Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 39 reacties

De usb-drives die HP speciaal voor zijn Proliant-servers verkoopt, blijken malware te hebben bevat. Het vermoeden bestaat dat de wormen al in de fabriek op de drives werden geplaatst.

De aanwezigheid van de wormen, die worden aangeduid als W32.Fakerecy en W32.SillyFDC, op de flashdrives van HP, zou volgens John Bambenek van het Sans Internet Storm Center kunnen duiden op een gerichte aanval. Eerder werden firewalls van ontwikkelaar Checkpoint gericht aangevallen, eveneens middels besmette usb-drives. De besmetting op de drives van HP, die het bedrijf zelf USB Floppy Drive Keys noemt, zou bij zowel de 256MB- als op de 1GB-versies voorkomen.

Wanneer de besmette drives in een server gestoken worden, verspreiden de wormen zich naar alle aangesloten drives en netwerkschijven. Een actuele virusscanner herkent beide wormen echter zonder problemen, zodat het gevaar voor infectie gering is. Het advies van HP luidt dan ook dat de drives op een systeem met een up-to-date virusscanner gecontroleerd dienen te worden. Informatie over de infectie-omvang, zoals de hoeveelheid USB Floppy Drive Keys die geÔnfecteerd zijn en wat hun geografische verspreiding is, maakte HP niet bekend.

HP usb floppy drive key
Moderatie-faq Wijzig weergave

Reacties (39)

Het is wellicht handig om aan te geven dat HP deze sticks speciaal voor hun Proliant servers levert. Veel moderne servers hebben geen floppy-drive meer, maar het is voor sommige OS-Raidcontroller combinaties nodig om een bootflop met Controller-drivers te hebben.

Hiervoor heb je een speciaal geformatteerde en ingerichte memorystick voor nodig.
Deze zijn zelfs niet default leesbaar door (windows) werkstations. Malware op de memorystick lijken mij dan ook daar bewust geplaatst zijn door kwaadwillenden.

Dus de perceptie van sommigen dat het hier gaat om standaard memorysticks die door jan en allemaal in hun werkstation/server geknald worden lijkt me onjuist.

Buiten dit vind ik het vrij slim van de malware-makers. Direct de malware injecteren waar hoogstwaarschijnlijk veel bandbreedte beschikbaar zal zijn: servers!
De worm zou door een simpele up-to-date virusscanner herkend worden. Hoe the f*ck is het dan mogelijk dat die wormen bij HP rondzwerven? Is daar dan niemand die *iets* in de gaten heeft?
De drives groeien niet uit een usbpoort.
Die worden in elkaar gezet en nooit in een pc gestoken.
Even voor de duidelijkheid
Die drives worden in de fabriek beschreven met standaard data. Dat is dus in ieder geval het FAT filesystem (zodat de klant niet eerst hoeft te formateren) en soms nog wat tooltjes of reclamedocumentjes, afhankelijk van de wensen van de afnemer.

Wat er hier waarschijnlijk is gebeurt is het volgende: Er is op een (Windows) workstation zo'n stick ingericht conform de wensen. (En dus met virus, per ongeluk of expres in het midden gelaten). Vervolgens is d'r een image van gemaakt welke naar de productielijn is gestuurd. Met die image zijn alle sticks beschreven.

[Reactie gewijzigd door Nijn op 8 april 2008 16:52]

Niet?! :+

Waarschijnlijk worden ze op een niet-internet machine aangesloten, om in ieder geval getest te worden.
Die is gek, alle usb sticks testen... Testen is duurder dan vervangen, dus denk dat HP zich er gewoon makkelijk vanaf maakt.
Kans is trouwens groot dat dit gewoon rebranded B-merk stickjes zijn die nooit in de buurt van HP fabriek zijn geweest.
hp is HEEL goed in het rebranden van dingen :)

herinner me nog mijn oude hp pavilion met een HP "kuch"Asus"kuch" moederbord die het een stuk beter deed na een reflash met een bios update van jawel, asus
Dat is volgens mij geen rebranden. HP verpakt gewoon een hoop onderdelen van andere fabrikanten en plakt zijn naam aan de buitenkant op het complete pakket. Wat erin zit blijft Asus, Samsung of Western Digital en dus kun je ook bij die fabrikanten terecht voor updates.
Ik snap uberhaupt niet waarom bedrijven nieuwe drives standaard formatteren. Bij externe HD's hebben ze die nare gewoonte ook, ik sta elke lan weer mensen het verschil tussen FAT32 en NTFS uit te leggen omdat ze niet snappen dat hun bak een DVD image van 4+GB weigert te downloaden terwijl ze ruimte zat hebben...
Omdat het consumentenvriendelijker is om een geformatteerde drive te verkopen. Plug en play en zo. Of leg je liever elke keer mensen uit hoe ze een drive moeten formatteren en dat ze NIET DE D DRIVE moeten hebben?
Stop er gewoon een papiertje bij hoe ze moeten formatteren. Desnoods een tooltje op een CD'tje. Mensen die het verschil in driveletters niet eens kennen zouden zo'n ding niet eens moeten kopen...
dan is de kans op besmetting via tooltje op cd net zo groot
Als je achter de command prompt FORMAT F: /U intikt, zou zo'n virus dat dan overleven? (er van uitgaande dat F: de driveletter van de USB drive is)
De meeste virussen overleven dat niet nee. Tenzij ze zich in de MBR nestelen, dan helpt een gewone format niet zoveel, dan moet je de /MBR-switch gebruiken, die lost ook dat probleem op.

De twee betreffende virussen die door HP zijn verstuurd nestelen zich voor zover ik kan zien niet in de MBR, overigens.

Als je dat ding er al in hebt gestopt en hij werd niet door je virusscanner afgevangen, ben je na een format uiteraard nog wel steeds besmet. Daar helpt een format van de USB-stick ook niet meer aan uiteraard, want dan is het kwaad al geschied.

[Reactie gewijzigd door wildhagen op 8 april 2008 16:08]

Als ik hier een memorystick in mijn pc stopt gaat mijn pc niet direct alle code die er op staat uitvoeren ofzo. Ik snap de 'paniek' dan ook niet. Zelfs al zou mijn OS zeggen: "er staat een executable op de schijf, zal ik het uitvoeren", dan vind ik dat alleen maar verdacht. Ik heb geen virusscanner nodig om mij er op te wijzen dat dat niet normaal is.

@Hero OF Time
Of nog erger, een volledige server opnieuw installeren met alle gebruikersprofielen erbij.
Als iemand een server heeft draaien en autorun.inf op automatisch starten heeft staan helpt daar geen antivirussoftware tegen hoor. Dat is symptoombstreiding, het echte probleem is veel, veel groter.

[Reactie gewijzigd door 84hannes op 8 april 2008 17:27]

Totdat je een stick erin steekt die een autorun.inf heeft en die executable wordt uitgevoerd zonder jouw weten om. Dan heb je toch een virus zo zonder antivirus. Daarom dus altijd een antivirus draaien. Dat beetje resources wat een virusscanner vraagt is bij mij minder waard dan documenten die besmet raken. Of nog erger, een volledige server opnieuw installeren met alle gebruikersprofielen erbij.
Die autorun wordt niet automatisch uitgevoerd. Het kan hooguit vragen of je het uit wilt voeren (zoals in dit screenshot). Alsnog genoeg voor veel mensen om er in te trappen (en dat soort mensen zouden een virusscanner moeten draaien), maar als je oplet is het niets aan de hand.
Die autorun wordt wel degelijk automatisch uitgevoerd op XP. Zonder vragen. Dit is het schermpje wat je krijgt als xp een *usb drive* detecteert, maar dat iets een usb drive is wil niet zeggen dat het zich ook als zodanig presenteert. Zie dus ook U3.
autorun.inf werkt alleen op drives die door het systeem als CD drive worden herkend. Een autorun.inf op een verwisselbare schijf wordt niet automatisch uitgevoerd.

Dit is o.a. de reden dat U3 sticks als een CD-drive en als een verwiselbare schijf wordt herkend in Explorer
Onder vista werkt autorun.inf op een usb stick wel, xp weer niet en waarschinlijk windows 2003 ook niet
Onder Vista werkt het wel, maar hij vraagt bij insteken (ik heb het geprobeerd met een besmette MP3 speler) standaard iets als "wat wilt u doen, map openen of virus.exe uitvoeren". Onder XP stelt hij standaard niet zulke slimme vragen dacht ik.

[Reactie gewijzigd door mae-t.net op 9 april 2008 02:42]

Meestal word dit soort malware door 1 van de medewerkers er op gezet.
Netzo heeft Maxtor eens 500 GB externe drives verkocht met een trojan er op.
Inderdaad. Je mag nog zoveel security inbouwen als je kan, de mens zelf is nog steeds de zwakke schakel in gans je veiligheidssysteem. Je kan nooit 100% garant staan voor al het personeel.
Zou je hiervoor een claim neer kunnen leggen bij HP. Koop je een gerenomeerd merk ( althans als ik Shaidar moet geloven valt dat ook wel weer mee) met een dito prijskaartje en dan haal je deze ellende in huis.

Ik zou toch niet graag de gebruikers de kost geven die geen up-to-date virusscanprogramma hebben draaien (toch allemaal onzin, net als een firewall), maar wel "e-mailactief" zijn en misschien zelfs "USB-stick-actief".
Zeker kan dat, als je zo'n stick koopt dan mag je verwachten dat het ding virusvrij is. Het zal alleen lastig worden om aan te tonen welke schade je hebt geleden, want alleen die kun je vergoed krijgen.
het eerste wat je doet met een nieuwe drive of het nu flash of mechanisch is, is toch sowieso formateren om te kijken of de drive helemaal goed is? Dan heb je hier geen last van, afgezien van het feit of je een up to date virusscanner hebt, of uberhaupt geen windows.
Hoeveel mensen doen dat? De meeste prikken zo'n ding in en gebruiken het gewoon gelijk. Ik formatteer flashdrives en usbsticks ook nooit. Hdds wel, maar dat is omdat ze altijd zonder partitie geleverd worden.

En zo zullen nog veel meer mensen denken, als ze het ding inprikken en het werkt dan is het goed.
Dit zou wel een hoop verklaren. Bij ons op de HvA heerst namelijk dat Silly virus rond en het besmet dus zo'n beetje alle usb drives en computers hier die niet goed beschermd zijn. Ik moest dus steeds bestanden uitwisselen tussen mijn laptop en die van m'n collega en m'n virusscanner kon dus steeds weer dat virus verwijderen als de stick weer in zijn laptop was geweest. Het irritante is dat dit virus dus een autorun.inf op je stick zet zodat het zichzelf meteen opstart... Ben allang blij dat norton 'm goed buiten houd.
Dan zou ik die collega een rotschop en een virusscanner verkopen.
*Mompelt iets over ezels en stenen*
Vaag, zouden er dan al crackers in die fabrieken werken?
Ja hoor. Dat soort dingen komen helaas wel vaker voor. Er zijn altijd wel mensen corrupt genoeg om omgekocht te worden en ervoor te zorgen dat dit soor tdingen mogelijk zijn. Zie bijv: nieuws: Seagate-schijven met Chinese trojan ontdekt
Als malware maker is het natuurlijk ideaal om op deze manier mensen te besmetten, want zo hebben er veel mensen last van, zeker als die dingen voor serveromgevingen bedoelt zijn.
Als je iemand kent die betrokken is bij de productie van de geheugenchips, dan kan je daar natuurlijk direct iets op laten zetten, dat is wat hier waarschijnlijk is gebeurd.

HP bestelt chip bij Fabrikant A, daar plaatst een mannetje malware op de chip, stuurt die naar HP, en HP plaatst hem in de drive. Effectieve manier om snel veel mensen te bereiken.
Of iemand hangt natuurlijk een besmette usb-stik per ongelijk in een niet met internet verbonde en dus achterhaalde test-pc, waarna het zich op alle geteste sticks verspreid.
HP bestelt eerder complete sticks dan losse chips. Goede kans dat er een Chinese loonslaaf wat bij wil verdienen en dus ff snel bij het testen of formatteren een virusje eropknalt.
Soms werkt het zelfs anders, zoals bij een Cisco incidentje, waar bleek dat de apparaten niet van Cisco afkwamen, maar nogal lastig te onderscheiden waren van de Cisco routers. Ze zijn maar kort in productie geweest maar ze zouden in bedrijven en federale instellingen zijn ingezet. Tja, controleer wat je hebt besteld :)

Wat betreft dit verhaal... zet je automount en/of autorun voor dit soort USB sticks (U3 is wat dat betreft altijd erg risicovol) en formateer de USB drive voor je het gebruikt. Voor de Unix-achtige gebruikers (vervang sda met de device naam van je USB stick):

sudo dd if=/dev/zero of=/dev/sda1 bs=4096
sudo mkfs.vfat /dev/sda1

schoonbeginnen :) Sommige mensen doen het op het kale device, maar dan moet je nog effe fdisk draaien.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True