StalkDaily-worm infecteert Twitter

Een voor Twitter geschreven worm heeft de microblogdienst geïnfecteerd en verstuurde automatisch berichten teneinde de infectie verder te verspreiden. De beheerders van Twitter zouden de worm echter onder controle hebben.

De worm zou gebruikmaken van een cross-site scripting-kwetsbaarheid in de Twitter-pagina's, maar het personeel van de webdienst zou dat lek inmiddels hebben gedicht. Zaterdag werden enkele Twitter-profielen geïnfecteerd, waarna de worm zich begon te verspreiden via tweets met een link naar de malware. Ook zou de StalkDaily-worm, vernoemd naar de vermeende banden met een gelijknamige website, de profielpagina's van Twitter-gebruikers voorzien hebben van een link naar de worm. De eigenaar van de StalkDaily-website ontkende de aantijgingen aanvankelijk, maar inmiddels lijkt hij middels een e-mail naar BNOnews.com schuld te hebben bekend.

De reden die de verantwoordelijke voor de StalkDaily-worm, de 17-jarige Mikeyy Mooney uit Brooklyn, gaf, was verveling. Tevens hoopte hij de beheerders van Twitter met de worm te waarschuwen en tegelijk zijn eigen site te promoten. De site van Mooney is een met Twitter vergelijkbare dienst. Volgens Mooney heeft zijn worm geen privacygevoelige informatie, zoals wachtwoorden, buitgemaakt, maar in sommige gevallen hebben de beheerders van Twitter het wachtwoord van accounts moeten resetten.

IT-banen

Reacties (45)

Sh1va 12 april 2009 12:06

Die code ziet er nog verrassend simpel geschreven uit. Toch nog altijd vreemd om te zien hoe 1,5 A4tje aan code een grote website als deze helemaal omver kan schoppen.

http://gist.github.com/93782

[Reactie gewijzigd door Sh1va op 22 juli 2024 15:06]

pm1 @Sh1va • 12 april 2009 14:22

een virus hoeft nooit lang te zijn, er bestaat zelfs een virus dat simpelweg je bestanden @ random begint te coderen in een 1024 bits beveiliging.

virussen zijn sluwe beestjes die zich bij voorkeur als een simpel bestand zoals .jpg of .gif , en daarbij nog liefst zo klein mogelijk

daarom is het ook zo moeilijk om ze te traceren

@ hierboven

scriptkiddie's plaatsen de frontpage op zwart met hun eigen signatuur, dit is echt wel een virussschrijvertje.
tenzij jij me de nickname van het scriptkiddie kan vertellen

[Reactie gewijzigd door pm1 op 22 juli 2024 15:06]

Verwijderd @pm1 • 12 april 2009 15:23

Een XSS worm en een virus zijn nogal iets anders.

De volledige naam, leeftijd en z'n homepage staan in het aritkel vermeld.

Een worm is ook compleet iets anders als een hack, scriptkiddies die hacken zetten de frontpage op zwart met hun signature. Het doel van de deze scriptkiddie is om z'n eigen website op een zeer domme manier te promoten.

Het gebruik van z'n eigen voornaam in de code is al helemaal dom, dit script is enorm eenvoudig om naar hem te herleiden waardoor hij zeker aangepakt zal worden.

Lees de code maar, dit is een domme scriptkiddie die toevallig achter een XSS is gekomen en daar handig gebruik van heeft gemaakt.

Overigens zie ik je vergelijking tussen kort en random coderen met 1024 bit beveiliging niet. De code nodig om bestanden te coderen zal al langer zijn dan dit hele stukje javascript bij elkaar. Simpel en kort hebben niets met elkaar te maken.

Verwijderd @Verwijderd • 12 april 2009 18:17

In dit geval heeft hij de exploit zelf gevonden (en tevens gecode) en is hij dus geen scriptkiddie. Als hij de exploit nou van een site of ander persoon had gecopy paste, dan was het een ander verhaal.

http://nl.wikipedia.org/wiki/Scriptkiddie:

Een scriptkiddie heeft meestal geen verstand van de onderliggende technieken en is slechts een gebruiker van andermans tools.

Ik neem aan dat hij niet zomaar wat random AJAX is gaan googlen, en dus zeker wel wist wat er precies nodig was om deze worm te schrijven en effectief te maken. Het feit dat zijn eigen naam en URLs gehardcode zijn doet daar niet aan af.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 15:06]

Verwijderd @Sh1va • 12 april 2009 12:51

Tjah, HTML in een user ingevoerd veld toelaten en vervolgens ook nog zonder te filteren weergeven is dan ook gewoon erg dom. De grootte van een site zegt niets over hoe goed het technisch in elkaar zit, dat blijkt maar weer eens.

Verwijderd @Sh1va • 12 april 2009 12:55

ik ben geen webprogrammeur, maar ik zie dat de code een active x object instantieert. betekent dit dat alleen twitteraars op ms windows platformen (internet explorer) vatbaar zijn voor deze worm?

edit: laat maar: de code probeert verschillende mechanismen, waaronder ook een generiek xmlhttprequest als laatste.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 15:06]

Verwijderd @Verwijderd • 12 april 2009 13:39

Die code is gewoon standaard Ajax code die je kunt vinden op iedere Ajax tutorial pagina. Het is dus overduidelijk het werk van een scriptkiddie.

Ook een aantal van de andere functies zijn gewoon standaard.

Roel Broersma 12 april 2009 12:06

Hij heeft het zelf al toegegeven. Het is trouwens maar wat je een 'worm' noemt.
Het is een XSS - Cross Site Scripting bug, iets waar Twitter in eerste instantie zelf schuldig aan is (test management? security management?.. etc. Met automatisch testen haal je nog XSS bugs eruit).
Iedereen had dit kunnen doen. Ik vind het een flinke tik op de fingers van Twitter.

Aangezien 'iedereen' lekker op die site zit en klikt,.. gaat het wel lekker snel ja

[Reactie gewijzigd door Roel Broersma op 22 juli 2024 15:06]

Britney65 @Roel Broersma • 12 april 2009 13:12

Als we dan toch een schuldige moeten aanwijzen: Waarom niet degene die misbruik maakt van een zwakte in een website.

En een stap de andere kant op: Waarom niet de browserbouwers. Het is eenvoudig om XSS te detecteren in een browser. Ik krijg (dankzij noscript) netjes een melding als er XSS'ed wordt met de mededeling dat dat "gevaarlijk" is.

Bitage @Britney65 • 12 april 2009 13:26

Als we dan toch een schuldige moeten aanwijzen: Waarom niet degene die misbruik maakt van een zwakte in een website.

Het bekende hackers en crackers verhaal denk ik. Naar eigen zeggen wilde hij de makers van Twitter waarschuwen en bovendien heeft hij geen privacygevoelige informatie buitgemaakt. Lijkt me redelijk onschuldig dus. Dat hij reclame wilde maken voor zijn eigen site, so be it, dat is op zich niet gevaarlijk. Gevalletje hacker dus, en die mogen van mijn part best zulke dingen doen, zolang ze de makers van een site maar op de hoogte stellen van de lek.

Verwijderd @Bitage • 12 april 2009 15:26

Maar als je de code leest zie je dat ie wel de cookies van de gebruiker even naar zichzelf stuurt. Dat lijkt me toch wel onder de noemer 'privacy gevoelig' te vallen.

Verwijderd @Britney65 • 12 april 2009 13:42

En een stap de andere kant op: Waarom niet de browserbouwers

Omdat het soms toch wel verrekte handig is dat het kan ivm de 2 connecties per server regel in het HTTP protocol.

Maar iedere moderne browser heeft toch een optie om dit te detecteren en blokkeren? Het hangt alleen van je beveiligingsinstellingen af, maar je hebt gelijk in dat de browsermakers de standaard beveiligingsinstellingen wat strakker mogen afstellen.

Verwijderd @Verwijderd • 12 april 2009 17:03

Dit werkt niet standaard en zelfs niet door de beveiligingsniveaus van je browsers omhoog te halen, enkel noscript heeft een (zogoed als) volledige beveiliging tegen *script gerelateerde problemen.
Lees de artikels van Giorgo maar na op hackers academy.

Eric Oud Ammerveld 12 april 2009 15:18

Dit is zonder een behoorlijk asociale actie van een 17 jarige puber.

Stel je voor dat d'r iemand ziet dat de deur van je auto niet op slot is.

Een whitehat hacker zou je deur op slot doen en een briefje op je stoel achterlaten met de mededeling dat je auto niet op slot zat.

Een scriptkiddie zou foto's van zijn eigen auto aan de binnenkant van de ramen plakken om te laten zien dat hij zijn auto wel goed op slot kan doen.

Een cracker zou je auto meejatten om 'm te verkopen.

De actie van dit kulletje om de worm te schrijven is hetzelfde als
constateren dat iemand z'n auto open staat;
en deze dan vol plakken met grote stickers waar op staat:
"JOEHOE!! IK BEN NIET OP SLOT!"

Gevolg: Je moet in je eentje alle stickers d'r af krabben en in de tussen tijd proberen je auto op slot te krijgen terwijl je ook nog 4 mensen in je auto moet vervoeren.

[Reactie gewijzigd door Eric Oud Ammerveld op 22 juli 2024 15:06]

ImPrEzA 12 april 2009 11:55

Onder controle? Volgens mij niet... "Mikeyy" blijft zich as we speak verder verspreiden, ik was net ook de klos. Misschien goed om te melden dat je nu beter GEEN profielen op twitter.com kan bekijken, want als je een geïnfecteerd profiel bekijkt ben je zelf ook de sjaak.

Maniakje 12 april 2009 11:59

I did this out of boredom, to be honest. I usually like to find vulnerabilities within websites and try not to cause too much damage, but start a worm or something to give the developers an insight on the problem and while doing so, promoting myself or my website.”

Het is weliswaar publiciteit voor zijn StalkDaily dienst, maar het lijkt me nou niet echt goeie publiciteit...

[Reactie gewijzigd door Maniakje op 22 juli 2024 15:06]

Aetje @Maniakje • 12 april 2009 15:04

Nee. Dit is de soort publiciteit waarna je een paar maanden de bak in verdwijnt...

arbraxas 12 april 2009 12:01

Is hier ook een MSN versie van?
Ik krijg tegenwoordig berichtjes van onbekende accounts in de trand van wvw.sexnearyourhome.com etc. Erg irritant.
Heb mijn hele systeem van onder tot boven doorgelicht maar vond niks.

[Reactie gewijzigd door arbraxas op 22 juli 2024 15:06]

MicGlou @arbraxas • 12 april 2009 12:07

Dan zit jouw email adres in een spamnetwerk wat werkt via MSN... daarvoor hoeft er niets op je pc zelf te staan, maar komt normaal gesproken door niet zo voorzichtig omspringen met je emailadres

arbraxas @MicGlou • 12 april 2009 12:12

Dat is het m juist, ik laat normaal gesproken mijn emailadressen nergens achter.
Heb 1 voor als je toch een emailadres moet invullen als een soort spambox. Maar dat is niet mn hotmailadres.

jvo @arbraxas • 13 april 2009 09:49

Ja, dat doe ik ook niet, maar toch komen de berichten binnen. Het meest wazige vind ik dat het eigenlijk begon met allerlei aanbiedingen uit Rusland nadat ik een aantal keer naar de Oekraine was geweest en tegenwoordig zit er ook Chinees bij nadat ik een aantal keer naar China ben geweest. Het lijkt een beetje op lokatiegebonden advertenties, maar dan via msn. Google schotelt me tegenwoordig als ik in Nederland ben soms nog een Chineze advertentie voor. Wat ik niet snap is dat er willekeurige vrouwen tegen me beginnen te praten. Ok, dat gedeelte snap ik nog wel. Maar wat ik niet snap is dat deze vrouwen toevallig komen uit landen die ik vaak bezoek. 2 jaar geleden was het alleen maar Russisch en tegenwoordig zijn het ook tientallen Chinezen. Eigenlijk begon dit precies na m'n eerste bezoek daar en na een aantal bezoeken werd het alleen maar erger.

Dit is eigenlijk wel behoorlijk offtopic. Misschien meer iets voor op het forum.

Bitage @MicGlou • 12 april 2009 13:20

Kan ook heel goed dat er een paar mensen zo stom zijn geweest malware te openen die je MSN afstruinen naar wachtwoorden en contactgegevens. Krijg ik ook wel eens, dan is er opeens een contactpersoon die voor een enkele seconde online komt en je een link stuurt. Lijkt me niet onwaarschijnlijk dat je op deze manier ook je e-mailadres verspreidt krijgt.

Sh1va @arbraxas • 12 april 2009 12:07

Die berichtjes krijg ik ook van 1 persoon. Moet je je niet druk om maken. Heeft niks met jou pc te maken maar met die waarvan je de berichtjes krijgt. Het enige wat je kan doe is die persoon even op de hoogte brengen als hij/zij online is.

arbraxas @Sh1va • 12 april 2009 12:10

De berichten komen van accounts die niet in mijn lijst staan.

flamingworm @arbraxas • 12 april 2009 12:14

dan moet je ergens in je privacy opties aanvinken dat je iedereen die niet in je lijst is opgenomen wilt blokkeren.

Nickname55 @arbraxas • 12 april 2009 16:22

Heb ik ook. Zeer irritant. Het zijn bij mij mensen die heel niet in mn contact lijst staan. Lijkt me toch niet moeilijk een plugin te schijven die berichten van mensen die niet in contact lijst staan te blokkeren?

Verwijderd @Nickname55 • 12 april 2009 16:58

Zie flamingworm, dit kan je uitschakelen door de berichten van contactpersonen die niet in je lijst staan te weigeren + als je mensen verwijdert ze ook te blokeren...

Verwijderd 12 april 2009 12:13

Lol, een worm onder controle hebben, knap

.
En ik gebruik geen twitter, voor de rest, jammer dan

jimbo123 12 april 2009 12:22

Wat ik me dan afvraag is hoeveel geld deze persoon moet gaan betalen voor de schade die hij heeft aangericht.

zanza006 12 april 2009 12:43

Verveeling. Flaw excuse vindt ik. Zo iets doe je gewoon niet. Je kan het ook vriendelijk melden aan de beheerders

Zpottr 12 april 2009 12:47

Ik begrijp eerlijk gezegd niet wat het probleem is voor Twitter om dit met een enkele opschoonactie uit te roeien.

Als ik het goed begrijp speels alles zich af binnen Twitter-profielen, toch? Als je een geinfecteerd profiel bekijkt wordt jouw profiel ook geinfecteerd, etc.

Twitter heeft toch volledige controle over wat de inhoud is van die profielen? Een filter voor wijzigingen daarin plus een simpel script dat de database opschoont van een bepaalde string moet toch niet zo'n probleem zijn als lapmiddel. Kun je dan even rustig gaan nadenken over een echte oplossing.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (45)

Sorteer op:

Weergave: