'Dynamisch geobfusceerde' malware in opkomst

Volgens securitybedrijf Finjan maken virusbakkers steeds vaker gebruik van technieken die bij iedere besmetting dusdanig andere code opleveren, dat opsporingsmethoden van antivirussoftware er niet in slagen de malware te herkennen.

malware clones De malwaretechniek wordt omschreven als 'dynamic obfuscation'. Obfuscation wordt wel door softwarebedrijven gebruikt om sourcecode onleesbaar te maken zodat er niets mee gedaan kan worden bij ongewenste toegang tot de programmatuur. Een variant is code morphing: hierbij wordt de code zodanig gewijzigd dat de uiteindelijke gecompileerde machinecode verandert. Afhankelijk van het type malware zijn beide technieken interessant door de boze bril van de virusschrijver bekeken: er kan mee bereikt worden dat iedere bezoeker aan een geïnfecteerde website op een andere instantie van effectief hetzelfde stukje kwaadaardige software wordt getrakteerd. Dat kan bestaan uit het geven van willekeurige functie- of parameternamen tot het verschuiven van blokken assemblycode. Er zouden al toolkits zijn gesignaleerd die het obfuscatieproces volledig automatiseren. Het blokkeren van dergelijke malware, die zich in talloze verschillende vormen kan openbaren, wordt daardoor tot een explosief moeilijkere taak, zo waarschuwen de onderzoekers.

Reacties (86)

Anoniem: 64607 9 januari 2007 00:17

Theoretisch zou ik zeggen dat bij gelijke invoer de uitvoer altijd indentiek zal moeten zijn (anders is er meer mee gebeurd dan slechts obfuscation). Dus door een deel van de code te laten lopen in een sandbox zou je dergelijke programmas aan de uitvoer moeten herkennen. Kortom als de malware bakkers wat bedenken dan bedenken de anti-malware bakkers waarschijnlijk ook wel weer iets.

charlie @Anoniem: 64607 • 9 januari 2007 00:21

Ja, en heb je tenlotte een quad-quadcore cpu en een halve terrabyte geheugen om je malware scanners te draaien...

pinockio @charlie • 9 januari 2007 12:44

teRabyte (met één r dus)

terra = aarde
tera = 10^12

http://nl.wikipedia.org/wiki/Tera

Veel tweakers doen dit consequent fout, wat erg jammer en onbegrijpelijk is. (Waarom schrijft niemand "meggabyte", "killobyte" etc.?)

MisterData @charlie • 9 januari 2007 08:00

Ik denk dat dat wel meevalt hoor. Niet alle bestanden bevatten x86-code, en alleen die bestanden hoef en kun je in een VM uitvoeren. Het probleem is meer dat deze techniek niet alleen op x86-code kan worden gedaan door wat assembly heen en weer te schieten, maar ook in andere virustalen (denk aan macrovirussen...). virusscanners scannen nu al op het moment dat code wordt uitgevoerd, dus die check moet gewoon wat worden veranderd om ook dit soort veranderende programma's toe te staan

Er zal iets moeten worden bedacht om niet meer aan de hand van signatures, maar andere kenmerken een virus te herkennen. Misschien dat ze vooraf kunnen analyseren hoeveel API-calls een bepaald virus maakt en bij verdacht gedrag het programma stilzetten.

memphis @charlie • 9 januari 2007 10:39

Ja, en heb je tenlotte een quad-quadcore cpu en een halve terrabyte geheugen om malware en virussen te draaien...

Mathijs1 @Anoniem: 64607 • 9 januari 2007 03:00

Maar hoe bepaal je wat de effectieve uitvoer is van een stukje malware? Als er naast het vernielen van je systeem een bestandje foo.txt wordt aangemaakt door malware A en een bestandje bar.txt door malware obfuscated(A) met dezelfde inhoud, is dat dan hetzelfde of moet je dat als verschil zien?

Anoniem: 64607 @Mathijs1 • 9 januari 2007 09:27

wat de specifieke invoer is en op welke specifieke kenmerken gelet moet worden is om zo maar te zeggen de blauwdruk van het malware of zoals het bij virusscanners heet 'virus definition files'. Stel dat een stuk malware de harde schijf scanned voor bestanden die eindigen met de extensie PDF. Als de malware een PDF bestand vind opent het een verbinding met een server genaamd http://im.a.malware.server. Het feit dat de malware reageert op het vinden van een PDF door een verbinding met deze server zal genoeg moeten zijn als 'definition'. Voor de malware scanner: De invoer is een fake PDF bestand, de uitvoer is het feit dat er verbinding gemaakt wordt met deze server. De malware kan dan opzich duizend andere dingen doen, maar die zijn op zich niet relevant voor de herkenning.

Boogie @Anoniem: 64607 • 9 januari 2007 17:34

Dat is ook te faken, wat als je pdf een link bevat naar
http://im.a.malware.server en de volgende besmette pdf naar http://me.to.malware.server en de volgende naar http://something.else.malware.server

Een webserver die alle subdomeinen bedient via 1 website is niet moeilijk in te richten, virussen die steeds een andere 'verschijning' maken (blijkbaar) ook niet. De virusscanner-maker zal (traditioneel) op voorkomen van http://im.a.malware.server scannen en niet op http://• malware.server

Acid_Burn 9 januari 2007 02:06

Dit is toch niks nieuws? In het DOS tijdperk waren er al virii die veranderden per besmetting. Toen heette het alleen anders. Polymorfische virussen oid.

cappie @Acid_Burn • 9 januari 2007 08:53

Dat is precies waar ik aan zat te denken toen ik dit artikel las.. feitelijk is het oud nieuws, want het eerste stukje 'Dynamisch geobfusceerde malware' (een polymorphisch virus dus) werd al in 1990 geschreven en heette '1260'.

Voor meer info, zie het artikel Polymorphic Code op Wikipedia.org

Anoniem: 19076 @Acid_Burn • 9 januari 2007 12:12

Inderdaad. Daarnaast had je ook al metamorphische virussen, da's nog weer een stapje verder dan polymorphic (zoals Zmist http://pferrie.tripod.com/papers/zmist.pdf). Verder klinkt het bericht wat vaag. Maar zo'n "toolkit" waar het overgaat kan bv. al een gcc versie zijn waarin het code generatie gedeelte is aangepast, of een stap terug in de keten: een tool die .C bestanden door in war gooit. Maar ik kan me goed voorstellen dat het problemen oplevert; polymorphisme was nog eenvoudig te detecteren met emulatoren, bij fatsoenlijk metamorphisme heb je daar niets aan.

IndoBoy 8 januari 2007 23:57

De virusscanner kunnen tegenwoordig toch ook al op oneffenheden scannen. Dus als een bestand een vreemde samenstelling heeft, maar nog niet als virus bekend is deze toch wordt gedecteerd of verwijderd? Als dit optimaal werkt dan zou dit in principe geen probleem moeten zijn lijkt mij.

@reacties hieronder:

Wat ik bedoel is heuristische detectie (gedragsherkenning). Deze analyseerd bedreigingen.

DogMatica @IndoBoy • 9 januari 2007 00:05

Wat bedoel je met oneffenheden in assembly code? Dit klinkt me vrij abstract.

J.J.J. Bokma @DogMatica • 9 januari 2007 02:49

B.v. willekeurige instructies gemengt met de echte instructies die effectief niets doen. Het programma wordt langer, maar de uitvoer is identiek.

Er zijn diverse manieren om bij elke installatie van dergelijke malware dergelijke instructies met elkaar om te wisselen b.v. of uit te wisselen met andere delen van het programma.

Anoniem: 30917 @J.J.J. Bokma • 9 januari 2007 10:11

B.v. willekeurige instructies gemengt met de echte instructies die effectief niets doen. Het programma wordt langer, maar de uitvoer is identiek.

Dat is vrijwel onmogelijk te automatiseren, dan moet elk willekeurig programma geannalyseerd worden op efficientie? Veel te ingewikkeld, alle mogelijkheden in het verloop van de assembly code moet nagegaan worden.

Al zou het werken, ook gewone programma's hebben wel 'ns nutteloze code dus dan zouden er veel onterechte hits komen. Bovendien kun je makkelijk extra code toevoegen die wel iets doet maar net anders.

Als er een programma'tje is dat onmiddellijk kan zien of een programma ook maar iets efficienter kan dan weet ik daar veel intereressantere toepassingen voor...

Tiny @J.J.J. Bokma • 9 januari 2007 09:13

Is bijvoorbeeld een security patch dan ook niet een oneffenheid? Of begrijp ik je uitleg verkeerd?

TheCapK @DogMatica • 9 januari 2007 19:54

Als een programma gewijzigd wordt en jij weet daar niks vanaf dan zal een goede virusscanner de verandering detecteren en vragen of dit klopt of niet. Zeg jij nee omdat je geen update hebt uitgevoerd van dat programma dan zal je virusscanner dat dus in quarantaine plaatsen en later verwijderen, afhankelijk van je instellingen.
De grootte van de meeste bestanden zijn vaak wel bekend bij je virusscanner als je die al eens eerder hebt gedraaid.

Anoniem: 193577 @IndoBoy • 9 januari 2007 00:14

Is dat zo? Ik zie altijd die virusscanners wel standaard op SMART scan staan. Dan vergelijkt ie alleen met de database toch? Aangezien het gros van de pc gebruikers er geen klap vanaf weet en ze installeren norton en denken dat het goed komt wordt het malware probleempje denk ik toch wat serieuzer.

Anoniem: 50893 @Anoniem: 193577 • 9 januari 2007 01:47

Als gebruiker betaal je geen dure paketten om er iets vanaf te moeten weten en jah, je mag verwachten dat je voor elk nieuw verschijnsel beveiligd word

Zouden ze nog bestaansrecht hebben als ze niet je gegevens kunnen beschermen of je computer ? Lijkt me sterk.

Het word eens tijd dat overheden gaan inzien dat de strafmaat dusdanig hoog moet worden dat een virusschrijver zich wel 2 keer bedenkt om troep te blijven maken. Het verleden heeft laten zien dat die zogenaamde strafmaat vaak bestaat uit beloningen, zoals vette kontrakten bij grote bedrijven.

Zolang dat niet veranderd blijven we dit gezeur houden, terwijl de economie alleen maar verlies lijdt door dit soort zaken, aangezien een groot deel van consumenten wereldwijd winkelen en online bankieren nog steeds niet genoeg vertrouwen.

Anoniem: 54766 9 januari 2007 08:49

Je zult maar een besturingssysteem draaien dat gevoelig is voor dit soort onzin! Hoe veel tijd denk je dat het gemiddeld kost zo'n virus van je computer te krijgen, en dan maar hopen dat je creditcard gegevens niet al pleite zijn.

Anoniem: 175233 @Anoniem: 54766 • 9 januari 2007 09:11

Alle OS'en zijn gevoelig voor dat soort onzin.
Jouw creditcard gegevens staan normaal gesproken niet op jouw computer.... Maar als ze erop staan, dan staan je op plekken die met jouw (eventueel ingeperkte) user rechten berijkbaar zijn.

yiNXs @Anoniem: 175233 • 9 januari 2007 09:26

Precies, en het is niet het OS, het is de manier waarop het gebruikt wordt. Niet zo gek dat die zooi werkt als bijna iedereen de computer bedient vanaf een account met adminrechten.

Als iedereen netjes gewoon netjes onder een user account zou werken zou er een stuk minder aan de hand zijn. Niet dat ik het doe hoor, ik ben ook gemakkelijk. Mocht ik me ooit weer wagen aan linux/bsd of een ander pakket waarmee je meer met het os speelt dan met je software, dan zou ik waarschijnlijk ook 90% van de tijd onder root werken. Tja...

Anyway, die linux houding met "het ligt aan het os" is ook een beetje gemakkelijk. Er kunnen net zo makkelijk virussen voor geschreven worden, het is alleen niet zinvol met dat handjevol gebruikers. Net als dat IE nogsteeds het favoriete doelwit is. Opera of Firefox e.d. zijn echt niet veel veiliger, ze zijn gewoon minder interessant, en dat is echt de enige reden.

edit:

Kom op, dit is geen troll. en het originele bericht is zeker geen +4, dat is eersterangs flamebait. Wanneer houdt die OS kruistocht eens op, wees blij dat er keuze is.

b19a @Anoniem: 175233 • 9 januari 2007 09:59

Bereikbaar

frickY 9 januari 2007 08:45

ZoneAlarm pro waarschuwt me gewoon wanneer er iets in mn OS probeerd te klooten. Of he dader nu als 'virus' kan worden bestempelt of niet, blokkeren kan altijd.

Heb je alleen een eindgebruiker nodig die snapt en weet wat hij wel en niet wil toestaan.

yiNXs @frickY • 9 januari 2007 09:14

Tja, ik merk dat een hoop mensen hier volledig op vertrouwen, maar ik moet je helaas vertellen dat dit alleen werkt als programmas op de nette manier iets wegschrijven of doen, wat een beetje virus natuurlijk niet doet. Ik heb een week geleden nog een stapel virussen en trojans verwijderd bij iemand die ook blind vertrouwde op z'n zonealarm, hij had de computer net een week en perongeluk een dropper gedownload die 'm getrakteerd had op zo'n 15 spyware/trojan pakketjes. Zonealarm gaf geen kik.

Wie vertrouwd op softwarepakketen om zich te beschermen komt erg bedrogen uit (zeker software firewalls, de grootste onzin op deze aardbol). Ik scan eens in de zoveel tijd zelf m'n machine en kom regelmatig nog iets fouts tegen dat de virusscanner of anti-spyware programma toch echt niet gezien heeft.

En wat betreft deze virussen die zichzelf onherkenbaar maken, dit is ook niets nieuws. Er was heeeel lang geleden al het grote nieuws van de "stealh" virussen, die zichzelf ook aanpaste om niet herkend te worden. Dit is slechts een iets andere techniek.

Nu is de vraag: hoe lang zal het duren voordat een groot heldhaftig viruspakket hier een oplossing voor heeft, zodat wij ons als gebruiker in nood deze redding kunnen aanschaffen

Gody @frickY • 9 januari 2007 20:13

Ik weet niet exact hoe ZoneAlarm Pro werkt. Blokkeert die iedere executable die gestart word, of alleen diegenen die aan OS-gerelateerde gemaarkeerde bestanden komen? Als het virus nu je hosts aanpast of de executable van Word of als ie eerder dan ZoneAlarm start, of ZoneAlarm uitschakelt? Bij voorbaat er vanuitgaan dat je veilig bent is mi not the way in computerland. Je moet ook weer niet compleet in paniek raken als je het woord computer ook maar hoort, maar enige voorzichtigheid en oplettendheid kan geen kwaad natuurlijk.

Ik ben benieuwd naar de ontwikkelingen hieromtrent en countermeasures hiertegen.

cybero @frickY • 10 januari 2007 22:46

Zonealarm en andere soort gelijke programma's zijn niet perfect. Ze moeten zich namelijk inhaken in windows en als zij dat kunnen kan een virus dat ook...

Ik heb op een helpdesk gewerkt en als het niet dubieuze software is wat het systeem om zeep helpt is het wel een anti-software pakket.. Omdat beide zich in de Layered Service Provider (LSP) nestelen.. Het is een gevecht. Tja mensen zullen toch een keer moeten leren niet als administrator te werken...

Browser in chroot of meer van deze tijd in een aparte vm. Zo ver weg is dat niet. Op servers word steeds meer gekeken om alle services in een aparte vm te draaien. Ideaal is het niet geef ik toe. Je zult toch ergens data moeten doorschuiven.

Beter zou het zijn om de huis-tuin en keuken routertjes uit te rusten met scanning software en alarm geeft alla Qnet uit uTwente..
Aantal uitgaande smtp verbinding bijhouden klaar.

Maw meer beveiligings werk daarnaar toe schuiven. (alleen dat wat kan natuurlijk.) voordeel is dat het:
* minder resources zuipt
* minder makkelijk te hacken (ook als de machine is geinfecteerd.)
* Alle compu in een keer..

OMEGA_ReD 9 januari 2007 00:03

Dit zal inderdaad een gevaarlijke ontwikkeling zijn, het zal de antivir programmeurs veel meer tijd kosten om zo'n virus compleet te kunnen verwijderen(in al zijn vormen en gedaantes) dit kan ook resulteren in extreem veel updates en enorme virus definitie bestanden. Maar uit eindelijk zullen er wel weer oplossingen worden verzonnen, het moet wel ze worden er min of meer toe gedwongen wat ook weer op zich geen slechte ontwikkeling is. Gaat een beetje 2 kanten op haha.

ronny @OMEGA_ReD • 9 januari 2007 08:50

Het hoeft geen probleem te zijn.
Je kan op de site van VMware een player downloaden en daarbij een OS dat enkel geschikt is om te browsen.
Doordat je in een read only OS zit is het geen probleem om wat voor site dan ook te openen. enkel als je dingen gaat downloaden moet je oppassen wat je binnen haalt.

Tees @ronny • 9 januari 2007 09:21

[gewonemensenmode]VMware? OS? Read-only? Ik snap er nix van hoor, ik klik wel gewoon op ja.[/gewonemensenmode]

Je hebt natuurlijk gelijk dat dat de boel oplost voor normaal sitebezoek, maar tis veels te ingewikkeld voor de gemiddelde gebruiker. Die denkt met z'n virusscanner en vuurmuurtje geactiveerd gewoon veilig te zijn.

mae-t.net @Tees • 9 januari 2007 12:19

Als je die gewone gebruiker na een flinke virusinfectie vertelt wat voor hopeloze bagger Norton is, en dat de rest maar een klein beetje beter is, en vervolgens in een virtuele machine laat surfen is hij prima tevreden. Ik zie niet helemaal waar het ingewikkeld zou worden?

ravenamp @Tees • 9 januari 2007 21:18

Als je die woorden niet kent vraag ik me af waarom je op deze site zit, maar goed niet iedereen kan alles weten. Er is trouwens ook nog zoiets als een zoekmachine als je graag wilt weten wat iets is.

Voor deze keer een kleine uitleg: VMware is een programma die je op een OS ( = Operating System = besturingsysteem = windows/linux/etc. ) kunt draaien en is een virtuele computer waar je weer een ander OS op kunt installeren. Je ziet een virtuele computer in een venster. Het is dus alsof je een ander besturingsysteem op je bestaande besturingssysteem draait, maar in werkelijkheid is het gewoon een bestand op je harde schijf. Ik denk dat Tees bedoelt dat je ook een kant en klaar VMware bestand kunt downloaden met alleen maar een OS met een browser en verder niets.
Read-only = alleen lezen. Je kunt dus browsen wat je wilt, er word niets naar je (virtuele) harde schijf geschreven, dus ook geen virus/spyware/adware.

Anoniem: 85288 @Tees • 9 januari 2007 22:45

Dat is nou precies wat Tees bedoelt.

Niet iedereen met een internet aansluiting komt op Tweakers.net of weet wat de diverse termen betekenen.
Oftewel de noob klikt er maar op los, en dan praat je toch over de meerderheid van de internet gebruikers.

VandrHam @Tees • 10 januari 2007 11:32

Sorry hoor, maar het is toch van de gekken dat je, simpelweg om het risico op een virus te ontlopen, een volledige virtuele computer met browser moet gaan simuleren?

SuperDre @ronny • 9 januari 2007 20:04

tot er een fout/exploit in de player gevonden wordt ja..

mr.zeno @ronny • 9 januari 2007 20:10

Ik vraag me dan af, als ik in mijn guest OS vmware tools installeer kan het guest os communiceren met zijn host..

Heb hiervan ook al wat leuke expirimenten voorbij zien komen.

Hoe lang zal het duren voor de malware detecteerd dat hij in een vm zit, en een 'feature' in de vm-drivers of vm-tools misbruikt?

Maar voorlopig is het inderdaad veilig, maar of dat dan ook echt user friendly is .. ?

Anoniem: 88453 9 januari 2007 07:50

Dat betekent dat de anti-virussoftware in de toekomst nog veel meer systeemgeheugen gaan gebruiken.
Dit zal weer een flinke vertraging van het systeem betekenen.
Voor mensen met een oudere PC is dat wellicht een reden om geen virusscanner meer te gebruiken.

Rembert @Anoniem: 88453 • 9 januari 2007 16:25

Inderdaad, als de virusscanner in kwestie met gewone fingerprinting technologie werkt, dan heb je een enorme bak fingerprints nodig, alsook logica die de morphing technieken proberen te doorgronden.

Maar er zijn ook virusscanners die het anders doen en stomweg kijken naar hetgeen software uitspookt op een systeem. Als daar verdachte handelingen tussen zitten, dan grijpt de virusscanner in en probeert dan te achterhalen welk virus het hier is - kans is dan behoorlijk dat het ding zegt "een nog onbekend virus is aangetroffen". Deze techniek staat bekend als heuristieke zoekmethodiek. Een topvirusscanner wat dit betreft is NOD32. Qua fingerprinting is bv. AVG een goede.

NB. lees voor virus ook malware.

In het dagelijkse leven kun je dit vergelijken met het zoeken naar inbrekers: de ene kijkt naar het uiterlijk: zwart maskertje voor, breekijzer in de rechterhand, jute zak in de linkerhand. Iemand die naar een gemaskerd bal gaat, is dus de lul. De andere kijkt naar wat iemand doet - whatever zijn outfit. Trapt ie een deur in en dringt hij ergens binnen, dan is t vast een inbreker...

Ik maak me dus zelf helemaal geen zorgen over die obfuscating malware. Zodra die malware actief wordt, zal een goede virusscanner de malware kunnen detecteren.

BonzO @Anoniem: 88453 • 9 januari 2007 08:03

Je kunt malware & virussen ook voorkomen door een beetje na te denken bij het surfen en de mail te openen. Dit hoeft niet persé met de real-time protection van virusscanners.

Anoniem: 25752 9 januari 2007 12:50

Ja dan kom je toch niet onder het sandbox princiepe uit... Dat software dus niet meer meteen op de hardware draait, maar met een tussenlaag, waardoor het gedrag van software te observeren is, en malware dus door de mand valt..

Anoniem: 146043 9 januari 2007 09:33

Dit is gevaarlijk te noemen en ik ken slechts een paar maatregelen tegen dit ongein.

1. Linux. het is weer eens een dooddoener, maar deze keer niet. Ik zit al langer na te denken om over te stappen op Linux. Ik moet alleen nog even de goede distro vinden. Windows houd ik dan voor de games zonder internet.

De sourcecode is bij Linux open zodat er in theorie niets te verbergen valt door malware. Een rootkit voor Ext3 ben ik nog niet tegengekomen.

Het is afwachten nu welke kant we opgaan.

Doemscenario 1:

Je machine raakt desondanks zijn veiligheid toch besmet en je zou het op ten duur merken. Je bent al geschaadt omdat men alreeds toegang kreeg. Het enigste wat je nog kunt doen is een verse install en hopen dat men niet je persoonlijke gegevens bezit. Geeft je dat een lekker gevoel?

Droomscenario 2:

Ik heb windows zonder internet en alleen en puur voor de games. Online gamen heb ik afgezworen omdat het te gevaarlijk is en games gaan een andere kant op.
Ik heb Linux voor mijn zakelijke doeleinden.

Dat is wat er over een tijd te zien is. Ik geloof dat Windows Vista een gruwelijke oorlog te wachten staat. De oorlog tussen het kwaad en het goed. Ik betwijfel of Windows Vista die gaat winnen omdat Windows Vista miljoenen zo niet miljarden PC's moet beveiligen.

Linux geniet minder bekendheid en als je het goed configureerd hoef je niets te vrezen. Je documenten en data staan veilig achter een rootpassword.

Nu de tips:

Internet met IE6 is uit den boze en je tart het lot van vele kanten.

1. Firefox met de NoScript plugin is een goed begin van beveiliging. Jij bepaald zelf ofdat scrips worden toegestaan en natuurlijk sta je dat niet toe op veel sites. Ik ben er erg content mee.
IE6 staat ook op het bureaublad, maar deze staat op de sterkste beveiliging zodat normaal surfen bijna onmogelijk is. Voor een stoute surfsessie is het uitermate handig.

En jij dacht dat tweakers.net 1 enkele server was?

In NoScript moest ik !!5!! servers toestemming geven alleer ik dit bericht kan posten.

Google-analytics.com
Tweakers.net zelf natuurlijk

Googlesyndication.com
2mdm.net
Doubleclick.net

Nu kun je met het freeware Pingplotter de serevers even nalopen en kijken hoe en wat. Uitermate handig programma!

De 2 google ingangen wijzen mij naar een Google bot en Google analytics. Pas dus op wat je post hier want alles valt na te trekken met Google. Ik zou die 2 Google ingangen graag zien opzouten.

PolarBear @Anoniem: 146043 • 9 januari 2007 09:52

De sourcecode is bij Linux open zodat er in theorie niets te verbergen valt door malware. Een rootkit voor Ext3 ben ik nog niet tegengekomen.

1. Voor Linux zijn heel wat (gemene) rootkits te vinden.
2. Je bent nog geen rootkit voor Ext3 tegengekomen. Hoe stel je je dat precies voor? Een rootkit voor een filesystem?
3. De sourcecode van Linux is beschikbaar. Dat betekent niet dat je er geen rootkits voor kan schrijven of dat er niets te verbergen is door malware. Bovendien, kan jij de source van Linux controleren? Waarschijnlijk niet. Dus jij bent afhankelijk van het oordeel van een ander.

Ik heb Linux voor mijn zakelijke doeleinden.

Tweakers gaan over naar Linux, gewone gebruikers zullen sneller naar OS X kijken. Let's face it, voor de gemiddelde gebruiker is de overstap naar OS X makkelijker dan naar Linux en OS X ziet er standaard prachtig uit.

Firefox met de NoScript plugin is een goed begin van beveiliging. Jij bepaald zelf ofdat scrips worden toegestaan en natuurlijk sta je dat niet toe op veel sites. Ik ben er erg content mee.

Je hebt geen idee he? Afgezien van mogelijke bugs heeft scripting binnen Firefox geen mogelijkheid ongezien de lokale PC te bereiken. Dus waarom zou je je surfen moelijker maken door overal te bepalen of je bepaalde javascript wel of niet wil uitvoeren? Veel gevaarlijker is het om "GratisNaaktFotos.exe" te downloaden en te installeren....

En jij dacht dat tweakers.net 1 enkele server was?

Nee, daar zijn ook divese .plans over.

In NoScript moest ik !!5!! servers toestemming geven alleer ik dit bericht kan posten.

Leuk surfen doe je. En wat bereik je er mee? Dat Google (2x) en Doubleclick weten dat je tweakers hebt bezocht. Als je nou echt zo paranoide bent, en dit wel toelaat dan ben ik bang dat je nog veel meer over het hoofd ziet.

edit:

Je hebt geedit:
[quote]
De 2 google ingangen wijzen mij naar een Google bot en Google analytics. Pas dus op wat je post hier want alles valt na te trekken met Google. Ik zou die 2 Google ingangen graag zien opzouten.
[/quote]
En meteen sla je door door "alles valt na te trekken met Google" te roepen. Je hebt echt geen idee van dingen op hun waarde inschatten?

Nu kun je met het freeware Pingplotter de serevers even nalopen en kijken hoe en wat. Uitermate handig programma!

Kan je mij vertellen wat je bij een server kan nalopen met pingplotter

Anoniem: 90101 @Anoniem: 146043 • 9 januari 2007 12:02

ik hoef geen 5 sites toe te laten om te posten.

enkel tweakers.net

als jij ze alle 5 toelaat ben je omgekeerd bezig.

leuk_he @Anoniem: 146043 • 9 januari 2007 11:25

Linux heeft er niet zo heel veel mee te maken. Meer het feit dat linux nog niet zo weidverbreid is en dus geen doel van malware.

En er zijn wel degelijk stevige rootkits op linux bekend. Dat draait gewoon als kernel module mee en is file systeem onafhankelijk.

Verder hoef je alleen tweakers.net scripts te enablen om te posten. Als ad sites zo nodig javascript nodig hebben is dat hun keuze, niet de mijne.

Anoniem: 77995 @Anoniem: 146043 • 9 januari 2007 11:40

Doem doem doem. Valt allemaal best mee. Gewoon weer een extra probleem (*uitdaging* kuch) om op te lossen.

En ach, als vaste Tweaker gebruik je Firefox met een adblocker dus zie je geen ene advertentie hier (sorry guys) en die nare google analytics sites en doubleclick worden al láng geblocked in je hosts-file.

Niks aan het handje.

aval0ne @Anoniem: 146043 • 9 januari 2007 14:56

Ik zou in jouw geval gewoon geen computer gebruiken. Ben je 100000% zeker veilig! En hoeven we je paranoia ideeën niet te lezen.

Kaastosti 9 januari 2007 07:59

Mensen die dit soort programma's de wereld in helpen mogen ze wat bij betreft gewoon opsluiten... als je bekijkt hoeveel mensen ze er last mee bezorgen

De gemiddelte tweakert weet ongeveer wel wanneer er iets niet in de haak is met het systeem, maar de wat oudere gebruiker heeft geen idee.

We zijn verdoemd

Tyf @Kaastosti • 9 januari 2007 08:31

opgelet, de gemiddelde tweaker weet tegenwoordig niet meer of er iets aan de hand is. Virussen zijn tegenwoordig niet meer om kapot te maken, maar om in te breken en gegevens te bemachtigen, of een botnet te vormen. Als deze dan nog eens goed afgesteld is en alleen werkt wanneer jij op internet zit zie je nie eens dat er netwerkactiviteit is wanneer jij niks staat te doen. Ga je lekker pc-backing doen op een infected machine en je weet het totaal niet.

Parasietje @Kaastosti • 9 januari 2007 08:28

Ach, ik verlang nostalgisch terug naar de tijd waar virussen schrijven nog een kunst was. Waar het nog meer op wetenschap gebaseerd was, dan op geldgewin.

Toen hadden virusschrijvers een functie: drukkingsgroep naar bedrijven zodat security holes snel gepatched werden.

Overigens is de oplossing duidelijk: afstappen van de huidige Windows monocultuur die we nu hebben. Als een boer al zijn velden vol tarwe zet, heeft hij ook binnen de kortste keren virussen.

Eric Oud Ammerveld @Parasietje • 9 januari 2007 08:59

Je verlangt nostalgisch terug??
Je bent net 20 jaar oud!

Maar goed, het ping pong virus dat je "Leisure Suite Larry in the Land of the Lounge Lizzards" spel deed vertragen was inderdaad erg leuk geschreven voor die tijd.

Ook het NATAS aka SATAN virus dat je harddisk veel kleiner en je floppy's veel groter deed lijken dan ze daadwerkelijk waren was een hoogtepuntje.

Greyh0und @Eric Oud Ammerveld • 9 januari 2007 09:35

Ik ben 19 en ik verlang ook wel eens terug naar de "oude dagen" toen ik nog geen internet had, lekker commander keen speelde en nog maar hooguit 3 uur per dag op de pc mocht...

dus mensen die nog maar 19/20 zijn kunnen ook nostalgisch terug denken hoor

Anoniem: 175233 @Parasietje • 9 januari 2007 09:07

@Parasietje: Je hebt een raar beeld over vroeger. Waarschijnlijk omdat je dat 'vroeger' niet zelf bewust beleeft hebt....

Virusschrijvers waren toen net zo kwaadaardig als nu. Het financiele aspect ontbrak weliswaar... maar denk nou niet dat dat van die lieve broeders waren, die security holes gepatched wilden zien. Dat is totale onzin. Het was toen simpelweg vandalisme. (En soms terrorisme, zoals het Jerusalem virus)

stijnos1991 @Kaastosti • 9 januari 2007 08:00

NOD32

Oeps, deze moet 1 post naar boven!
mod maar weg

Op dit item kan niet meer gereageerd worden.

'Dynamisch geobfusceerde' malware in opkomst

Lees meer

Reacties (86)

Sorteer op:

Weergave: