Microsoft publiceert workarounds voor Stuxnet-worm

Microsoft heeft twee workarounds gepubliceerd om de pas ontdekte Stuxnet-worm tegen te gaan. Tevens is het Realtek-drivercertificaat dat door de worm wordt gebruikt na overleg met het bedrijf ingetrokken.

Om zich tegen de worm te weren, kunnen gebruikers twee dingen doen. Een eerste mogelijkheid is het via het register uitschakelen van het weergeven van iconen voor .lnk-bestanden. De andere mogelijkheid is het uitschakelen van de WebClient-service, maar dit kan tot gevolg hebben dat Microsoft Sharepoint niet meer correct functioneert. Verder heeft Microsoft in overleg met VeriSign en Realtek het drivercertificaat dat door de worm werd misbruikt ingetrokken. Ook heeft het de worm toegevoegd aan de database van zijn Security Essentials antivirusoftware, zodat hij wordt ontdekt voordat hij schade kan aanrichten.

De exploit is terug te vinden in alle Windows-versies; zelfs de onlangs verschenen bèta van Service Pack 1 voor Windows 7 is vatbaar. Gebruikers van Windows XP met SP2 zullen naar SP3 moeten upgraden om een eventuele patch te kunnen ontvangen. Het tweede Service Pack van Windows XP ontvangt, net als Windows 2000, sinds kort geen beveiligingsupdates meer.

De Stuxnet-worm werd onlangs door het Wit-Russische bedrijf VirusBlokAda ontdekt en maakt gebruik van een exploit in Windows Shell. Door het manipuleren van .lnk-bestanden kan schadelijke code worden uitgevoerd zodra een gebruiker het icoon van een .lnk-bestand in beeld heeft binnen Windows Explorer of een andere filemanager. De worm installeert vervolgens een rootkit-driver die met een signatuur van hardwarefabrikant Realtek is ondertekend en wordt daarom vaak niet door antivirussoftware opgemerkt.

Door Wout Funnekotter

Hoofdredacteur

Feedback • 19-07-2010 15:12 49

19-07-2010 • 15:12

49

Lees meer

'Hackers gebruikten Stuxnet-certificaat om onderzoekers te misleiden'
'Hackers gebruikten Stuxnet-certificaat om onderzoekers te misleiden' Nieuws van 13 oktober 2016
Nieuwe spionagetool besmet systemen Midden-Oosten
Nieuwe spionagetool besmet systemen Midden-Oosten Nieuws van 18 juli 2012
Krant: Amerikaanse regering zat achter Stuxnet
Krant: Amerikaanse regering zat achter Stuxnet Nieuws van 1 juni 2012
'Stuxnet werd door infiltrant via usb-stick verspreid'
'Stuxnet werd door infiltrant via usb-stick verspreid' Nieuws van 13 april 2012
'Ontwikkelaars Duqu en Stuxnet maakten nog drie virussen'
'Ontwikkelaars Duqu en Stuxnet maakten nog drie virussen' Nieuws van 29 december 2011
Shell vreest cyberaanvallen op olie- en gasinstallaties
Shell vreest cyberaanvallen op olie- en gasinstallaties Nieuws van 12 december 2011
Symantec: Stuxnet-makers brengen nieuwe malware in circulatie
Symantec: Stuxnet-makers brengen nieuwe malware in circulatie Nieuws van 19 oktober 2011
Microsoft: minder malware-besmettingen op Windows 7
Microsoft: minder malware-besmettingen op Windows 7 Nieuws van 15 mei 2011
'Iran wordt opnieuw aangevallen door virus'
'Iran wordt opnieuw aangevallen door virus' Nieuws van 25 april 2011
Iran: Siemens hielp bij Stuxnet-aanval
Iran: Siemens hielp bij Stuxnet-aanval Nieuws van 18 april 2011
PS3-firmware v3.56 bevat rootkit
PS3-firmware v3.56 bevat rootkit Nieuws van 1 februari 2011
'VS en Israël testten Stuxnet-worm samen op effectiviteit'
'VS en Israël testten Stuxnet-worm samen op effectiviteit' Nieuws van 16 januari 2011
Nieuwe versie Security Essentials is te downloaden
Nieuwe versie Security Essentials is te downloaden Nieuws van 18 december 2010
Nederlander helpt belangrijk deel Stuxnet-puzzle op te lossen
Nederlander helpt belangrijk deel Stuxnet-puzzle op te lossen Nieuws van 15 november 2010
'Thuishavens voor cybercriminelen moeten worden gestraft'
'Thuishavens voor cybercriminelen moeten worden gestraft' Nieuws van 13 oktober 2010
Iran meldt arrestaties in verband met Stuxnet-worm
Iran meldt arrestaties in verband met Stuxnet-worm Nieuws van 3 oktober 2010
Nucleair agentschap Iran poogt Stuxnet te stoppen
Nucleair agentschap Iran poogt Stuxnet te stoppen Nieuws van 27 september 2010
'Microsoft al maanden geleden geïnformeerd over lekken'
'Microsoft al maanden geleden geïnformeerd over lekken' Nieuws van 24 augustus 2010
Microsoft brengt bèta van nieuwe versie Security Essentials uit
Microsoft brengt bèta van nieuwe versie Security Essentials uit Nieuws van 21 juli 2010
VeriSign start met scannen naar malware op sites
VeriSign start met scannen naar malware op sites Nieuws van 20 juli 2010
Malware met Realtek-signatuur gebruikt nieuwe Windows-exploit
Malware met Realtek-signatuur gebruikt nieuwe Windows-exploit Nieuws van 16 juli 2010
Skype-worm doet zich voor als vraag om advies
Skype-worm doet zich voor als vraag om advies Nieuws van 8 mei 2010
Rootkit is mogelijke aanleiding bsod's in Windows XP
Rootkit is mogelijke aanleiding bsod's in Windows XP Nieuws van 13 februari 2010
Sony klaagt ontwikkelaar drm-software aan
Sony klaagt ontwikkelaar drm-software aan Nieuws van 13 juli 2007
Sony schikt 'rootkit'-zaak in Californië en Texas
Sony schikt 'rootkit'-zaak in Californië en Texas Nieuws van 20 december 2006
Meer producten en artikelen
Netwerk en systeembeheer Besturingssystemen Microsoft Windows Beveiliging Malware

Reacties (49)

-Moderatie-faq
49
48
34
1
0
10
Wijzig sortering

Sorteer op:

Weergave:
beany 19 juli 2010 15:17
Door het manipuleren van .lnk-bestanden kan schadelijke code worden uitgevoerd zodra een gebruiker het icoon van een .lnk-bestand in beeld heeft binnen Windows Explorer of een andere filemanager.
Hoe kunnen ze .lnk bestanden manipuleren :? Vanuit een browser toch niet lijkt me? Het .lnk bestand moet dus al op de computer staan?

Of stoppen ze die .lnk bestanden in .rar archieven die nogal veel op usenet staan?
Verwijderd @beany19 juli 2010 16:35
Die .lnk bestanden staan typisch op USB sticks... Zo gauw je dan met de explorer naar de USB disk/stick van iemand gaat om een bestand te kopieren, zal je dus besmet worden.

Dus de aloude methode van malware verspreiding. Maar dat gaat natuurlijk veeeel langzamer dan internet, en is dus minder gevaarlijk.


Wat me nog steeds niet duidelijk is, of UAC hier tegen beschermd. In principe moet toch bij iedere driver installatie via UAC toestemming worden gevraagd? Of gaat dit buiten UAC om?
Xesxen @beany19 juli 2010 15:29
Of je bent niet verstandig bezig en installeert de nodige programma's van het internet die je tegenkomt, wat een 'normale' gebruiker vaak doet. Ik heb al veel gezien hoor |:( .
wildhagen
19 juli 2010 15:15
Verder heeft Microsoft in overleg met VeriSign en Realtek het drivercertificaat dat door de worm werd misbruikt ingetrokken.
Wat heeft dit voor consequneties voor x64-versies van Windows, waar driver signing immers verplicht is (standaard)? Werken die drivers dan opeens niet meer?
Ook heeft het de worm toegevoegd aan de database van zijn Security Essentials antivirusoftware, zodat hij wordt ontdekt voordat hij schade kan aanrichten.
Deze detectie was al toegevoegd in versie 1.85.1626.0 van de definities, van 7 juli, hij word dus al bijna twee weken herkend.
jabberwock @wildhagen19 juli 2010 15:54
sterker nog...

Wat hebben de certificaten nog voor zin, als er dit soort praktijken plaatsvinden?
daft_dutch @jabberwock19 juli 2010 15:58
Certificaten hebben zin als je ze kan terug trekken. the system seems to works.
BeosBeing @daft_dutch21 juli 2010 08:50
Nou eigenlijk heeft zelfs het certificaat-systeem gefaalt, het betreft immers een bestaand certificaat, niet een vervalst certificaat. Dergelijke certificaten zouden niet door malware-makers verkrijgbaar moeten zijn.

Terugtrekken van een certificaat is een noodoplossing die eigenlijk helemaal nooit nodig zou moeten zijn, en de laatste en uiterste oplossing, maar ook één die slechts werkt op systemen die updatebaar zijn.

Aangezien er geen updates meer worden gemaakt voor Windows XP sp2 (waarom niet en sp3 wel?) en voor de door mij gebruikte Windows 2000 (Ondanks XP-sticker doet hij het niet met XP, althans niet met mijn gekochte CD) en mijn systeem te weinig geheugen heeft voor Win7 (Voor Vista in theorie wel, maar dat verbruikt nog meer geheugen als Win7, is dus helemaal niet werkbaar) betekent dit een ernstig probleem voor mij en dus eigenlijk dat ik Windows helemaal moet uitrangeren.

Feitelijk zijn beide work-arounds dus nood-oplossingen en is een echte oplossing iets voor de lange termijn.

De mogelijkheid tot het uitschakelen van de webclient-service lijkt mij voor de de beste mogelijkheid voor vrijwel alle thuisgebruikers en voor zakelijke gebruikers die Sharepoint niet gebruiken. Zij hebben van deze optie namelijk geen hinder.

Voor bedrijven waar men wel afhankelijk is van Sharepoint is de enige optie dus het uitschakelen van de icoon-weergave, maar hel lijkt mij dat dit voor de meeste gebruikers nou net een enorm probleem is.

Wat mij betreft zou een goede filemanager die zonder iconen werkt (maar dus wel drag&drop e.d., dit in tegenstelling tot command-prompt-filemanagers zoals Norton Commander) en Explorer vervangt (én verwijderd) de beste optie zijn, maar een dergelijke filemanager ben ik nog nooit tegengekomen.
mjtdevries @jabberwock19 juli 2010 16:01
Zo makkelijk is het niet om een valide certificaat van Realtek te krijgen. Dus ceritificaten blijven wel zin hebben.

Heb jij een slot op je deur zitten?
Wat voor zin heeft dat terwijl er lopers zijn?
BeosBeing @mjtdevries21 juli 2010 08:52
Blijkbaar wel, de vraag is hoeveel andere valide certificaten binnenkort in handen van malware-makers blijken te zijn. Als die er niet zijn, dan zit het lek dus bij Realtek, lijkt me dus voorlopig een reden om Realtek soft- en hardware te vermijden.
Blokker_1999
@wildhagen19 juli 2010 15:38
Ik neem aan dat mensen met een 64bit systeem nieuwe drivers moeten downloaden vanaf het internet.
X_lawl_X 19 juli 2010 15:58
Het lijkt mij dat er niet veel schade aangericht kan worden als UAC geactiveerd is - of denk ik nu verkeerd? Zonder admin rechten kan die worm ook niet veel doen lijkt mij.

[Reactie gewijzigd door X_lawl_X op 23 juli 2024 06:22]

Lyon_NL @X_lawl_X19 juli 2010 16:06
Ook dan. Alleen al bij weergave installeerd het programma in silent modus. Hoe dit kan en wat het exact doet is mij nog onduidelijk...
captain007 @Lyon_NL19 juli 2010 16:37
Er zit een exploit in de bibliotheek in Windows die de icoontjes weergeeft (lek werkt dus ook in tools zoals Total Commander, etc), waardoor het mogelijk is om custom code uit te voeren. Wat ze vervolgens doen is een gesignde driver (met het Realtek certificaat) via de Windows API installeren, waarmee ze vervolgens allerlei gekke dingen op je systeem mee kunnen uithalen. Wat ze nu hebben kunnen tegenhouden is dat de driver wordt geïnstalleerd, aangezien het certificaat nu is ingetrokken.

[Reactie gewijzigd door captain007 op 23 juli 2024 06:22]

Verwijderd 19 juli 2010 15:14
jammer dat er niet wordt weergegeven hoeveel pc's al geinfecteerd zijn.. ben wel benieuwd hoelang ze bezig zijn geweest om alles te achterhalen.
schoene @Verwijderd19 juli 2010 15:27
Uit het vorig bericht omtrent deze exploit:

De malware, die door Kaspersky Stuxnet is gedoopt, is sinds zijn ontdekking op meer dan 16.000 systemen aangetroffen. Het overgrote deel van deze systemen staat in India, Iran en Indonesië.

zie nieuws: Malware met Realtek-signatuur gebruikt nieuwe Windows-exploit
Tukkertje-RaH 19 juli 2010 15:15
... Waarbij moet worden aangetekend dat voor zover ik weet deze worm alleen wordt verspreid via USB sticks of andere draagbare media, en dus niet via het internet. De aantallen besmette pc's wordt dan ook meer in de duizenden dan in de miljoenen geteld....

Zie ook http://security.nl/artike..._ernstig_Windows-lek.html met een grafisch overzicht van de verspreiding...
Blokker_1999
@Tukkertje-RaH19 juli 2010 15:39
Maar, vanaf dat je een besmette stick in je PC steekt en opend in je verkenner verspreid de worm zich. Er is geen autorun of dergelijke nodig.

[Reactie gewijzigd door Blokker_1999 op 23 juli 2024 06:22]

cosmo_roel 19 juli 2010 15:16
...en wordt daarom vaak niet door antivirussoftware opgemerkt.
Ik mag hopen dat AV bedrijven zorgen dat dit specifieke geval ondertussen wel herkend wordt?

edit:
Ook heeft het de worm toegevoegd aan de database van zijn Security Essentials antivirusoftware, zodat hij wordt ontdekt voordat hij schade kan aanrichten.
Microsoft heeft er in ieder geval wel voor gezorgd. Dan zal dat bij de rest ook wel zo zijn.

[Reactie gewijzigd door cosmo_roel op 23 juli 2024 06:22]

Lyon_NL @cosmo_roel19 juli 2010 16:08
Nu wel inderdaad. Dit komt omdat Verisign een geautoriseerd certificaat heeft ingetrokken. Zodra dit gebeurt is kunnen virus beveiligers dit ook in hun definitions gaan opnemen.
BeosBeing @Lyon_NL21 juli 2010 08:53
Tja, wat mij betreft is het helemaal niet ingetrokken, in mijn OS is het nog steeds geldig en zal het dat blijven totdat ik het OS uitrangeer.
Jorgen Moderator Beeld & Geluid 19 juli 2010 15:29
"het manipuleren van .lnk-bestanden kan schadelijke code worden uitgevoerd zodra een gebruiker het icoon van een .lnk-bestand in beeld heeft binnen Windows Explorer of een andere filemanager."

Dus een virus o.i.d. kan zelfs actief worden, wanneer je een bestand alleen in beeld hebt? Dat wist ik niet.

Dan kan je dus ook beter niet je downloadsmap openen, (bijvoorbeeld om te zien welke bestanden je al binnenhebt), voordat je je virusscanner er over hebt laten lopen?! Nog meer oppassen, dus. :|
KompjoeFriek @Jorgen19 juli 2010 15:40
Hedendaagse virusscanners bekijken direct wat er allemaal het geheugen in geladen wordt. Op die manier zou het virus alsnog gestopt kunnen worden voordat het daadwerkelijk iets doet.

Deze manier is volgens mij toch al tijden geleden via een icon in .exe bestanden misbruikt. Dit zal waarschijnlijk op een compleet andere manier gebeuren, maar voor mij als gebruiker lijkt het hetzelfde.
i-chat @KompjoeFriek20 juli 2010 13:46
let wel, niet alle scanners doen 'on access' volgens mij diet ook MSSE dit niet..
BeosBeing @Jorgen21 juli 2010 08:55
Gewoon altijd de command-promt gebruiken, Explorer en consorten zijn dus onveilig.
Dark Angel 58 19 juli 2010 15:40
enige wat ik graag wil weten:
hoe heeft die worm een realtek certificaat gebruikt???
Hoe komt die worm aan die certificaat???
Lyon_NL @Dark Angel 5819 juli 2010 15:51
Dat wil iedereen weten. Mogelijkheid is, zoals aangegeven in een eerdere reactie, dat deze gelekt is bij een software aanbesteding door Realtek in India.

Mijn probleem is: Hoe zorg ik dat de netwerken die ik beheer niet geinfecteerd raken zonder dat ik gebruikers bang maak?

En wat doet deze worm exact? Hoe kan ik deze verwijderen. Maakt mij nog relatief weinig uit hoe dit kon gebeuren. Eerst oplossen, dan onderzoeken hoe het kan gebeuren. Inmiddels is het certificaat al ingetrokken en kunnen ze er geen software meer mee verspreiden. Andere bedrijven moeten echter wel heel secuur hiermee omgaan. Dit is een duidelijk signaal dat ze moeten oppassen!
SniperEye 19 juli 2010 16:08
Weet iemand of AVG (free edition) al bescherming biedt? Kon op de site van AVG en via Google zo snel niets vinden. Wel gisteren een update gehad waarbij restart van de PC noodzakelijk was.
KiPKaKDutcH @SniperEye19 juli 2010 16:33
http://free.avg.com/nl-nl/virusencyclopedie Hij kent m niet.

http://www.avira.com/en/t.../5318/rkit_stuxnet.a.html Avira heeft hem al in de definities zitten :)
citruspers 19 juli 2010 15:15
De andere mogelijkheid is het uitschakelen van de WebClient-service, maar dit kan tot gevolg hebben dat Microsoft Sharepoint niet meer correct functioneert.
Och, veel erger kan het niet worden zou ik zeggen :+

En weer ontopic: het schijnt dat het realtek certificaat (tenminste, de private key) is gelekt door de recente uitbesteding van programmeurs naar India? (bron: security now)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq