkstations ook best goed gaan, met een overzichtelijk team van goed voorbereide mensen die gewend zijn om alles in goed overleg met de systeembeheerders te beheren.

LauPro @Verwijderd • 22 mei 2006 08:59

Wanneer dit het geval is dan is er al iets in het voortraject fout gegaan voordat er maar ook 1 bit binnen je IT omgeving binnenkomt. Het is heel éénvoudig. In je voortraject leg je je eisen neer, voordat er ook maar 1 factuur betaald is.

Oke, maar ook dan. Als je als bedrijf er pas wordt bij geroepen omdat de vorige automatiseerder er een puinhoop van maakte en je dus zit opgescheept met applicaties zonder specificaties, dan zou je volgens jouw instelling die klant maar gewoon moeten afhouden? Dat vind ik op een nobele instelling maar in de praktijk niet haalbaar. En de specifieke maatwerksoftware is ook niet 'zomaar' even te vervangen door andere software. Deze is echt gericht op het werk van de branche waar het bedrijf in opereert en de software vult juist aan op gebieden waar andere software tekort schiet.

Verwijderd @TheGhost • 20 mei 2006 11:03

Admin-rechten hebben is niks mis mee (mits de gebruikers weten waar ze mee bezig zijn), maar standaard je mail lezen met admin-rechten is wel kwalijk...

To_Tall

@TheGhost • 20 mei 2006 14:12

zo'n bedrijf kan ik ook.. zeer groot bedrijf zelfs.
Echter het verschill tussen deze mensen en veel andere bedrijfen is dat deze gebruikers systeemontwikelaars zijn.

PC zonder admin kunnen ze niet gebruiken als ze software willen ontwikkelen

PipoDeClown @To_Tall • 20 mei 2006 14:38

waarschijn ligt dat aan de beperkingen van de gebruikte software.
het zou erg fijn zijn als elke softwareschrijver daar rekening mee houdt...

Tijger @To_Tall • 21 mei 2006 01:55

Yep, tijdje geleden bij een groot advocaten kantoor de zaak doorgelicht en daarbij bleek dat de juridische database die men als naslag werk gebruikt vereist dat men als local administrator is ingelogd...en dat wordt geproduceerd door een zeer gerenommeerd bedrijf.

Verwijderd @To_Tall • 22 mei 2006 11:23

@pipodeclown

ik zou het ook fijn vinden als iedereen zich aan de verkeersregels hield ten aller tijden. zou een hoop ongelukken schelen

moraal van het verhaal: keep on dreaming

basb @skralan • 20 mei 2006 12:19

Het beveiligingmodel van microsoft is een wassen neus, daarmee bedoel ik dat via vele wegen een eindgebruiker lokale admin rechten kan verkrijgen.

Daarom moet je ELKE eind gebruiker die in staat is iets van buitenaf uit te voeren m.b.t. beveiliging beschouwen als local administrator. Dat is ook de reden dat vrijwel elke exploit als commentaar of vergelijkbaar commentaar heeft als "volledige toegang tot een Windows-systeem krijgen."

Dit is niet als flaime-bait bedoeld, maar helaas de harde werkelijkheid.

Wim-Bart @basb • 20 mei 2006 18:11

Het beveiligingmodel van microsoft is een wassen neus, daarmee bedoel ik dat via vele wegen een eindgebruiker lokale admin rechten kan verkrijgen.

Niet als je alles goed hebt ingericht met o.a. Group Policies. Daar heb je niet voor niets de mogelijkheid om tot op bestand en register variabele de security te regelen.

Onder Windows is het heel makkelijk. Alles is dicht te zetten.

kimborntobewild @Wim-Bart • 20 mei 2006 19:58

Alles is dicht te zetten

Zal best, maar dan werkt er ook niks meer.
En moet je een blik extra beheerders open trekken om alle applicaties correct aan de praat te kunnen krijgen.
Als je dat als beheerder aan 't management vertelt, nou kijk dan maar uit voor je baan.

Wim-Bart @Wim-Bart • 21 mei 2006 01:06

Zal best, maar dan werkt er ook niks meer.
En moet je een blik extra beheerders open trekken om alle applicaties correct aan de praat te kunnen krijgen.
Als je dat als beheerder aan 't management vertelt, nou kijk dan maar uit voor je baan.

Vindt ik vreemd, maar ik ken een aantal organisaties waar dit zo werkt. Maar daar wordt iedere applicatie ook apart gescript zodat het past binnen de richtlijnen van het bedrijf. Deze zijn ook in staat om met 4 á 5 Windows beheerders (onder Citrix) 8.000 tot 10.000 gebruikers te beheren inclusief backoffice zoals Exchange en File & Print servers. 2 man voor Netwerk en 1 man voor SAN.

Wanneer je effort steekt in het juist scripten van applicaties met de juiste uitrol methodieken (AD bijvoorbeeld of Altirus) dan kost je dat misschien 1 á 2 weken per applicatie. Maar als je dat goed hebt ingeregeld en het proces juist is beschreven en gedocumenteerd verdiend dat zich zelf terug. 2 weken per applicatie x 10 applicaties is goedkoper dan 5 á 6 beheerders in dienst nemen. Per definitie is een bedijf verkeerd bezig wanneer het bedrijf per IT medewerker minder dan 250 werkplekken beheerd en minder dan 1.000 citrix client beheerd.

halfgaar @basb • 20 mei 2006 12:52

Wat voor wegen heb je het dan over? Bugs, of legitieme handelingen?

Daimanta @halfgaar • 21 mei 2006 20:35

Uitvoeren: cmd
[shell]

net user test /add
net localgroup administrators test /add

et voila, een adminuser genaamd test. Dit werkt op de meeste windowssystemen(als de beveilging iets voorstelt natuurlijk niet meer). Bij ons op de informaticafaculteit zijn de computers goed beveiligt maar op de bedrijfskunde faculteit is het weer net zo erg.

weeraanmelden @basb • 20 mei 2006 12:59

dit komt omdat je een mega groot / veel gebruikt systeem niet funamenteel kan aanpassen.
En wordt dit gedaan, is de weerstand weer enorm.
(lees elke Vista repley maar, alleen maar kots en : ( smiley''s)

Tijger @basb • 21 mei 2006 01:56

Eh, even kijken hoor, als je als administrator een trojan installeert dan krijgt die trojan administrator rechten...vertel mij eens onder welk OS dat niet het geval zou zijn dan?

Grappig genoeg zijn dezelfde mensen vaak ook mordicus tegen zaken als het gebruik van DRM en TCPM chips die dit soort zaken goed tegen kunnen gaan.

Blokker_1999

@skralan • 20 mei 2006 10:43

Als iemand die deze mail opend met datzelfe systeem ook met gevoelige informatie werkt, dan kan dit virus dus ook aan alle gevoelige informatie waar de gebruiker van het systeem aankan.

Verwijderd @skralan • 20 mei 2006 10:46

Dat zat ik mij ook juist te realiseren. Maar ik denk dat het eerder gaat over 'persoonlijke' mappen. Bv: Alle muziekfolders in 'Mijn documenten' ofzoiets

keluwak 20 mei 2006 10:36

En de nieuwe office (pre-release)? Daarover zegt het artikel niets, maar dat kan ook omdat ze het daarop niet hebben uitgeprobeer?

Naja, als ze deze feature uit word 2003 meegenomen hebben kunnen ze het er alsnog uitslopen voordat de nieuwe office op de markt komt

Blokker_1999

@keluwak • 20 mei 2006 10:44

Uiteraard word Office 12 niet meegenomen. Het is nog altijd in de ontwikkelingsfase en zou nog niet gebruikt mogen worden voor dag dagelijks gebruik.

Verwijderd 20 mei 2006 10:31

En de VS maken zich zorgen om Chinese laptops...

silvershadow449 @Verwijderd • 20 mei 2006 15:05

Dat de server waar de trojan informatie naartoe stuurt in China staat, wil nog niet zeggen dat de dader ook uit China komt. De server is waarschijnlijk een gehackte machine waar de hacker op in logt via proxies of andere roots.

Ik heb even wat onderzoek gedaan en krijg toch sterke aanwijzingen dat de daders inderdaad uit het verre oosten komen. Sterker nog, ik denk dat de makers van de trojan of althans een voorloper ervan, lid zijn van NCPH:
http://www.ncph.net/
Iemand die chinees kan lezen toevallig?

OpenMinded @Verwijderd • 22 mei 2006 11:55

Chinees naar Engels kan op Babelfish:
http://www.babelfish.nl/

Kan iedere partij zijn die belang heeft bij grootschalige informatie inwinning bij bedrijven

Z-Dragon 20 mei 2006 10:36

Heerlijk die gesloten standaarden.

TRON

20 mei 2006 11:23

Het enige wat ik hier op kan zeggen (en waar ik veel commentaar op zou kunnen krijgen), is:

$_/-\o_$ wat een mooie geavanceerde exploit $_/-\o_$

Microsoft, schiet op met je patch, nu moet je wel

Tijger @TRON • 21 mei 2006 02:01

Mjah...als jij een trojan installeert dan is dat de fout van Microsoft..wat voor patch zou jij daarvoor willen zien?
Een die het onmogelijk maakt om code uit te voeren mischien...executables uit te voeren?

Verwijderd 20 mei 2006 11:33

Go Triple-o

Big-R 20 mei 2006 13:29

De exploit laat een backdoor achter en verbergt zichzelf met rootkit-achtige maatregelen tegen detectie door virusscanners. De backdoor neemt contact op met een server in China om informatie over het geïnfecteerde systeem door te geven.

En als er nu een firewall is?
Houd die wel de connectie tegen?

Vreemd dat ik niets daarover kan lezen, maar alleen over een virriscanner...

imdos @Big-R • 20 mei 2006 17:24

Omdat vrijwel altijd al het uitgaande verkeer doorgelaten wordt en slechts inkomend verkeer geblokkeerd wordt.

silvershadow449 @imdos • 20 mei 2006 17:55

Nee hoor, dat hangt af van welke firewall. Zonealarm blokkeert bijvoorbeeld ook uitgaand verkeer. Althans ik krijg een popup wanneer een onbekend programma waarvoor ik nog geen rules heb aangemaakt, een uitgaande verbinding probeert te maken.

De meeste goede firewalls checken tegenwoordig zowel op inkomend als uitgaand verkeer.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (53)

Sorteer op:

Weergave: