Virusschrijvers richten aandacht op Wikipedia

Hackers zijn erin geslaagd de online encyclopedie Wikipedia te gebruiken om een virus te verspreiden. Ze voegden aan de Duitse editie een pagina toe over een nieuwe versie van het Blaster-virus, die onlangs in omloop zou zijn gebracht. Er stond op de pagina ook een link naar een programma dat bescherming zou bieden tegen het nieuwe virus. Dit programma installeerde echter zelf een virus. Om meer mensen naar de pagina toe te lokken stuurden de hackers vervolgens massaal e-mails rond die er uitzagen alsof ze van Wikipedia kwamen, waarin de ontvanger werd opgeroepen de pagina te bezoeken.

Toen de leiding van Wikipedia dit bedrog ontdekte, werd de pagina onmiddelijk weggehaald, maar men zag over het hoofd dat deze nog steeds in het archief stond. Hierop gingen de hackers opnieuw spammen en stuurden ze mails rond waarin de mensen naar de gearchiveerde versie werden verwezen. Ook deze pagina is inmiddels verwijderd. Volgens deskundigen, die het programma analyseerden, ging het beslist om een virus. Het was kennelijk erg nieuw, want alhoewel er meer dan twintig virusscanners op werden losgelaten, was geen enkele in staat het te herkennen. Omdat de valse pagina maar kort online gestaan heeft hebben volgens de BBC vermoedelijk maar weinig mensen het virus gedownload.

Virus / Spam / Computer

Door Arie Jan Stapel

Nieuwsposter / PowerMod

Feedback • 06-11-2006 14:3041

06-11-2006 • 14:30

41 Linkedin

Bron: BBC News

Lees meer

Google experimenteert met Wikipedia-variant Nieuws van 14 december 2007
Wikipedia maakt cd voor internetlozen Nieuws van 25 april 2007
Wikipedia-oprichter: financiering niet in gevaar Nieuws van 17 februari 2007
'Dynamisch geobfusceerde' malware in opkomst Nieuws van 8 januari 2007
Nederlanders in bestuur Wikimedia Foundation Nieuws van 11 december 2006
'Virusschrijvers lijden aan writer's block' Nieuws van 21 november 2006
Wikipedia weer ontoegankelijk in China Nieuws van 17 november 2006
Zorgen om explosieve groei malware Nieuws van 7 juli 2006
Twintig jaar computervirussen Nieuws van 6 juli 2006
Wikipedia zet bepaalde artikelen op slot Nieuws van 19 juni 2006
Ebay geplaagd door corrupte advertenties Nieuws van 8 december 2005
Wikipedia legt anonieme bijdragen aan banden Nieuws van 5 december 2005
Anderhalf jaar celstraf voor 19-jarige auteur Blaster-variant Nieuws van 29 januari 2005
Schrijver Blaster-variant pleit schuldig, riskeert drie jaar cel Nieuws van 13 augustus 2004
Premies op virusmakers leveren nog weinig resultaat op Nieuws van 24 februari 2004
Tot vijftien jaar cel mogelijk voor maker Blaster-variant Nieuws van 20 januari 2004
Meer producten en artikelen
Software

Reacties (41)

-Moderatie-faq
41
40
21
5
1
11
Wijzig sortering
redstorm
6 november 2006 14:34
Als zo'n pagina verwijderd wordt verwacht je toch dat dat goed gedaan wordt?

Misschien moeten gegevens die op wiki gezet worden of veranderd worden toch maar beter gechecked worden.

@Cristan:
Dan zullen ze toch de 'prullenbak' van wikipedia moeten sluiten voor het publiek.

@leuk_he:
Omdat nog geen één virusscanner hem kon pakken was het waarschijnlijk een vrij nieuw virus.
Het eerste wat ik zou doen als antivirus maker is wikipedia inlichten i.p.v. een medicijn te maken (voorkomen is beter dan verhelpen).
Cristan
@redstorm6 november 2006 14:59
Juist niet: als iemand de inhoud van de hele pagina over bijvoorbeeld de verenigde staten verwijdert (gebeurt nog wel eens door een grapjas) wil je graag dat je mbv de geschiedenis-functie makkelijk de hele boel weer terug kan zetten.

Dit wil je alleen niet in dit specifieke geval, maar net zoals alle andere "rellen" in Wikipedia zijn zulk soort dingen meestal in een kwestie van minuten opgelost (in dit geval kan een admin de specifieke "tussenpagina" verwijderen).

@redstorm: Dit zou kunnen, maar deze functie is juist tegen vandalisme. Als je mensen een link naar een Wikipedia artikel wil sturen, kan je ze een link naar een bepaalde versie opsturen omdat je van deze versie tenminste zeker weet dat het goed zit.
DeArmeStudent
@redstorm6 november 2006 15:23
Linkje iemand? :+
redstorm
@DeArmeStudent6 november 2006 15:43
http://www.google.nl/search?q={software_naam}+cr*ck :+
increddibelly
@redstorm6 november 2006 16:16
Het eerste wat ik zou doen als antivirus maker is wikipedia inlichten i.p.v. een medicijn te maken (voorkomen is beter dan verhelpen).
dan is het voor jouw fictieve bedrijf maar beter dat je geen antivirusmaker bent.
"Genezen" uit jouw vergelijking is tenslotte hetgene waar een antivirusmaker z'n geld aan verdient.
yootje
@redstorm6 november 2006 16:33
Onderzoek eerst eens iets voordat je je mening geeft. Wikipedia werkt met versies van artikelen. Als je verschillende versies onzichtbaar maakt voor de gebruiker (wat op de Engelse Wikipedia sommige mensen kunnen, niet op de Nederlandse nog) is dat erg onoverzichtelijk. Bovendien kunnen gewone gebruikers dan ook niet meer vandalisme controleren. Slechte oplossing dus.Verwijderen van een artikel is al helemala gene oplossing, tenzij het een nieuw onzinartikel is.
leuk_he
@redstorm6 november 2006 15:25
<i>Misschien moeten gegevens die op wiki gezet worden of veranderd worden toch maar beter gechecked worden.</i>

Dan verplaats je het probleem simpel weg naar de checks. Wie checkt de checkers? Kortom: wikipedia is niet erg betrouwbaar, en het probleem is niet oplosbaar.

Maar dit geeft uiteraard veel meer aan over de kwaliteit van de virusscanners dan over de kwaliteit van wikipedia.
yootje
@leuk_he6 november 2006 16:30
Het probleem (in ieder geval op de Nederlandse versie) is niet de integriteit van de checkers in ieder geval. De Nederlandse versie is hier wel gevoelig voor, maar tot nu toe is hier nog geen misbruik van gemaakt. Voor de Engelse versie is dit al helemala geen probleem, aangezien wijzingen op die versie niet worden gemarkeerd als gecontroleerd. Een wijziging wordt dus vaak meerdere malen bekeken.
radio999
6 november 2006 14:46
Omdat de valse pagina maar kort online gestaan heeft hebben volgens de BBC vermoedelijk maar weinig mensen het virus gedownload.

Dus wat de BBC zegt is dat met het verwijderen van de oorspronkelije bron van het virus ook alle gemaakte kopieen worden verwijderd. Waarschijnlijk iemand van de BBC gespecialiseerd in landbouw nieuws.
Anoniem: 176826
@radio9996 november 2006 14:50
De BBC weet natuurlijk alles van de duitse versie van wikipedia, want sinds de 2e wereldoorlog zijn alle verslaggevers daar verplicht om op cursus duits te gaan.

Maar even serieus, aangezien de pagina kort on-line heeft gestaan, zal deze vast nog niet zijn gearchiveerd door bijvoorbeeld de googlebot en zo. Zo wel, tja.... dan is dat het probleem van Google, maar dan zullen de makers van het virus nu het googlearchief wel aan het spammen zijn.
Daimanta
6 november 2006 14:39
[quteo]Omdat de valse pagina maar kort online gestaan heeft hebben volgens de BBC vermoedelijk maar weinig mensen het virus gedownload.[/quote]

Daarbij komt, als iets fouts ondekt wordt, dan wordt het over het algemeen binnnen een mum van tijd veranderd. Ik zie het probleem zo niet.

(trouwens, iedere normale XP gebruiker is toch wel beschermt tegen Blaster met SP2)
bszz
@Daimanta6 november 2006 14:44
(trouwens, iedere normale XP gebruiker is toch wel beschermt tegen Blaster met SP2)
Maar er zijn ook nog 'abnormale' Windows2000 gebruikers bijvoorbeeld..

Anyway, het virus dat verspreid werd was geen Blaster variant, en aangezien de 20 virusscanners bij Wikipedia het niet konden ontmaskeren denk ik dat ook Windows XP SP2 het niet herkent.
ronny
@bszz6 november 2006 15:01
Windows XP hoeft een Blaster ook helemaal niet te herkennen!
Een firewall zal Blaster buiten de deur houden. Vandaar dat er specifiek naar XP SP2 wordt gewezen.
[reactie op n4m31355]

Toen ze het virus ontdekt hebben hebben ze offline gekeken of ze konden ontdekken wat voor virus het was en of er al scanners waren die hem konden detecteren.
Dus gewoon offline 1 voor 1 geprobeerd en na 20 dus nog geen detectie.
Anoniem: 116213
@ronny6 november 2006 15:58
Er was een 'nieuw Blaster virus' artikel aangemaakt, omdat dat een zeer bekend virus was bij mensen, dus de kans dat een artikel over een nieuw Blaster virus wordt gelezen is vele malen groter.

De zogenaamde 'oplossing' was dus het feitelijke virus, wat dan eigenlijk een trojan is, omdat de gebruiker hem zelf binnenhaald. De correcte definitie voor Blaster is trouwens een worm.

En ik kom regelmatig virussen tegen waarvan het uren tot dagen duurt voordat de bekende virusscanners hem detecteren. Wij sturen regelmatig samples op naar TrendMicro, F-Secure en Kaspersky die op onze honeypots terechtkomen.

Je moet daarom ook nooit op een virus scanner vetrouwen, het helpt puur alleen tegen stomme gebruikers die geen gezond verstand gebruiken. Want een beetje internet savvy gebruiker download nooit en ten nimmer een EXE/COM/PIF/SCR/etc bestand van een site zoals Wikipedia. Beveiligingen zoals DropMyRights zijn vaak vele malen effectiever dan een virus scanner, maar zolang er stomme gebruikers zijn die op de volgende link klikken: 'dit is een virus NIET klikken', dan blijf je een probleem houden.
SED
@ronny6 november 2006 19:01
jij doelt ongetwijfeld op deze wat oude NIET KLIKKEN link

[url="admin-edit:"]NIET klikken![/url].
RemcoDelft
@bszz6 november 2006 15:43
Zolang gebruikers zo stom zijn om programma's te starten die ze downloaden, is er toch geen virusscanner die kan voorkomen dat een programma "whatever" doet? Kwestie van programmeren: "wis harddisk" of "zend email". Niet raar dat virusscanners zoiets niet kennen.
RemcoDelft
@RemcoDelft6 november 2006 16:33
Dat is nou net m'n hele punt: elke programmeur kan z'n eigen "virus" typen, virusscanners kunnen er dan wel 60 duizend of desnoods 60 miljoen kennen, nog steeds is het kinderlijk eenvoudig om een nieuwe te maken... Het blijft dan ook dweilen met de kraan open.
Pietervs
@RemcoDelft6 november 2006 15:55
Niet raar dat virusscanners zoiets niet kennen.
Je gooit wat dingen door elkaar. De virussscanners herkennen virussen niet omdat mensen maar op OK klikken, maar vanwege bepaalde namen/combinaties van letters (cijfers, enzovoort) gedragingen, en zo nog wat...
tvdijen
@RemcoDelft6 november 2006 18:17
Je kunt mijns inziens dan ook betere je geld en mensen inzetten op een degelijk OS, dan op antivirus/firewall software.
RemcoDelft
@RemcoDelft6 november 2006 18:56
Dan nog: als ik als gebruiker een programma wil starten dat mijn data wist, moet mijn OS het eens durven om zich daar mee te bemoeien!
De zwakke plek blijft de gebruiker. Als een Linux-gebruiker via Wikipedia een simpel scriptje `rm -rf /` download, en dat gaat starten, is-ie ook van alles kwijt! Zolang de gebruiker een klik-maar-raak-mentaliteit heeft, blijft dit. En wat mij betreft is het ook helemaal geen probleem, maar eerder een soort selectie...
n4m3l355
@bszz6 november 2006 15:00
ugh?
w2k komt meer voor in het bedrijfsleven, keurig achter een firewall zitten die wel veilig.
Hoe kom je erbij dat het geen blaster is en dat er 20 virusscanners zijn bij wiki? Het staat in de post dat het om blaster gaat, verder stond de virus niet op wiki zelf maar via een redirect naar het download proggie. Tevens 20 virusscanners? Ook die snap ik niet helemaal.
--edit--
@ronny
Geen idee waar deze reactie vandaan komt. Ik heb het nergens over XP, ik stel echter dat het verhaal van 20 virusscanners uit de lucht gegrepen is, noch in de post v tweakers noch in de post v BBC wordt daar een woord over gerept. Men stelt wel bij bbc dat het gewoon over een variantje gaat v blaster
The page hijacked by the virus creators was about a new variant of the Windows Blaster worm. This malicious program debuted in 2003 and caught out many PC users.
bszz
@n4m3l3557 november 2006 10:55
@n4m3I355:
w2k komt meer voor in het bedrijfsleven, keurig achter een firewall zitten die wel veilig.
Onzin, Windows2000 komt bij heel veel thuisgebruikers voor, en bovendien vindt ik het nogal naief om te denken dat alle bedrijven hun beveiliging op orde hebben. Ik heb heel wat bedrijven van binnen gezien en er zijn er vele zo lek als een mandje. Buiten dat is het detecteren van een virus waarvoor nog geen virusdefinities zijn bijzonder lastig.
Hoe kom je erbij dat het geen blaster is
De bewuste pagina ging over een variant van het Blaster virus. De link naar het progje leidde naar 'kwaadaardige' code, maar nergems staat dat het om het Blaster virus ging! Goedgelovigheid is hier niet alleen een gevaar, maar ook goed lezen!
Tevens 20 virusscanners? Ook die snap ik niet helemaal.
Als je artikel leest staat het er gewoon:
want alhoewel er meer dan twintig virusscanners op werden losgelaten
The page hijacked by the virus creators was about a new variant of the Windows Blaster worm.
Oftewel in het Nederlands:
De door de virusschrijvers gekaapte pagina ging over een nieuwe variant van de Blaster worm.......

Waar staat nou dat het virus waarnaar het linkje op deze pagina verwijst een Blaster variant is? Ik zie het niet en het staat er volgens mij ook niet...
bartgabriels
@Daimanta6 november 2006 14:41
Misschien is de grap van die pagina nu net dat het geen Blaster virus was ;)
Anoniem: 194336
@Daimanta6 november 2006 14:43
een nieuwe versie van het Blaster-virus
FReaKaNDeLL
@Daimanta6 november 2006 14:44
(trouwens, iedere normale XP gebruiker is toch wel beschermt tegen Blaster met SP2)
Nee:
Het was kennelijk erg nieuw, want alhoewel er meer dan twintig virusscanners op werden losgelaten, was geen enkele in staat het te herkennen.
Anoniem: 64755
6 november 2006 14:33
http://nl.wikipedia.org/wiki/Computervirus }>
koelpasta
6 november 2006 16:30
oeioeioeioie, de grote boze <citaat>Hackers</citaat> zijn weer bezig!

...want iedereen die een wiki kan editen is een hacker... |:(
Anoniem: 19076
6 november 2006 16:38
En dan de volgende stap: kopieën van de worm kiezen willekeurige wikipagina's, voegen een link naar zichzelf toe, en mailen de link naar de pagina rond. Dan kunnen wikibeheerders wel bezig blijven. Brrrr.
PanMan
@Anoniem: 190766 november 2006 17:36
Maar dat heeft niet echt nut... De wikipedia tussenstap werd hier gebruikt voor de betrouwbaarheid, zo van: "Het staat op wikipedia/blastervirus/, download nu!". Dat kan niet bij willekeurige pagina's, want " het staat bij wikipedia/appeltaart" is een stuk minder betrouwbaar.
T!mothy
6 november 2006 16:55
aan de ene kant vind ik het goed dat er virussen zijn omdat de beveiliging dan steeds hoger word, maar dit vind ik toch wel een vuile streek...
Dennizz
@T!mothy7 november 2006 07:38
Je kunt als hacker/security expert die een exploit of vulnerability heeft ontdekt ook een proof of concept virus naar software en/of anti-virus fabrikanten sturen ipv een kwaadaardige versie te bouwen.

Als daar dan niets mee gebeurd, vind ik het pas terecht (niet legaal, maar terecht) dat je een worm/virus de wereld in trapt om de software/anti-virus fabrikanten op scherp te stellen.
Anoniem: 24417
6 november 2006 17:16
irritante kiddo's die dit doen.

wat het met hacken te maken heeft echter ontgaat mij volledig :?
Anoniem: 151145
6 november 2006 14:51
Nee, dan zou de hele Tucows stapel worden verbrand (Wikipedia in dit geval dus).
RwD
6 november 2006 15:08
Nog best knap dat het niet herkend werd door virusscanners. Ik heb jaren geleden (199x/2000 ongeveer) een programma gemaakt dat bij het afsluiten zichzelf opstartte en nog een paar dingetjes had om te zorgen dat het bleef draaien. Het uiteindelijke doel was op commando ineens heel vaak zichzelf starten om zo een systeem heel langzaam te laten draaien. Het programma had als voorkant een plaatje van cartman; heel irritant en heel toepasselijk.

Het punt was nou dat virusscanners het als een virus zagen terwijl ik alles zelf gemaakt had zonder ergens iets van over te nemen. En virusscanners blijkbaar toen al naar patronen in programma's zochten. Dus wat moet je maken zodat een virus niet herkend wordt htd???
hackerhater
@RwD6 november 2006 17:28
Virrusscanners zoeken idd naar patronen en na gedrag

Jouw programma kon niet normaal gestopt worden en zo
Daarom zal het wel als virus aangemerkt zijn
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee