Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 124 reacties
Submitter: Stefan

Er is een worm opgedoken die zich verspreidt door zich als vraag om advies van een vriend voor te doen. De worm maakt gebruik van Skype en krijgt instructies van de maker via irc. Ook verspreidt hij zich naast chatvensters via usb-sticks.

Een gebruiker kan geïnfecteerd worden door de worm te downloaden van een op Rapidshare gelijkende site, schrijft beveiligingsbedrijf Bkis. De gebruiker denkt een foto te downloaden van een vriend, die de link via een chatvenster in Skype of Yahoo Messenger heeft gestuurd. De link gaat vergezeld van een adviesvraag, zoals 'does my new hair look good' of een vraag over een slecht functionerende printer.

Het bestand is vermomd als .jpg, maar is een .com-bestand. Nadat het is gedownload, checkt de worm of Skype of Yahoo Messenger op de computer staat. Als dat niet zo is, sluit hij zichzelf af. Als één van de chatprogramma's wel aanwezig is, spreekt de worm automatisch contacten aan met een willekeurige vraag om advies.

De worm blokkeert de werking van anti-virusprogramma's en houdt zich verborgen door gebruik te maken van een rootkit. De worm legt contact met de maker via irc, waardoor instructies doorgegeven kunnen worden. De worm kan zich bovendien verspreiden door zich te kopiëren op aangesloten usb-sticks.

Worm W32.Skyhoo.Worm (Skype-Yahoo) Worm W32.Skyhoo.Worm (Skype-Yahoo) Worm W32.Skyhoo.Worm (Skype-Yahoo) Worm W32.Skyhoo.Worm (Skype-Yahoo)
Moderatie-faq Wijzig weergave

Reacties (124)

Hoe hard faalt het als je afbeeldingen gaat uploaden via dergelijke sites? Ik snap dat bestanden versturen via dat Skype protocol soms wat lang kan duren (...) maar elder uploaden is gewoon raar.

Om dat soort bestanden vervolgens ook nog te downloaden is stupide.


Dit is trouwens toch al een heel bekende manier om dit soort dingen te flikken? Dit heb ik zelf in een ver verleden (voor de grap) ook nog wel is gedaan.
Idd. Ik moest echt lachen toen ik de drie opeenvolgende afbeeldingen zag van de chat, de rapidshare pagina, dan de .jpg.zip en daarna een verhuld .com bestand. Je moet in de eerste plaats wel echt een sukkel zijn om op zo'n generieke boodschap van iemand die je niet kent serieus te reageren en dan ook nog vage bestanden downloaden en uitvoeren.
Hier valt het natuurlijk een beetje op als ineens iemand in het Engels tegen je begint, maar op plaatsen waar de voertaal Engels is, is dat een ander paar mouwen. Er zijn overigens BrEeZAHtjes genoeg die alles maar aanklikken wat voor hun neus verschijnt. De meeste gebruiken ook nog eens IE die alles vanzelf uitvoert, bij FireFox krijg je meestal nog de vraag om het bestand te openen of op te slaan. Gebruiksgemak heeft zo zijn kostprijs, maar ik prefereer toch de FireFox manier.

Daarnaast hebben de meeste mensen niet eens verstand van bestandsextensies of wat er achter schuil gaat. Wel geniaal gevonden die bestandsnaam met die website erin. Petje af!!

[Reactie gewijzigd door High-Voltage2 op 8 mei 2010 14:59]

Hoeveel tweakers hebben de afbeeldingen bij dit artikel bekeken, terwijl ze de auteur van het artikel niet kennen?
Dat is anders, tweakers is een vertrouwde website. En als mij gevraagd zou worden om de afbeelding op te slaan, dan ga ik eerst de comments lezen....
Dat is nou net de fout die je een rootkit oplevert: veronderstellen dat de inhoud veilig is, wanneer de site (Skype) vertrouwd is.
Bij mensen die toch maar alles aanklikken wat er voor hun neus verschijnt helpt de "firefox manier" dan ook helemaal niets.
Ik denk niet dat het zo raar is om overal op volgende te klikken. Al mijn neefjes en nichtjes zouden hier makkelijk in kunnen trappen, ware het niet dat ze deze klets kennen van msn. Maar er zijn genoeg mensen die naïef genoeg zijn om alles te geloven en telkens maar op te klikken. Dat tweaker leden over het algemeen iets meer verstand van pcs hebben wil daarbij niets zeggen.
Hier valt het natuurlijk een beetje op als ineens iemand in het Engels tegen je begint, maar op plaatsen waar de voertaal Engels is, is dat een ander paar mouwen. Er zijn overigens BrEeZAHtjes genoeg die alles maar aanklikken wat voor hun neus verschijnt.
Van de andere kant is dat maar goed ook, anders zat half T.net ineens zonder inkomen! :+
Ik doe dit eigenlijk vrij regelmatig omdat niet op alle plekken een breedband verbinding beschikbaar is, dat betekent dat je dus die bestanden één voor één moet versturen met een paar KB/s dat schiet niet op.
Dan is het makkelijker om er even een zip van de maken en deze op je hosting te zetten, dan kan hoef ik Skype niet te laten draaien en dan de ontvanger het downloaden wanneer die het wil.
Kijk eens naar dropbox ofzo, als je maar met een paar mensen deelt is dat erg handig. Je maakt gewoon een shared folder aan op je eigen pc, dropt er een bestand in en het wordt automatisch gesynchroniseerd met de anderen die ook op die shared folder zitten.
Dropbox is leuk maar als je je eigen hosting / fixed ip hebt is dat gebruiken net zo effectief. Daarnaast ligt het gebruik van tools als dropbox bij bedrijven gevoelig omdat je informatie naar buiten het eigen netwerk verplaatst. Niet erg bij fotos van je oma , wel als het een voorstel is voor een contract van een paar miljoen.
Voorstellen van een contract van een paar miljoen worden dan ook doorgaans niet via Skype/Yahoo! messenger/WLM verstuurd of gedeeld, dus vanwaar deze vergelijking? :-)
De worm blokkeert de werking van anti-virusprogramma en houdt zich verborgen door gebruik te maken van een rootkit.
Een worm die anti-virus blokkeert. Mega irritant maar toch moet je wel 'respect' hebben voor zijn werking.

Maar kan niet terug vinden wat hij nou precies doet.

Edit: staat in het bericht bij de link: http://blog.bkis.com/en/s...he-worm-spreading-via-im/

Ja echt irritant. gelukkig gebruik ik en geen skype en geen yahoo messenger.

[Reactie gewijzigd door Kinnie op 8 mei 2010 14:15]

Een worm die anti-virus blokkeert. Mega irritant maar toch moet je wel 'respect' hebben voor zijn werking.
Het staat niet echt duidelijk in de tekst, maar ik denk dat het pas antivirus software blokkeert nadat het .com bestand is uitgevoerd. De rootkit wordt dan geïnstaleerd waardoor je beveiligde systeem het niet meer ziet. De antivirus zou al alarm moeten slaan zodra je het bestand download, of desnoods als je het na downloaden dubbelklikt. Als dat niet gebeurt dan mag ik hopen dat de virusdefinities heel snel hiervoor geupdate worden.

[Reactie gewijzigd door Bonez0r op 8 mei 2010 14:31]

Ja dat zou fijn zijn ware het niet dat hij dat blokkeert.:

# Uses rootkit technique to hide its files and processes
# Prevents users from accessing more than 700 websites of security or antivirus
Ja dat zou fijn zijn ware het niet dat hij dat blokkeert.:

# Uses rootkit technique to hide its files and processes
# Prevents users from accessing more than 700 websites of security or antivirus
Een rootkit is een stuk code dat pas kan draaien _nadat_ je het bestand hebt geopend, en het kwaad dus al is geschied.

Een beetje goeie virusscanner moet dit stukje code al lang en breed in de smiezen hebben als je de .JPG.ZIP opent, sinds alle virusscanners tegenwoordig voorzien zijn van on-access scan. Slaat het ding geen alarm, dan heb je dus gewoon dikke pech omdat je virusdefinities niet actueel zijn.
Het gaat er dus om dat je virus definities upgedate zijn, voordat je dit bestand binnenkrijgt (en dat zal bij veel mensen nog het geval moeten zijn; ik heb 'm zelf nog niet voorbij zien komen op Skype). Pas als de rootkit geinstalleerd is kan je niet meer op die sites komen en doet je antivirus zijn werk niet meer: tussen downloaden en installatie moet de worm dus gedetecteerd worden.
Misschien ligt het aan mij maar deze virusen/wormen zijn toch al zo oud als de weg naar rome?
Ik krijg dagelijks mensen op bv MSN (nu WLM) met spam links naar dergelijke sites die je dan iets willen downloaden.
Ook vaak genoeg spam via Skype als ik het zo nu en dan weer eens gebruik.

Iemand enig idee wat de 'nieuws' waarde is van dit artikel? want dat haal ik dus niet echt op uit de tekst, waarom dit nou echt 'nieuws' is...
ja op MSN heb ik het vaak genoeg meegemaakt, ik verwijder/blokkeer de contactpersoon ook meteen.
Ik help ze meestal het probleem op te lossen beter voor de vriendschap enzo.

Overigens zijn deze berichten inderdaad erg oud, the message changes the goal stays the same?
Jammer genoeg kan het ze zelf niet zo veel schelen, zij merken er zelf dan ook vrij weinig van (in tegenstelling tot alle contactpersonen van hen).
Meestal zijn slachtoffers zich niet eens bewust van het feit dat ze zulke links sturen. Zeg ze hun wachtwoord te veranderen en een virusscan te draaien.
ja op MSN heb ik het vaak genoeg meegemaakt, ik verwijder/blokkeer de contactpersoon ook meteen.
Die contactpersoon kan er zelf vaak weinig aan doen, en het bericht/link wordt dan zonder medeweten van het slachtoffer in kwestie verstuurd.

Zelfs terugzeggen 'VIRUS ALERT!' heeft meestal geen zin, want de worm is (als bot) onder de naam van de gebruiker ingelogd, en intelligent terugpraten zal het ding niet doen. Beter is het te wachten tot de echte persoon weer online komt en even waarschuwen dat hij/zij maar eens een virusscan mag doen.

Bovendien ben ik al niet meer zo dom om ergens op te klikken als iemand me zonder reden ineens een link aanbiedt. Regelmatig krijg ik berichten van vrienden/kennissen die ik maanden niet gesproken heb, en dan ineens 'Kijk dit eens, supergaaf! <link>' naar je lopen te spammen. Ieder figuur dat meer dan 3 uur achter een toetsenbord gezeten heeft ziet in dat dat foute boel is.
Ik bied ze meestal malwarebytes anti malware aan echt een geweldige scanner die mij al talloze malen heeft geholpen. Wat mij betreft de beste virus scan die er is, daarom geef ik hem meestal ook aan vrienden die die berichten sturen, vaak is het dan zo voorbij.
Als je al talloze malen een antivirus tool nodig hebt gehad, lijkt het mij tijd om te leren van je fouten en je gedrag aan te passen. Iets van ezels en een steen.
Inderdaad. Een ezel stoot zich slechts een keer aan een steen en hij heeft dus zojuist overduidelijk aangetoond dat hij geen ezel is, wat is het probleem precies?
Ik verwijder MSN altijd z.s.m. volledig na installatie van Vensters...
(evenals WM Player, IE etc.)
Je weet toch dat je nooit wmp en Ie volledig kan verwijderen? Het is ook zinloos om het te doen. De producten werken dan niet geweldig maar ik gebruik msn hier daar toch wel. Althans MET msn+ en daarnaast altijd gtalk. Chrome erop + FF en dan mpc. Werkt perfect allemaal.
MSN staat helemaal niet standaard geinstalleerd op een verse Windows installatie?
Het enige wat geinstalleerd is 'Messenger' bij Windows XP.
MSN is tegenwoordig Windows Live Messenger trouwens.
Deze wormen en virussen gaan uit van gebrek aan kennis, onkunde of domheid van de ontvanger. Daarom beschouw ik dit soort dingen dan ook niet echt als een worm of virus. Die krijg je namelijk zonder dat je er zelf iets speciaals voor hoeft te doen.

Stel, iemand krijgt een brief in zijn bus waar op staat "Politie". Je verwacht een bekeuring of iets dergelijks, maar de brief ontploft op het moment dat je hem open trekt. Dat is een virus/worm, in mijn ogen.

Als je nu een ansichtkaart in de bus krijgt, waar op de achterkant staat: "Gan naar de hoek van straat X en Y. Daar staat een doos." Daar aangekomen vind je de doos, met een briefje erbij: "Maak de doos open, en druk op de rode knop." Dat is wat hierboven gebeurt. Dat is geen virus of worm; dat is onoplettendheid/onkunde/onverschilligheid van de ontvanger.
Waarom doe je zo moeilijk met analogieën? Het is ook gewoon wel te snappen.
Omdat jammer genoeg niet iedereen even slim is of evenveel kennis heeft ;)
Ehm,. ik heb een oma die achter de computer zit, die heeft een Email adres, en msn,t met dr klein kinderen heel gezellig. als 1 van mijn neefjes nichtjes zo iets krijgen, wat vaak het geval is je weet hoe het is met kleine kids, die klikken gewoon,.. En je kunt ze het 100 maal verbieden of dergelijke maar toch gaat het fout,..

En mijn Oma krijgt zown vraag, van wil jekijken naar mijn nieuwe kapsel klikt mijn oma heus wel op die link, en dat is geen onkunde of dergelijke. Je kutn ze zo hard waarschuwen of wat, maar dat is uit de goeigheid van dat soort mensen!

Niet iedereen met een Computer is Onverschillig onoplettent of onkundig!! het zijn gewoon mensen die zich proberen inteleven, en helaas de dupe worden van dat soort dingen!!
Sorry voor je oma Gidoni, maar als zij klikt op .JPG.ZIP dat is dat juist wél onkunde.
Sorry voor je oma Gidoni, maar als zij klikt op .JPG.ZIP dat is dat juist wél onkunde.
En hoe moet dat mensje weten dat je niet op dat soort dingen mag klikken?

Het merendeel van de bevolking weet gewoon niets van computers en dingen die je wel niet mag doen. Die zien een vertrouwd persoon die iets stuurt, daar komt helemaal niet bij op, en dat zal ook nooit gebeuren, dat dat foute boel kan zijn.

Dat wij nou toevalig zoveel kennis hebben en weten...
Dat wij nou toevallig zoveel kennis hebben en weten...

Nou nou :P De meesten hier weten dan wel wat meer over computers en dergelijke dan anderen, maar om nou te stellen dat de gewone computergebruiker vrijwel geen kennis bevat is ook ietwat te voorbarig vind je niet?

Bottomline: het leven bestaat uit meer dan computeren alleen. 8)7

[Reactie gewijzigd door B0yLer op 10 mei 2010 02:42]

Nou nou :P De meesten hier weten dan wel wat meer over computers en dergelijke dan anderen, maar om nou te stellen dat de gewone computergebruiker vrijwel geen kennis bevat is ook ietwat te voorbarig vind je niet?
De nuance is dat ik 't specifiek over computerkennis heb. Daar hoef je niet over te gaan muggeziften lijkt me.
Bottomline: het leven bestaat uit meer dan computeren alleen. 8)7
Inderdaad, mede daarom kan ik het 'normale gebruikers' ook zelden echt kwalijk nemen dat ze dit soort ellende oplopen. Dat ik (en velen hier) er nou direct doorheen zien, wil nog niet zeggen dat anderen dat kunnen. En die rommel wordt steeds geniepiger. Het is een vorm van social engineering te noemen, wat ze doen.
Nee, dat zijn mensen die geen ervaring hebben met dit soort kwalen. Niets meer en niets minder. Na 1 keer de dupe zijn geweest leren kinderen dat er dit soort kwaad in de wereld/op internet bestaat en leren ze ermee om te gaan.

Jij bent trouwens een mens die nodig zijn posts eens moet nalezen voordat hij op "versturen" klikt, want hier moet haast een vertaler voor aan te pas komen om dat te kunnen lezen.
Het showen van extensies is een van de eerste zaken die ik doe na installatie van windows. Ook leg ik vrienden en kennissen het nut van extensies uit.

Echter, in dit geval is het gebruik van de ".com" extensie best verraderlijk, als je namelijk eens op de foto's kijkt, zie je dat de indruk gewekt wordt dat het om een internet-adres gaat en dan besef je niet zo snel dat de ".com" een executable is!

[Reactie gewijzigd door Synthiman op 8 mei 2010 16:13]

Maar goed, dan heeft het bestand nog steeds het pictogram van een programmavenstertje.
Dat weet jij, dat weet ik, maar voor de meeste mensen is het gewoon een (lelijk) pictogram.
Waarom .com in moderne 32 bits Windowsen dan nog herkend wordt is mij ook een raadsel. Compatibiliteit met DOS, okay, maar zijn we in 2010 nog niet klaar met DOS-compatibility?
Gebruikers van dergelijke programma's zijn niet tevreden met XP? (al dan niet in een Virtual Machine)
Waarom .com in moderne 32 bits Windowsen dan nog herkend wordt is mij ook een raadsel. Compatibiliteit met DOS, okay, maar zijn we in 2010 nog niet klaar met DOS-compatibility?
Gebruikers van dergelijke programma's zijn niet tevreden met XP? (al dan niet in een Virtual Machine)
Dan doen die dingen het nog altijd als je ze domweg naar .EXE hernoemt.

.COM is ooit een extensie geweest voor 'kleine' executables (ik geloof onder de 128kB), maar het eigenlijke nut is me altijd ontgaan. Waarschijnlijk dat de DOS-memory manager iets efficiënter met dat soort kleine progsels om kon gaan dan met EXE's, die willekeurig groot konden zijn.

In het bestand is de opbouw precies hetzelfde als een EXE, dus de boel hernoemen kan helemaal geen kwaad.
Ik zie toch nog geregeld DOS (evt uitziende) applicaties draaien in kleinere winkels.
Onder Vista/7?
Extensies zijn iets uit het verleden. Tegenwoordig zouden programma's veel meer naar content kunnen kijken terwijl lange bestandsnamen het voor mensen begrijpelijk kunnen houden. In unix is het gebruik van extensies trouwens helemaal niet gebruikelijk.
Nadat het is gedownload, checkt de worm of Skype of Yahoo Messenger op de computer staat. Als dat niet zo is, sluti hij zichzelf af.
Dat lijkt me erg stom van de maker. Eerst check gaan implementeren en daarna zichzelf afsluiten als het programma niet gevonden wordt. Lijkt me dat je nog vanalles anders kan doen als het programma eenmaal draait op de geïnfecteerde PC.
Afsluiten != verwijderen.
OK, maar ik neem aan dat het gemakkelijker is het virus te verwijderen als het afgesloten is, dan als het nog draait.
Dit maakt denk ik niet zo veel uit, als hij niet draait weet je niet dat hij er is en blijft hij toch op je pc staan en als hij wel draait dan wordt hij verborgen door die rootkit.
Waarom kan je niet gewoon zeggen "Afsluiten is wat anders dan verwijderen."? Ik snap het wel, en ik neem aan andere mensen ook wel, maar waarom zou je het niet gewoon wat duidelijker er neer zetten?
Waarom gebruiken ze op twitter dingen als tinyurl etc. Niet omdat het makkelijker is maar het is korter. In geval van twitter ivm weinig tekens.
Hier is het gewoon sneller te typen en er is geen onduidelijkheid over de betekenis.
En mocht je als user niet snappen wat != betekent dan levert google je het antwoord wel.

Los daarvan is op een IT gerelateerd site niet vreemd om terminologie uit de IT wereld te gebruiken.
En mocht je als user niet snappen wat != betekent dan levert google je het antwoord wel.
Slechte uitvlucht. Een zoekopdracht op '!=' levert dit op: Your search - != - did not match any documents. Iemand die niet weet wat het betekent kan natuurlijk ook niet verzinnen dat het om een comparison operator gaat.
Omdat we op T.net zitten en omdat het kan. T.net != Viva forum.
Dan vraag ik me af of de worm zichzelf ook afsluit als je skype/yahoo messenger deïnstalleerd als je merkt dat jij geinfecteerd bent door deze worm...
Ik denk dat het meer een kwestie van "eenmalig" activeren en dan zit je met de gebakken peren. Want eenmaal actief lijkt hij mij internet niet meer nodig.
En dan kun je skype/yahoo messenger wel deïnstalleerden maar het kwaad is al geschied.
zowiezo dom dat windows de extensies afschermt van bestanden, dit levert meer problemen en risico op dan dat het nut heeft.
De extentie is niet afgeschermd, het is een .com bestand, maar dit wordt gecamoufleerd door een url
Inderdaad, ik zie ook het nut niet van het niet weergeven van de extensie, ik zet deze functie altijd gelijk weer aan.

Vind het trouwens wel erg dom als je hier in trapt....
Maar veel mensen snappen ook niet het nut van extensies, dus veel mensen zullen het ook niet snappen als die alle extensies zien.
Vraag me af of iedereen naar het zelfde bestand op Tinyfilehost gestuurd wordt, het bestand zou dan toch heel makkelijk verwijderd kunnen worden waardoor verspreiding stopt.
Waarom helemaal een nieuws bericht over dit? Dit is echt niks nieuws en speelt al sinds Skype bestaat... Zelfde met MSN, AIM, Yahoo etc...

En voor de mensen die denken dat deze gast makkelijk te pakken is, als deze n00b een beetje hersens heeft zal hij wel achter een proxy chain of een VPN zitten.
Maar iedere skid kan dit met de juiste irc bot source en een goede tutorial.
Ik vind dit niet nieuwswaardig omdat het alleen een social engineering aanval is en ook daarin niets nieuws doet.

Wat je beter kunt doen is een keertje uitleggen hoe een daadwerkelijke Windows exploit werkt, dan leert een bezoeker misschien nog een keer iets... (je hoeft het niet voor mij uit te leggen ^^)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True