Malwaremakers kijken af bij opensourceontwikkelaars

In het nieuwe magazine over veiligheidszaken Sage meldt McAfee dat malwareschrijvers in toenemende mate ontwikkelingsmethoden baseren op opensourcemodellen. Meer en meer auteurs van programmeercode met snode bedoelingen zouden hun materiaal en ideeën delen met de rest van de malwaregemeenschap. Het gaat daarbij om broncodes, gebruikershandleidingen en aantekeningen om het materiaal optimaal te benutten. Als voorbeeld wordt het W32/Mydoom-virus aangehaald, dat vanwege de beschikbaarheid van zijn broncode inmiddels honderden varianten kent. McAfee meldt vooral huiverig te zijn voor virusschrijvers die betrokken zijn bij de georganiseerde misdaad, aangezien financieel gewin nog steeds de belangrijkste motivatiebron zou zijn voor de doorontwikkeling van malware.

Via online communities als Hacker Defender en irc-netwerken zouden de malwareschrijvers informatie uitwisselen met gelijkgestemde geesten. Zo zouden bèta's van nieuwe malware in groepsverband getest worden en zou er onderling gerapporteerd worden over bugs. Wanneer de kwaadaardige code eenmaal is losgelaten op de wereld, dan zouden de verantwoordelijke auteurs zich opwerpen als betaalde consultants om bijvoorbeeld getroffen bedrijven bij te staan. Volgens McAfee bewijst het succes van deze aanpak dat de opensourcemethodiek zeker effectief is, maar dat het eveneens aantoont dat goede ideeën ook gebruikt kunnen worden voor slechte doeleinden.

'MyDoom-logo'

Door Inge Janse

Feedback • 17-07-2006 21:38 48

17-07-2006 • 21:38

48

Bron: McAfee (pdf)

Lees meer

Blackberry nieuw potentieel doelwit voor hackers
Blackberry nieuw potentieel doelwit voor hackers Nieuws van 6 augustus 2006
McAfee-bug kan gevoelige data blootleggen
McAfee-bug kan gevoelige data blootleggen Nieuws van 3 augustus 2006
Zorgen om explosieve groei malware
Zorgen om explosieve groei malware Nieuws van 7 juli 2006
Twintig jaar computervirussen
Twintig jaar computervirussen Nieuws van 6 juli 2006
Makers ransomware versterken encryptie
Makers ransomware versterken encryptie Nieuws van 28 juni 2006
Strijd tussen virusschrijvers veroorzaakt golf van wormen
Strijd tussen virusschrijvers veroorzaakt golf van wormen Nieuws van 17 augustus 2005
Top-10 virussen februari bevat voornamelijk oudere soorten
Top-10 virussen februari bevat voornamelijk oudere soorten Nieuws van 2 maart 2005
Meer producten en artikelen
Software

Reacties (48)

-Moderatie-faq
48
45
27
4
1
13
Wijzig sortering
locke960 17 juli 2006 22:08
Dus omdat een aantal mensen / groepen samen werken en sourcecode en informatie uitwisselen is dat gelijk een "open-source" mechanisme :?

Zo gaat het in een bedrijf ook. Dit is gewoon bedrijfsmatig georganiseerde criminaliteit en heeft weinig met het idee van "open-source" van doen.

"Volgens Locke bewijst het succes van deze aanpak dat commercieel denken zeker effectief is, maar dat het eveneens aantoont dat goede ideeën ook gebruikt kunnen worden voor slechte doeleinden."
PHiXioN @locke96018 juli 2006 03:06
Inderdaad, en bij het verspreiden van de 'software' krijg je de broncode er niet bij! ;)
Verwijderd @locke96018 juli 2006 08:51
Hier wordt code geshared tussen personen/bedrijven. Het lijkt dus inderdaad wel op opensource.

Eigenlijk bewijst dit gewoon dat open source software ontwikkeling een heel goed model is. Iedereen draagt een steentje bij en iedereen profiteert van de bijdrage van de anderen. Ze zijn daar gewoon slim genoeg om dat door te hebben.
alex3305 17 juli 2006 21:51
"Sharing is Caring."

Maar goed het kan dus ook positief werken voor anti-virus makers, want zo worden die virussen beter begrepen en kunnen ze makkelijker onschadelijk gemaakt worden ipv disassembleren en/of reverse engineren..
the_stickie @alex330517 juli 2006 22:54
op zich heb je gelijk. Het zal wel helpen bij het maken van signatures, maar ik vermoed dat het voor de virusschrijvers toch een groter voordeel biedt:
-ze hoeven wielen niet tweemaal uit te vinden; code hergebruiken!
-ze kunnen principes gebruiken zonder letterlijk te gaan copy-pasten, juist om antivirusmakers te slim af te zijn
-ze worden bijgestaan in hun strijd door x aantal scriptkiddies; zij baseren zich al helemaal op "gevonden" code. Daardoor krijgen AV*bedrijven meer werk, en worden de "echte" aanvallen misschien minder snel opgemerkt of verholpen

btw in een of andere c't waren ze AV's 'n keer aan het testen met Melissa was het geloof ik. Toen waren heel wat Av's van slag te brengen door andere namen te keizen voor de variabelen, comments te wijzigen en statements anders te formuleren (constanten vervangen door variabelen bijv). Dus dat belooft ;)
Verwijderd 17 juli 2006 21:47
Mooi man, GPL virussen. Wordt de maker verplicht de broncode mee te leveren aan zn slachtoffer :)
SirBlade @Verwijderd18 juli 2006 05:55
Als een virus onder GPL word uitgebracht, en iemand maakt er een antivirus-product voor, dan moet dat product toch ook GPL worden? Dat zou leuk gaan worden, mcafee en dergelijken die of hun inkomstenbron moeten gaan weggeven (theoretisch niet maar in de praktijk wel) of een incompleet product moeten gaan leveren met alle gevolgen van dien.
killercow @SirBlade18 juli 2006 09:01
Nee, de anti virus hoeft geen GPL te worden,

De antivir hoeft alleen toch alleen de bestanden te vinden en te verwijderen? zolang er geen code uit het virus in het programma opgenomen worden, Of er dll's van het virus in de antivir worden gekoppeld staan ze volledig los van elkaar.

Als de virus maker wil dat de anti virus bedrijfen zich aan de GPL houden, dan kan hij toch ook gewoon een licentie bij z'n virus leveren waarin hij zegt dat je het niet mag verwijderen?

Besides that, bijna alle virussen worden geverse engineered, wat eigenlijk ook niet legaal is.
thegve @killercow18 juli 2006 09:14
Besides that, bijna alle virussen worden geverse engineered, wat eigenlijk ook niet legaal is.
Mag in NL om compatibiliteitsredenen, virusscanner moet alleen maar ff compatibel worden met het virus...
Brupje @SirBlade18 juli 2006 08:46
net of er een risico is dat ze aangeklaagd gaan worden door de auteur ;)
SuperDre @SirBlade18 juli 2006 10:32
En wie zou er dan moeten gaan klagen over de GPL als McAfee dan niet die source zou meeleveren? Niet de virusschrijvers want het is nog steeds verboden om virussen te schrijven, dus die riskeren een gevangenisstraf als ze naar voren komen. En verder kan er niemand anders over klagen want die zijn niet de orginele makers..
Daimanta @Verwijderd17 juli 2006 21:53
Nu alleen nog documentatie vande viri ;)
memphis @Verwijderd18 juli 2006 07:48
En de licentievoorwaarden met zo'n checkbox dat je op CANCEL kan drukken als je er niet mee eens bent om hem te installeren.
daft_dutch @Verwijderd18 juli 2006 00:10
als het een gpl virus is zou het even gemakkelijk de sourcecode moeten bieden. Ik denk dat men dit natuurlijk laat
Verwijderd 17 juli 2006 22:54
als mensen eens wat meer zouden nadenken in plaats van alles klakkeloos bevestigen. (firewall b.v.)

en als microsoft nou eens mensen streng aanraad om het installeren op een admin account te doen en standaard te werken met een beperkte account. (en dat standaard aanzet)

als mensen hun beveiliging eens goed bijhielden (regelmatig updaten en scannen)

als mensen nou NOOIT meer op spam reageren

dan is het gauw afgelopen, de hele wereld zit met die ellende opgescheept omdat voornamelijk n00b gebruikers er slecht mee omgaan.
J.J.J. Bokma @Verwijderd17 juli 2006 23:22
"en als microsoft nou eens mensen streng aanraad om het installeren op een admin account te doen en standaard te werken met een beperkte account. (en dat standaard aanzet)"

Ja, en als nu eens de software bakkers maken dat de software ook werkt met LUA?

Recent zag ik hier Launchy voorbijkomen. Even naar gekeken. Zit dus mooi ook een LUA bug in [1]. Ik weet hoe daar omheen te werken, maar de meute zal gewoon terugvallen op Administrator account. Triest is ook de reply van de ontwikkelaar: "Ja, nu werkt het mooi wel van een USB stick". Tuurlijk joh.

Ditto voor IrfanView [2], en ook Xara Xtreme [3] zeurt als ik het opstart als beperkte gebruiker. Het is ongeloofelijk dat er programmeurs zijn die als Administrator knoeien eh programmeren.

[1] http://johnbokma.com/mexit/2006/07/14/launchy-lua-bug.html
[2] http://johnbokma.com/mexi...09/irfanview-ini-fix.html
[3] http://johnbokma.com/mexit/2005/12/02/
Gepetto @J.J.J. Bokma18 juli 2006 00:43
Irfanview maakt aanpassingen in de koppelingen tussen bestands-extensies en aplicaties, lijkt me niet meer dan logisch dat daar admin rechten voor nodig zijn.
J.J.J. Bokma @Gepetto18 juli 2006 04:34
lees:
http://johnbokma.com/mexi...09/irfanview-ini-fix.html

IrfanView krast standaard alle settings in hetzelfde ini bestand voor elke gebruiker (lekker slim). Uiteraard kan een LUA daar niet bij als het programma als admin geinstalleerd is. En zelfs als dat kan, zou Pietje blij zijn met de instellingen van Jantje?

Irfan's reaktie: dat kan je oplossen, zie de FAQ (handig toch, dat je dingen die bij andere programma's gewoon werken in een FAQ moet opzoeken). Met daarin tenenkrommende oplossingen als: zet de INI in de gedeelde TEMP directory...

Verder kan je koppelingen tussen bestandsextensies en applicaties gewoon zelf als LUA bepalen. Logisch natuurlijk, zou een beetje gek zijn als je eerst Admin rechten nodig hebt om te bepalen dat een txt bestand in TextPad opent ipv Notepad (of dat dat centraal geregeld zou zijn).
Zarc.oh @Gepetto18 juli 2006 12:30
Als je de link volgt, zul je zien dat de schrijver geen registry wil gebruiken om de settings op te slaan en dat je het gebruik van %APPDATA% zelf moet gaan bewerkstelligen.
Ik heb zelf ook al een fout in IrfanView doorgegeven, maar is met die gozer geen discussie te voeren, dus werd het niet gefixt |:(
Hij luistert niet naar je argumentatie, maar zegt alleen wat hij vindt en wat ie niet gaat doen |:(
Bovendien zit er al een hele tijd een irritante bug in die autoresizing niet mogelijk maakt.
Ik hou het nu lekker bij FastStone Image Viewer
J.J.J. Bokma @Gepetto18 juli 2006 18:58
"zul je zien dat de schrijver geen registry wil gebruiken om de settings op te slaan" (IrfanView).

Yup, omdat ie in een antiek computerblaadje gelezen heeft dat het register slecht ontworpen is. Leeft nog in 1995 of zo.

Ik heb ook gemailed met 'm en precies dezelfde ervaring. Valt niet mee te praten. Het is "M$ suckz", "je bent de eerste die zeurt", "en iedereen die het register gebruikt laat na deinstallatie zooi achter". Mbt dat laatste schreef ik: "maar dat *hoef* jij niet te doen als je beter weet?".

Ik ga eens kijken naar FastStone, thanks.
Gepetto @Gepetto20 juli 2006 02:01
@ J.J.J. Bokma - dinsdag 18 juli 2006 04:34

Had ik al gelezen, vandaar mijn opmerking.
IrfanView krast standaard alle settings in hetzelfde ini bestand voor elke gebruiker (lekker slim).
Zeker slim want nu hoef je dit niet meer voor iedere gebruiker afzonderlijk in te stellen en kan iedereen direct gebruik maken van de applicatie (in dit geval irfanview)
Gomez12 @Verwijderd17 juli 2006 23:29
Ach ja over dat streng afraden heb ik al eens een idee gepost. Laat admin alleen met localhost communiceren en pas met veel pijn en moeite naar inet / netwerk kunnen gaan. Als mensen zien dat ze internet veel makkelijker als user aan de praat kunnen krijgen, dan denk ik dat veel mensen gewoon standaard user worden...
J.J.J. Bokma @Gomez1218 juli 2006 00:01
Binnen een paar dagen is daar dan een hack voor, die het merendeel wel weet te installeren (of laat installeren).

Beter is om te laten zien dat als beperkte gebruiker je gewoon bijna alles normaal kan doen zonder allerlei rare truuks uit te moeten halen om gedownloade software te laten werken (Launchy, IrfanView, en de lijst is vrees ik erg lang). De bal ligt dus bij de software ontwikkelaars.
Kama @Verwijderd18 juli 2006 00:15
Tja, als iedereen nou es goeie sloten op z'n deuren zet en inbraakbeveiliging op z'n ramen, dan zou niemand meer inbreken.

Maw: Dit verschijnsels kun je hooguit proberen te voorkomen, maar helaas gaan ze nooit weg...
merethan @Kama18 juli 2006 10:29
Maar 95% van de computergebruikers laat of ze ramen gewoon open staan of doet de knip er niet eens op.
Ybox @merethan18 juli 2006 11:37
maar in het internet-dorp zijn zulke dingen toch helemaal niet nodig ? :P
Kalief 17 juli 2006 22:33
Die mensen op die 'online communities als Hacker Defender en irc-netwerken' zullen elkaar echt niet kennen. Wat let McAfee of een opsporingsinstantie zelf deel te nemen aan die netwerken?
SkyStreaker @Kalief17 juli 2006 22:39
Lijkt mij dus, dat zij hier al lang mee bezig zijn. Hoe weet je anders, logischerwijs, zulke achtergrond informatie?
Blaise 17 juli 2006 22:46
Als er geld gemoeid is met malware door een bepaalde exploit, dan wil je dat als malwareontwikkelaar toch voor jezelf houden? Hangt een beetje van de situatie af, maar meestal wil je niet dat een concurrent jouw werk overneemt om vervolgens met je te concurreren.

Van virussen kan ik me wel begrijpen dat een virusmaker zijn code wil delen met anderen om zoveel mogelijk chaos te zaaien.
Verwijderd 17 juli 2006 23:46
Goede ideën die voor slechte doeleinden gebruikt worden. Zo oud als de wereld? Een vliegtuig als bom (2001) Dynamiet om rotsen op te blazen als springstof om mensen op te blazen (Nobel - prijs) Soms slechte ideën voor slechte dingen goed gebruiken Kernbom wordt kernenergie (vraag maar aan de ayathola's --- of was kernergie nou ook slecht
:? ) etc. etc. De strijd tussen goed en kwaad. GPL moet wel blijven malware of niet.
Kabouterplop01 18 juli 2006 01:33
goh dat mcafee daar een commentaar als:"..als betaalde consultants..." geeft.Hebben ze ervaring met zulke praktijken? Schrijven ze zelf....?
peterveldman 18 juli 2006 02:10
kunnen de anti virus bedrijfen dan niet gewoon "undercover" gaan op die sites en daarmee direct de flaws in hun software verbeteren?
Frubelaar 18 juli 2006 06:05
Dat zal best wel gebeuren.
Het artikel geeft mij de indruk dat ze ook in de malware wereld meekijken.
Met 2 petten op vrees ik. Enerzijds gebruiken ze kennis om anti virus/malware updates te schrijven. Anderzijds hebben ze een groot belang is veel nieuwe virussen/malware.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq