Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 52 reacties
Bron: Techworld

Symantec heeft een publieke bèta van Norton AntiBot uitgebracht, dat via analyse van programma's moet bepalen of een pc deel is van een botnet, en deze in dat geval van de betreffende malware af moet helpen.

zombie squad Het antivirusbedrijf heeft de technologie om programmagedrag te analyseren van het bedrijf Sana Security gekocht, en dat aangevuld met elementen uit zijn eigen Sonar-analysesysteem. Volgens Symantec is AntiBot bedoeld om naast andere antivirusoplossingen te draaien. Er wordt niet gebruikgemaakt van de traditionele signatures om kwaadaardige software te herkennen; in plaats daarvan wordt naar zaken gekeken zoals vanwaar op het systeem de programmatuur draait, wat voor registerveranderingen het doorvoert, met wat voor internetsites het verbinding probeert te maken, enzovoort. Symantecs nieuwe telg pruttelt op de achtergrond mee om in principe alle programmatuur aan de antibotcontrole te onderwerpen. Hoewel de naam impliceert dat er specifiek naar botnetdeelname wordt gezocht, wordt er feitelijk naar meer algemeen gedrag gekeken, dat bij verscheidene typen malware voorkomt, zoals bijvoorbeeld keylogging. Symantec heeft nog niet bekendgemaakt wanneer de final release van AntiBot uit moet komen, noch wat het moet gaan kosten. Eerder dit jaar becijferde Googles 'internetevangelist' Vint Cerf dat 100 tot 150 miljoen van de 600 miljoen op het web aangesloten computers, deel uitmaken van een botnet.

Moderatie-faq Wijzig weergave

Reacties (52)

Het lijkt me veel logischer dat ISP's software gaan gebruiken om dergelijke PC's te detecteren, en dan natuurlijk mensen ook helpen er vanaf te komen. Tegen een bijdrage uiteraard, dan verdient die investering zich ook weer terug.
Het probleem is namelijk dat de huis tuin en keuken gebruiker geen idee heeft waar het over gaat, geen of inadequate kennis heeft om het probleem te lijf te gaan (hoeveel mensen zouden er nog zijn met het standaard wachtwoord op hun router ondank dat daar een bekende javascript attack voor is?)
Mat andere woorden: in plaats van lokale software waarbij normale gebruikers moeten lappen voor iets dat hun pc slomer maakt, waarvan ze de subscription laten verlopen en geen updates meer krijgen, kun je dit wellicht beter als extra service aanbieden bij een dsl abonnement.
Logisch, ja. Kan al jaren. En een paar ISPs doen dat ook. Het probleem is als ze Pietje zijn computer van het netwerk aftrappen, dat gaat Pietje of eerst boos doen, en dan naar een andere ISP. Of Pietje ruimt zijn rommelbak op, en na een week zit ie weer in een botnetje te draaien.

Als alle providers eens netjes gezamelijk een zwarte lijst bijhouden, en hun schouders ophalen als ze Pietje wegtrappen zou dit probleem al een stuk minder zijn.

Als verder mensen die de know-how hebben om zombies (computers die in botnets meedraaien) te rapporteren, zou ook helpen. Maar op een of andere manier koopt men liever wat software, en ruimt dagelijks de rommel op. Oja, en veel zeuren.

En voor mensen die denken dat botjes alleen op computers in vage landen draaien, hier een leuk lijstje: http://www.projecthoneypot.org/top_harvesters.php Verbaast mij overigens niks dat chello.nl daar meer dan 1x tussen staat. En dat zal over een maand of 3 niks anders zijn. Het levert namelijk niks op om dit soort zooi af te sluiten.
Alle negatief gezeur terzijde dit is nou net WEL een programmatje waar ik op zat te wachten en ik zou zeggen wellicht interessant voor een ieder met een 24/7 p2p bakje.
En verder iedereen die op het internet aangesloten zit.

Hmmmf....

"This platform is currently not supported" met 64-Bit versie op Win XP X64 SP2.

Ik installeer nooit beta software waarbij de bug in de installer zit ',0

[Reactie gewijzigd door fevenhuis op 12 juni 2007 04:40]

McAfee heeft al een tijdje van die functionaliteit... heeft bij een klant al eens een hele productieomgeving plat gelegd omdat ie dacht dat Oracle een bot was.
Geweldige systeembeheerder, vooral. Zeker niet even eerst testen, goed configureren en nadenken voordat je het uitrolt.
CAR + unicast reverse path op elke verkochte router als standaard instelling en je hebt van deze hele ongein af.

Overigens is dit al jaren goed gedocumenteerd echter in het Engels, door het als standaard instelling op te nemen die alleen uit te schakelen is nadat je de documentatie hebt gelezen en begrepen, weet je tenminste altijd waar een aanval vandaan komt en dus is de bot net binnen twee telefoontjes/mailtjes te vinden.
Klinkt interessant maar behoeft vind ik een linkje voor meer uitleg. Zelf nog nooit gehoord van CAR? en unicast reverse path levert http://en.wikipedia.org/wiki/Reverse_path_forwarding
Maar ik denk niet dat standaard routers dat kunnen...
Ik denk dat totaalgeenhard doelt op "Reverse path filtering" http://en.wikipedia.org/wiki/Reverse_path_filtering.

Komt er eenvoudig op neer dat doordat routers weten welke netwerken beschikbaar zijn, ze gespoofte bron IP adressen eruit kunnen filteren. Gespoofte bron IP adressen duiden vaak op een bot. De provider zou deze bot dan van het netwerk kunnen halen Echter als er bot-netwerken worden gebruikt zonder gespoofte IPs, heeft het al geen nut meer om deze methode toe te passen.

CAR is niet meer als een hele simpele QoS vorm. Het staat voor Commited Access Rate. Kun je mee instellen wat de maximum te gebruiken bandwith is voor een bepaalde service. Echter ook weer hetzelfde, bij het gebruik van een bot netwerk kun je ook eenvoudig om dit soort restricties heen. Zolang [capaciteit botnetwerk] > [capaciteit target] kun je theoretisch een succesvolle DDoS uitvoeren.

Wat dat betreft ben ik het dus niet volledig eens met totaalgeenhard dat die twee zaken de hele ongein oplossen.
Als alle ISP's op aarde uRFP + CAR zouden gebruiken dan is het probleem opgelost.

Het enige echte problemen is:

1) Spoofed adressen
2) Ongelimiteerd versturen van packages van A --> B

Indien je één van de twee oplost bestaat probleem nog steeds, indien je ze allebei oplost
dan kun je als slachtoffer de verzender/vervuiler vinden.
Als ook dat het verkeer van de verzender/vervuiler in "schappelijke" porties verzonden worden, zodat je op je eigen border router dit verkeer dynamisch (sniffer met IPS ergens) kan wegfilteren.

Door dat bij spoofed adressen je niet op IP range kunt filteren, kun je alleen op BGP nivo terug tracen waar het leeuwendeel het verkeer vandaan komt, echter hiermee kom je niet ver zonder de hulp van andere ISP's.

Verder zullen transit leveranciers je niet willen helpen omdat die namelijk pas ingrijpen indien verkeer hen geld kost. (zullen ze officieel nooit erkennen overigens)

In mijn optiek is wat symantec doet juist zinloos, terwijl je botnet problemen juist op infrastructuur niveau moet oplossen.

Een goed voorbeeld is het sluiten van port 25 voor eind gebruikers bij veel ISP's in Nederland. Hiermee kunnen botnetjes niet spammen, maar ze hadden ook met CAR kunnen limiteren dat je meer dan 100x per minuut naar port 25 connect.

http://www.cisco.com/warp/public/63/car_rate_limit_icmp.html
Het enige echte probleem is dat geen hond bij de bron klaagt.

Comment spam voldoet aan 1) maar 2) heeft geen zin, want het gaat om een extreem kleine hoeveelheid data van A -> B.

ISPs kunnen echter dit wel aanpakken door het aantal POST requests per seconde naar willekeurige IP addressen niet toe te staan. Maar dat soort dingen kan alleen als elke ISP in het land daar 100% achter staat.

Tenslotte, botnetjes, zoals uit dit boven duidelijk mag zijn, doen allang niet meer alleen email spam. Ook comment spam gaat er vrolijk overheen. Doordat die botjes nog vrij dom zijn (kunnen vaak niet goed met relatieve URLs overweg), en omdat ik een deel weggooi (alles met <a href) krijg ik er ca. 20 per dag. Als ik beide opties uitzet zal dat ca. 100 zijn. Als ik soms Google op een gespamde URL zie ik probleemloos 10,000-20,000 resultaten. Ik vrees dat dat het topje van de ijsberg is.

Het leuke van comment spam is dat het meestal niet over proxies gaat, en dat er diverse ISPs en hosting providers zijn die tot aktie overgaan. Als meer mensen zouden klagen zou dat wellicht net ietsje meer helpen.

Ik meld bijna elke comment spam aan middels eigen software. Het zou mooi zijn als er een centraal aanmeld punt komt zoals SpamCop.net. En nee, Akismet is dat niet, die melden spam niet aan bij ISPs/hosting providers (tenzij dat recent anders is). Jammer, want dat is een gemiste kans. Mensen die iets tegen comment spam willen doen mogen mij altijd mailen :-)

[Reactie gewijzigd door J.J.J. Bokma op 11 juni 2007 17:37]

Het is natuurlijk wel leuk bedacht, maar als zo'n programma lekker op de achtergrond alle programmatuur gaat zitten scannen zal je computer er niet veel sneller op worden...En als je dat dan nog naast bijv. Symantecs eigen Security Suite gaat draaien komt je mid-range computer helemaal niet meer vooruit..

[Reactie gewijzigd door Revolvist op 10 juni 2007 22:29]

Dat zal allemaal wel mee vallen. World of Warcraft komt bijvoorbeeld ook met een programmaatje dat continu checkt of je geen vreemde dingen draait op je pc (WoW Warden). Een ander voorbeeld uit de gameswereld is natuurlijk het befaamde Punkbuster. Dit programma alleen zou een pc niet zo heel zwaar moeten belasten (anders is het slecht geprogged).

[Reactie gewijzigd door Jungian op 10 juni 2007 22:36]

Afgaande op de traagheid van de andere Symantec producten, vrees ik het ergste.
je hebt kennelijk nooit de bedrijfs antivirusversie , symantec antivirus, gedraaid..
norton is idd traag, de bedrijfsprogramma's zijn goed..
Die hebben wij wel gedraaid gehad ja, maar wij zijn toen maar overgeschakeld op Mcafee nadat duidelijk was dat daardoor je computer ineens weer een stuk sneller draaide. Ook de bedrijfsversie van symantec antivirus maakt je computer behoorlijk traag..
Wat zeg je nou :| ik werk ook met de bedrijfsversie van symantec en ik merk helemaal geen verschil. Dat programma is echt van de beste virusscanners die ik ken. Heb ook een keer mcafee gehad en dat gaf mij nog meer problemen dat virussen... Echt foutmelding hier crash daar en de computer was enorm sloom geworde (consumenten versie dan, is hun bedrijfsversie anders? nog nooit geprobeert).
niet perse, ghost (backup) is goed te doen qua snelheid, en werkt stilletjes op de achtergrond.
maar dit kom je niet in de huis-tuin-keuken computer tegen
Tja, zo te zien zijn ze ervan bewust dat ze het antivirusmarkt over een tijdje wel kunnen vergeten, dus zijn ze opzoek naar andere markten om daar verder te gaan.. ik ben benieuwd...
Hoezo de antivirusmarkt vergeten. Virussen zullen er wel blijven bestaan, er komen echter steeds meer en andere dreigingen naar voren en daar kan deze software misschien een antwoord op bieden.
Fuzzy heeft ergens wel gelijk. De klassieke virussen bestaan bijna niet meer (je kent ze misschien nog van geïnfecteerde bootfloppy's voor je 486). Tegenwoordig zijn het met name email-wormen en spyware. De virussen die je nog tegenkomt hebben meestal als doel verdere verspreiding via email en spam (of het opzetten van botnets, met dezelfde doeleinden), niet zozeer de destructie van gegevens op een harde schijf zoals vroegah.

En als je als antivirusbedrijf niet kopje onder wil gaan, moet je meedoen met de markt.
FuzzyLogic66 zal bedoelen dat MS zich op de virusmarkt heeft gestort. Concureren met MS op windows is geen gemakkelijke zaak. De meeste consumenten zullen het knopje "bescherm u tegen virussen" in internet explorer of in het beveiligings centrum (of hoe heet dat in vista) klikken.

Misschien voor Symantec ook een goede reden om meer op de Mac en Linux te gaan doen.
MS in de antivirus markt. Kijk eens goed naar de test van de MS oplossing en je zult zien dat hun oplossing slecht is, achterloopt, te veel doorlaat.

MS bied ook een firewall die net als hun antivirus een beperkte functionaliteit heeft. Er zijn nog steeds genoeg aanbieders die wel een goede firewall bieden. Dat MS de antivirus markt overneemt lijkt me niet echt snel te gaan gebeuren.
De rede is tevens dat het niet gratis is en mensen ook bij MS moeten gaan betalen. zodra mensen moeten gaan betalen gaan ze kijken naar echte kwaliteit.
De andere MS oplossingen zoals explorer zijn gratis.
De Vista firewall is een volledige firewall oplossing waar bij je zowel bij inkomend als uitgaand verkeerd regels op poort en protocol niveau kan instellen. Alleen standaard staat er een soort 'basic' modus aan. Maar het kan allemaal wel!
Vraagje, denk je nou echt dat de meeste consumenten ook maar enig idee hebben wat een firewall of antivirusscanner doet? Als ze uberhaubt al weten dat ze ze nodig hebben (omdat windows hun er nu bijvoorbeeld op wijst en menig niet eens weet dat een firewall geen virusscanner is en visa versa), denk je dan dat ze ook nog weten dat er een verschil in zit? Zover de meeste consumenten het zien is een virusscanner eentje die het doet maakt niet uit waarvan of wat dan ook.

Ze stellen niet teveel vragen hierbij, dat willen ze ook niet de meeste willen gewoon dat het werkt en hoe boeit ze niet.
Mac / Linux virussen bestaan nauwelijks.. dus zou een matige markt zijn.
Als ik kijk naar het aantal virussen wat er bij mij binnenkomt is nat marginaal tov de Spam en bots.

Ze kunnen beter 1 pakket maken die Virus, Malware, Spyware, Botware enz enz in een keer blokken.
Symantec /Nortonwas ooit een prima bedrijf met prima software. Tegenwoordig is het een bloatware specialist. Bovendien komt NAV steeds slechter uit tests.
Ook hoor ik steeds vaker van computer gebruikers (de niet tweaker/pro) dat hun PC zo traag gaat met NAV.

Ik denk dat dat ook een deel v/d reden is dat ze met wat anders beginnen.
Eerder dit jaar becijferde Googles 'internetevangelist' Vint Cerf dat 100 tot 150 miljoen van de 600 miljoen op het web aangesloten computers, deel uitmaken van een botnet.
Ok, dit klinkt meer als bang-makerij dan realiteit.
Komop zeg, 1 op de 5 computers die in een botnet zitten?? sorry hoor maar dat is volgens mij zwaar overdreven.
idd een beetje overdreven.

1 op de 10 klinkt aannemelijker naar mijn idee...
Grappig hoe op Tweakers telkens weer "experts" op staan die op basis van de temperatuur van hun ochtendurine menen betere cijfers te kunnen presenteren...

Van wat ik er van weet is dat een klein botnet ca. 30,000 computers omvat

Verder, kan Goldwing uitleggen wat iemand bij Google er voor voordeel bij heeft om "ons" bang te maken?

En @Pietervs beneden: ik woon in Mexico, diverse malen in een Internetcafe geweest (tot in Guatemala toe), maar ik heb geen tig toolbars gezien, noch diverse p2p progjes. MSN Messenger wel, maar dat heb ik thuis ook op mijn computer.

Verder is het grappig dat project honeypot nu voor bijna 50% bewuste Nederlanders bij Wanadoo, Chello, etc. laat zien: http://www.projecthoneypot.org/top_harvesters.php
Er zijn anders behoorlijk wat landen waar in de internetcafe's Windows op de PC's staat, zonder enige vorm van anti-virussoftware of wat dan ook. Maar wel tig toolbars, MSN, diverse p2p-progjes, enzovoort...
Hier in Nederland zijn de meeste mensen zich onderhand wel bewust van het feit dat er een virusscanner op je PC moet staan. Maar dat wil niet zeggen dat dat overal zo is...
wel bewust van het feit dat er een moet opstaan, ik zie inderdaad overal eentje staan.
Nu nog het bewust worden van het abbonement (gratis of niet) te verlengen, en dan zijn we nog eens stapje verder. Vele mensen zitten met een verlopen antivirus, dus in de praktijk kan je dan evengoed geen virusscanner hebben.
Zelfs al is het gratis om te verlengen (avast bv.), zijn ze er blijkbaar nog te lui voor.
Met 1 op de 5 is het niet meer nodig om te spammen.
De bot kan de mail dan gewoon lokaal afleveren :-)
bestaat dit niet al 100 jaar bij andere virusscanners alleen noemen ze het dan anders?
Ligt het nou aan mij of is zo'n programma dat jouw computer omtovert tot een lid van zo'n botnetwerk niet gewoon ook een virus? Willen ze nu gewoon een bepaalde markt dubbel gaan uitkleden :|

En ook zoals hierboven al gezegt werdt zijn symantec's (de consument versies dan, de corporate is geweldig naar mijn idee) programma's nou niet even bevorderend voor de snelheid van je pc. Ze moeten gewoon al die scanner samenpersen in een goed werkend pakket en dat dan een eeuwigheid optimaliseren voor snelheid!
Overdaad schaadt.
Virusscanner, Firewall en Spyware guard/scanner en nu ook nog een botnetding om nog naar te zwijgen over alle programma's die niet altijd draaien (MVPS hostfile, spyware blaster etc.)

Dit kan nooit goed zijn voor de snelheid van je pc. Als men nu eens met een beetje gezond verstand gaat surfen heb je al deze bescherming niet eens nodig en dan kost het ook niet zo ongelofelijk veel tijd om steeds weer te klooien met allerlei rare oplossingen.
Helaas komt niet elk gevaar door het surfen. Ook e-mail, p2p software en verwisselbare media kunnen kwaadaardige programma's met zich meebrengen. (en dat is lang niet alles)
Verder, als al die functionaliteit in 1 programma gestopt zou worden, is de kans op fouten waarschijnlijk een stuk groter, en de gevolgen als iets het programma omzeilt ook erger.
Het is maar goed dat meer en meer machines over meerdere cores danwel processors bechikken... Dedicated antivirus processor :P
Ja, dat vind ik nou zo'n makkelijke opmerking: ga met gezond verstand surfen, dan heb je nergens problemen mee. Valt in de categorie: doe je computer niet aan, gebruik je weinig stroom en heb je nooit een virus :(
Als je dingen zoekt, bijvoorbeeld een leuke oplossing voor je javascript probleem, zul je toch hier en daar 'vreemde' linkjes moeten aanklikken. Ben al meermaals op zo'n vage site met alleen maar linkjes naar sites met alleen maar linkjes ... terecht gekomen, God weet wat voor troep je daarbij oploopt.
Zo vind ik dat ik redelijk oplet - heb wél Comodo Firewall en NOD32 en Spybot S&D altijd draaien, wordt je PC inderdaad niet soepeler van - maar had toch mooi een paar weken geleden ineens een services.exe in mijn system32\drivers\etc draaien! |:(
Verstandig surfen. Tja, is dat zoiets als verstandig leven? Het soort mensen dat tijdens hun leven nooit geleefd hebben.... :P

Dit is weer een soortgelijk verhaal dan dat van principieele mensen met een of ander oud puin browsertje dat zeer strikt de standaarden volgt. In gewoon Nederlands "Werkt niet met de helft van de sites."
Nu hebben wesurf veilig sekte :)
Angst om de helf van internet te bezoeken. En constant alles analyseren op verdacht gedrag.
Dan kies ik er toch voor om lekker onbezorgt rond te stampen op internet.
Paar scannertjes op de achtergron en nergens last van,,,

[Reactie gewijzigd door Spammy op 11 juni 2007 17:34]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True