Virus aangetroffen op externe Maxtor-hardeschijven - Update - Computer - Nieuws

Door Dimitri Reijerman, woensdag 19 september 2007 10:35, 93 reacties • Feedback

Op externe harde schijven uit de Maxtor 3200 Personal Storage-reeks die verkocht worden in Nederlandse winkels is een virus aangetroffen. Onduidelijk is nog of de kwaadaardige code ook in het buitenland op Maxtor-schijven is aangetroffen.

Het virus is door Kaspersky Lab Benelux op meerdere gloednieuwe harddisks met verschillende opslagcapaciteiten aangetroffen die afgelopen maandag aangeschaft werden. Na het aansluiten van de schijf sloeg de antivirussoftware overigens direct alarm; gebruikers die over een up-to-date antiviruspakket beschikken, lopen dus weinig risico.

Het in Delphi geschreven virus zoekt naar accounts en bijbehorende wachtwoorden voor spellen die online gespeeld kunnen worden. De doa probeert zich te installeren met behulp van een autorun.inf-bestand in de root van de externe harddisk.

Het is waarschijnlijk dat het virus al in de fabriek een gehele batch Maxtor 3200's geïnfecteerd heeft. De handel in gestolen accounts voor online spellen als World of Warcraft is zeer lucratief. Vooral in Azië tiert de verkoop van dergelijke gegevens welig. Volgens Kasperky Lab is het aangetroffen virus slechts enkele maanden bekend, en daardoor gevaarlijker dan het dertien jaar oude exemplaar dat vorige week op Medion notebooks opdook.

Update 10.45u: Inmiddels is alvast duidelijk dat de getroffen schijven ook bij de Media Markt verkocht worden.

Reacties (93)

0 Olaf van der Spek
19 september 2007 10:52

De doa probeert zich te installeren met behulp van een autorun.inf-bestand in de root van de externe harddisk.

Nog zo'n handige uitvinding van MS. Sony is er ook blij mee.

+2 ZeBoxxToo
@Olaf van der Spek • 19 september 2007 11:04

Het is in principe een handige uitvinding - CD/DVD erin, niks geen eerst een player opstarten, of de setup.exe zoeken, etc. Dat er dan weer kwaadwillenden misbruik van maken.. tja.

Maarreh... werkt die autorun dan echt op die drive?
Want op geen van mijn portable HDDs of USB sticks werkt autorun (had ik al eens geprobeerd ivm mogelijke distributie USB sticks). Laatste keer dat ik gezocht had was iedereen het er in principe over eens.. een typische USB drive (HDD danwel flash dingetje) doet geen autorun uit zichzelf; je kan wel zo'n Windows venstertje krijgen die je vraagt wat je met 't ding wil doen (staan er JPGs op, vraagt ie of ie die moet openen in een picture viewer, filmpjes -> media player, etc.). De enige hint ergens was dat het ding zichzelf tegenover het O/S moet melden als zijnde zeg maar een CD / DVD-RAM device, ipv een ESID of wat 't was. dan werkt autorun wel, maar raakt er een hoop anders in de war.

Een beetje vaag dus. Misschien dat Maxtor in de bijbehorende software een autorun vervanger meegeleverd? Die zijn er namelijk zat.. draaien in de achtergrond en checken zelf even of een autorun.inf / .exe op de zojuist-aangesloten apparatuur staat.

+2 Teddy Rukspin
@ZeBoxxToo • 19 september 2007 12:48

Mijn Western Digital Elements 500GB schijf kwam met een autorun.inf en een icoontje.

Autorun werkt, maar het enige wat er in dit geval staat in het bestand is een referentie aan het icoontje.

Als je de schijf aansluit dat krijg je een explorer scherm van de inhoud en het icoontje vervangt het normale schijf icoontje.

http://support.wdc.com/do...asp?cxml=n&pid=18&swid=22

Ik ga eens kijken of het ook werkt met een referentie aan een .exe dan laat ik het weten.

Edit: Autorun werkt wel degelijk volledig vanaf een USB schijf (Win2k). Je kan echter Autorun voor bepaalde schijf typen uitzetten. Dit is waarschijnlijk een standaard in XP (i.e. autorun uit voor externe schijven).

http://msdn2.microsoft.com/en-us/library/aa969329.aspx

[Reactie gewijzigd door Teddy Rukspin op 19 september 2007 13:00]

0 Thijsbeer|IA
@ZeBoxxToo • 19 september 2007 13:14

Dit kan wel, was hier zelf wel eens naar op zoek gegaan. En je kan door dit progje "Winopen autorun editor" (shareware) bijvoorbeeld html of txt files openen via de autorun. En zo kan je dus toch een html script runnen dat wat installeert.
Wilde namelijk op een cd die ik had gemaakt een txt file openen en dat werkte perfect.

als je op het progje klikt krijg je de scripts die je moet gebruiken om het te laten werken.

Dus het is zeker wel mogelijk om door middel van een autorun iets te installeren.

en oja het werkt ook op een usb stick. Heb hier al een paar jaar een usbstick van sony en heb daar gewoon een autorun op gezet die een pictogram aanwijst zodra je hem inplugt. En dat nog zonder de winopen autorun editor. Maar winopen doet het ook, is mijn ervaring.

[Reactie gewijzigd door Thijsbeer|IA op 19 september 2007 13:41]

0 DLSS_from_BE
@ZeBoxxToo • 19 september 2007 13:51

die autorun werkt niet op je usb stick etc, omdat dit sinds sp2 voor xp default word uitgeschakeld ...

maar wanneer je geprompt word wat met de schijf te doen en ze kiezen de eerste optie (of als ze gewoon dubbleklikken op het station)
gaat het wel de autorun uitvoeren

(dit is ook hoe de niet-u3 versie van het usb-switchblade en usb-hacksaw er misbruik van maken

)

(maar tenzij je het zo hbt ingesteld zal het niet de autorun starten wanneer het word aangesloten)

De enige hint ergens was dat het ding zichzelf tegenover het O/S moet melden als zijnde zeg maar een CD / DVD-RAM device, ipv een ESID of wat 't was. dan werkt autorun wel, maar raakt er een hoop anders in de war.

hier beschrijf je U3 technologie, misbruik maken van een 2e partitie v/d drive, dit is effectiever, maar in dit geval uitgesloten.

[Reactie gewijzigd door DLSS_from_BE op 19 september 2007 13:55]

sanzut
19 september 2007 10:39

Had hier gisteren iets over gelezen op GOT, is het bekend hoe deze virussen er op komen? Opzet/Ongeluk?

En trouwens, hoezo wordt er uberhaupt iets op de HDD's geschreven?

Iva_Bigone
@sanzut • 19 september 2007 10:49

Ter aanvulling, het betreffende topic op GoT:
forum: Virus nieuw gekochte externe harddisk

0 Distael
@sanzut • 19 september 2007 11:11

Hoezo ongeluk, een virus wordt niet per ongeluk geschreven en verspreid

OddesE
@Distael • 19 september 2007 11:55

Kan door iemand buiten Maxtor geschreven zijn natuurlijk he. Is het dus per ongeluk op de disks terecht gekomen of heeft iemand bij Maxtor dit expres gedaan?

0 Wilke
@sanzut • 19 september 2007 11:59

hoezo wordt er uberhaupt iets op de HDD's geschreven?

Om ze te formatteren zodat je ze meteen kunt gebruiken? Bovendien weet je ook tegelijk of ze uberhaupt werken, kwaliteitscontrole.

Andros
@Wilke • 19 september 2007 15:43

Ook een grote fout vind ik. Het komt regelmatig voor dat ik op lans mensjes met externe HD's mag helpen omdat die krengen standaard als FAT32 geformatteerd worden. Gooi daar maar es een image van 4 gig op, vertikt ie gewoon en de gemiddelde mens snapt gewoon niet waar het aan ligt...

TheMazzter
@Andros • 19 september 2007 18:26

Wat moet je anders? ntfs? werkt niet standaard in linux, ext2/3 dan, werkt weer niet in windows, fat32 werkt gewoon in allebei.

Andros
@TheMazzter • 20 september 2007 16:29

Gewoon, niet formatteren en een handleiding erbij dat mensen hun eigen filesystem kiezen...

0 mae-t.net

Malware

@sanzut • 20 september 2007 00:31

Externe harde schijven worden in de fabriek geformatteerd met een bestandssysteem. NTFS neem ik aan, maar zou ook FAT kunnen zijn?

bbr
19 september 2007 12:22

Blij dat ik een Western digital heb aangeschaft ^_^

Deze maxtor disks, enig idee waar de besmette apparaten al verkocht zijn, afgezien mediamarkt?
Dit is wel redelijk important news.
Maxtor zou hiervoor een recall-actie moeten doen.

[Reactie gewijzigd door bbr op 19 september 2007 12:29]

+2 195780
@bbr • 19 september 2007 18:41

+1 ScytheNL
19 september 2007 10:40

Hoe krijgen ze dit in hemelsnaam toch voor elkaar? Zoiets moet dan toch tijdens assembly en installatie door een medewerker gebeuren? Of worden die dingen vol geautomatiseerd door machines geprogrammeerd? Lijkt mij dat als ze gewoon een quality check uit laten voeren voordat ze verscheept worden dit heel makkelijk onderschept en opgelost kan worden voordat ze in de winkel liggen.

+1 barbedwire
@ScytheNL • 19 september 2007 10:58

Een quality check is meestal maar een paar producten op een hele batch (als ik goed opgelet heb bij How It's Made). Als zo'n werknemer maar een klein percentage van de batch infecteerd, is de kans klein dat het virus gevonden wordt.

Edit: Of een corrupte medewerker van de quality check afdeling.

[Reactie gewijzigd door barbedwire op 19 september 2007 10:59]

+2 ScytheNL
@barbedwire • 19 september 2007 14:48

Ja inderdaad word er bij een quality check natuurlijk alleen maar een aantal ertussen uit gehaald, maar gezien het feit dat het dus wel heel lastig zou zijn om een paar per batch te infecteren, en dus veel gemakkelijker en doeltreffender om gewoon de hele batch in 1 keer te infecteren..vooral als dus de software er vol geautomatiseerd op wordt gezet. Overigens gebeurd het meer dan genoeg dat er maar een aantal producten uit 1 batch van 10 ofzo gecheckt worden...bespaard tijd en geld...meestal...

En dan nog (ligt er natuurlijk aan hoeveel producten in een batch zitten) is de kans bij een klein %age infectering nog redelijk groot dat er juist een wordt uitgehaald die geinfecteerd blijkt te zijn.
Ik denk dat het voornaamste probleem gewoon is dat zulk soort dingen niet wordt getest op virussen omdat niemand het voor mogeijk heeft gehouden dat ze af fabriek al geleverd worden met virus.

0 Grrmbl
@barbedwire • 19 september 2007 13:02

Of autorun stond uit in de testomgeving ^^

onok
19 september 2007 12:53

Als je een nieuwe HD koopt, dan is toch het eerste wat je doet dat ding formatteren? NTFS erop. Standaard zijn die dingen toch altijd met FAT32 geformatteerd? Daar kun je tegenwoordig niet zo bar veel meer mee.

Robtimus
@onok • 19 september 2007 13:02

Behalve ze ook onder andere OSen gebruiken.

Neemt niet weg dat de mijne ook direct NTFS is geworden, kan ik er tenminste ook files van groter dan 2GB op kwijt.

+2 Teddy Rukspin
@Robtimus • 19 september 2007 14:09

4GB en niet 2GB is de bestandsgrootte limiet op FAT32.

http://technet.microsoft....ibrary/bb457112.aspx#EFAA

The largest possible file for a FAT32 volume is 4 GB minus 1 byte.

0 raceeend123
@onok • 19 september 2007 13:15

ja dat is het eerste wat JIJ doet... ik zal mijn oma eens vragen of ze weet wat ntfs is, of wat formatteren is... ze gebruikt wel een externe schijf...

BraveWorld
@onok • 19 september 2007 13:21

Hij was NTFS geformatteerd.

wwwhizz
@_Apache_ • 19 september 2007 10:46

Seagate heeft Maxtor inderdaad overgekocht, maar ze houden de naam, want deze verkoopt immers prima, staat bekend als redelijk goede en vooral goedkope HDD's...
Hoe gaat Maxtor dit nu oplossen? Het zou netjes zijn om alle harde schijven terug te halen en indien mogelijk het virus te verwijderen... (Lijkt me dat Maxtor/Seagate dat toch wel kan...

)
Trouwens bijzonder dat er bij Maxtor dit nooit iemand is opgevallen...

StGermain
@wwwhizz • 19 september 2007 11:20

Of je formatteert ze ff vanaf een linux bakje...

wwwhizz
@StGermain • 19 september 2007 11:22

Het gaat me meer om de onwetende klant die zoiets koopt... Een doorgewinterde tweaker heeft een simpel virusje zo weg, maar iemand die net weet hoe hij een filmpje af kan spelen en zijn vakantiefilm op een externe harde schijf wil zetten denk ik niet...

+1 johanw910
@wwwhizz • 19 september 2007 14:12

En welke tweaker laat nou autorun van een harddisk aanstaan? Ik zet alle autoruns zowiezo uit, veel te link met die rotzooi die ongevraagd allerlei spyware/copieerbeveiligingen/andere zooi installeert.

fevenhuis
@johanw910 • 19 september 2007 20:08

Er zullen wellicht ook niet-tweakers zijn die een externe HD kopen.

0 Pietervs
@wwwhizz • 19 september 2007 13:07

Het zou netjes zijn om alle harde schijven terug te halen en indien mogelijk het virus te verwijderen...
Denk dat het makkelijker is als ze een floppy verspreiden met daarop een programma a la Stinger. En ook goedkoper voor hun. En het beschadigt hun naam niet verder: mensen houden dat floppy en gebruiken die in de toekomst ook als ze bij zichzelf of vrienden een soortgelijk virus vermoeden...

0 Olaf van der Spek
@Pietervs • 19 september 2007 14:11

Een floppy? Wat is dat?

Greyh0und
@Olaf van der Spek • 19 september 2007 15:53

Het lijkt op een diskette maar dan 2/3 keer zo groot (en veel flexibeler) en er kan de helft (of minder) aan KB's op

0 mae-t.net

Malware

@Greyh0und • 20 september 2007 00:30

Dat is onzin, de naam floppy zegt wat over het medium. Ook een 3,5 duims schijfje met een hard omhulsel is een floppy.

stereohead
@_Apache_ • 19 september 2007 10:41

Jah maar je hebt toch ook nog steeds videokaarten van ATI dat ook al AMD is geworden...

Luppie
19 september 2007 10:46

Vaak zie je dat op externe media (HD's - USB Sticks) alvast wat data gezet wordt.
Bijv. een PDF met de handleiding, tools, driver, etc.

Bij opzet zal een medewerker bewust iets in het image gestopt hebben die naar alle HD's gekopieerd wordt.
Bij ongeluk, zal de computer waarop het image gemaakt is waarschijnlijk aan internet gehangen zijn en/of iemand heeft zijn prive USB disk er aan gekoppeld.

+1 Stefan118
19 september 2007 12:58

Even hun site bekeken, maar bij de WHAT'S INCLUDED http://www.maxtorsolution...og/Basics_Basic/#tab_what link staat niet bij dat je er een virus bij krijgt

engelbertus
19 september 2007 15:00

hardeschijven die extrn worden gebruikt woren vak uitsluitend gebruikt om gegevens op te slaan, daarvoor volstaat fat. het filkesystem is hierbij ook niet de beperkende factor, maar juist de usb firewire of netwerkaansluiting.
e-sata komt nog niet heel veel voor, maar ook daar is fat vaak een goede keuze.

interne hardeschijven worden voor zoveel verschillende specifieke doeleinde gebruikt dat ze vaak toch al worden geherpartitioneerd, of door middel van een image worden voorzien van gegevens, inclusief het filesystem.
daar is preformating dus helemaal niet echt toegevoegde waarde.

nieuwe hardeschijven die wel een filesystem moeten krijgen krijgen dat waarschijnlijk via een image of een echt format

dus of de image is besmet, of het systeem dat de harddisk formateert ( of naderhand controleert)
het kan dus zijn dat het masterimage na dat het is gemaakt, besmet is geraakt ( dit zal bijvoorbeld een iso zijn, die je in een pc vaak gewoon kunt mounten met behulp van een of ander programma.

het virus zal zichzelf ook dupliceren naar elke externe schijf die het tegenkomt. 1 van de systemen daar hoeft maar een besmettign op te lopen, en ze krijgen het dus allemaal. zolang autorun maar aan staat en er niet op het systeem geen antivirus draait. ( of de antivirus het vrije nieuwe virus niet herkent.

het is trouwens niet zo makkelijk als alleen een autorun.bet bestand, de code moet er natuurlijk ook bij gecopieerd worden.

in ieder geval zijn er steken laten vallen bij de controle op de beveiliging van de interne systemen.

[Reactie gewijzigd door engelbertus op 19 september 2007 15:22]

0rbit
@engelbertus • 19 september 2007 16:59

Ik zie niet in waarom eSATA gebaat zou zijn bij FAT32? Ik gebruik een drietal externe schijven op mijn werk. Allemaal eSATA, allemaal NTFS. Werkt als een tierelier, (zeker voor grote bestanden) is de overdrachtssnelheid fenomenaal. Ik zie niet in waarom je dan alsnog FAT32 zou willen gebruiken. De enige reden die ik kan bedenken is als je het ding op een goedkoper router/SAN aansluit die alleen met FAT32 partities om kan gaan.

0 mae-t.net

Malware

@0rbit • 20 september 2007 00:40

FAT32 staat voor mij ook voor oude meuk. Alleen op linux en aanverwante systemen is NTFS vaak niet zo betrouwbaar of compatible, dus kiest men dan maar voor FAT32. Terwijl het een stuk makkelijker is om je windows machine als 3e taal iets als e2fs te laten praten.

eerdepeer
19 september 2007 10:40

Hoe is dit in vredesnaam mogelijk? Worden die harde schijven getest met een pc die ook op internet aangesloten is?

i-chat
@eerdepeer • 19 september 2007 11:24

niet dat ik paranoid wil klinken maar - die kans lijkt me dus niet zo groot, op zulke systemen draait echt geen internet, - en de kans dat er opzet in 't spel is lijkt me dan ook tientallen keren groter...

wat ik me overigens afvraag is hoe je dat technisch zou moeten klaarspelen,
even een hele batch schijven aan een pc koppelen om 't virusje te planten lijkt me onbegonne werk..

pijnlijke zaak voor maxtor lijkt me,

0 ]Byte[
@eerdepeer • 19 september 2007 10:53

En de 1001 andere mogelijkheden waardoor een virus zich kan verspreiden...

0 Freakertje
@eerdepeer • 19 september 2007 11:27

Zoals hierboven ook al is aangegeven, er hoeft maar één persoon met een beetje verstand van zaken in het bedrijf te werken, die het virus installeerd en zo een hele batch besmet.

Hoe vaak komt het niet voor dat er bedrijfsgegevens worden gestolen door een schoonmaker die de wachtwoorden op een briefje naast de computer aantreft?

Dit is nu speculatie, maar het zou goed kunnen dat er in dit geval ook een 'worm' zich het bedrijf ingewerkt heeft en van binnenuit de boel besmet.

0 Grrmbl
@Freakertje • 19 september 2007 13:01

autorun.inf lijkt me niet zo'n moeilijk karwei om erop te zetten. ff quick format en copy paste, en klaar is de schijf met virus voor de verkoop.

0 tuxdapinguin
@Grrmbl • 19 september 2007 19:13

en dat de hele oplage aan harde schrijven? ben je wel ff bezig...

0 mae-t.net

Malware

@tuxdapinguin • 20 september 2007 00:32

Hoeft natuurlijk alleen maar op de schijf waar het image van wordt getrokken voor de productie, of op de machine die de schijven anderszins formatteert.

1 2 3 4 Volgende

Op dit item kan niet meer gereageerd worden.

Cookies op Tweakers

Virus aangetroffen op externe Maxtor-hardeschijven - Update

Lees meer over

Gerelateerde content

Sorteer op:

Weergave:

Reacties (93)