Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 24 reacties

Symantec meldt dat er een nieuwe variant van de Duqu-malware is gevonden. Het virus is aangetroffen in Iran en lijkt te zijn voorzien van een ander encryptie-algoritme, terwijl er geen gebruik meer wordt gemaakt van een gestolen certificaat.

De Duqu-variant is volgens Symantec gevonden in Iran, maar het is niet geheel duidelijk of deze versie specifiek gericht is op dat land. Dit komt mede omdat een aantal onderdelen in de aangebrachte sample ontbreken. Symantec meldt echter dat de malwareschrijvers de encryptie-engine van de Duqu-malware hebben aangepast. Deze versleuteling wordt gebruikt om de diverse onderdelen van de malware op een besmet systeem te verbergen voor antivirus-software.

Een ander opvallend verschil met het 'origineel', dat een afgeleide zou zijn van de Stuxnet-malware, is dat deze Duqu-versie niet langer gebruik maakt van een gestolen certificaat; de malware zou zich in deze gedaante voordoen als een Microsoft class driver. Symantec stelt dat uit het opduiken van een nieuwe Duqu-variant ook kan worden afgeleid dat de makers nog steeds actief zijn met het bouwen van nieuwe malware: de code is gecompileerd op 23 februari.

Eerder deze week concludeerde Kaspersky Lab, na hulp te hebben gekregen van programmeurs, dat een mysterieuze module van de Duqu-trojan is geschreven in een objectgeoriënteerd C-dialect. Volgens Kaspersky blijkt hieruit dat de Duqu-ontwikkelaars doelbewust hebben gekozen voor een flexibele basis, zodat de malware ook op andere platformen ingezet kan worden. Bovendien zou de malware zeer robuust zijn door het gebruik van een asynchroon communicatiemodel.

Gerelateerde content

Alle gerelateerde content (23)
Moderatie-faq Wijzig weergave

Reacties (24)

Wordt het niet tijd voor overheidsinstellingen om de gebruikerssystemen over te laten zetten op Linux? Ik kan me voorstellen dat de infectiepercentage flink zou dalen in dat geval.
Waarschijnlijk wel. Ondanks dat er altijd geroepen wordt dat *nix alleen maar veiliger lijkt omdat het minder gebruikt wordt. Maar ik ben van mening dat het fundamenteel beter in elkaar zit. Zowel bestanden, processen en devices zijn onderhevig aan een strikte permissie-hierarchie die de meeste problemen al voorkomt. Buiten dat is het open source wat betekent dat alle mogelijke problemen door iedereen letterlijk tot op de bodem kunnen worden onderzocht en dus worden opgelost. Er is geen "svchost.exe" die de hele tijd draait maar niks vrijgeeft over wat ie nou eigenlijk aan het doen is. Daar kan je een boel ellende van krijgen.

[Reactie gewijzigd door blorf op 21 maart 2012 20:04]

Je kunt wel degelijk zien wat svchost precies aan het doen is, process explorer, sysinternals tools. Permissies, mandatory access control, acl's per key, het zit ook allemaal in Windows.
Ja totdat mensen daar virussen voor gaan schrijven. Dit is dus een manier om tijdelijk van problemen af te komen. Of te wel geen oplossing.
Niet helemaal: de Windows API is zo bloated dat deze nauwelijks meer te reviewen is. De standaard API onder Unix en de bijbehorende rechten zijn dermate simpel dat een review makkelijker is en het dus veel eenvoudiger is vast te stellen of er problemen in zitten. Het klopt dat de aandacht zal verschuiven, maar het probleem is beter te behapstukken dan een review van Windows met 20+ jaar bagage aan onnodige API calls.
Je schrijft Windows API's maar dat is een niet bestaande term. Win32 bestaat wel, maar is slechts een van de vele API's in Windows.

Probleem is natuurlijk dat als Microsoft zomaar Win32 API's gaat weggooien er opeens een heleboel applicaties stoppen met werken. In Linux vinden gebruikers dat heel normaal, want er is geen verwachting dat een app van versie X zonder hercompileren draait op versie Y. Op Windows worden mensen boos als dat niet het geval is.

Merk daarbij op dat ondanks dat Microsoft toch regelmatig API's verwijdert. Zij doet dat eerst door het als absolete te markeren voor een versie, en de versie daarna eruit te gooien. Met de komst van Windows 8 zullen we dus wederom van een groot aantal oude API's afscheid gaan nemen.

Tenslotte is het steeds vaker niet de bedoeling dat je in Win32 codeert maar hogere frameworks gebruikt. Win32 wordt steeds meer een private API voor enkel Microsoft zelf en andere bedrijven die code schrijven die dieper in het platform zit. In Linux heb je ook talloze functies die enkel intern aangeroepen worden.
Ach, hoeveel jaar historie met allerlij utilities draagt *nix met zich mee? Alleen al de bugs in SendMail hebben ons decennia plezier bezorgt.
Onzin. De "standaard" API van Windows is een stuk groter dan de core unix API, als je zaken zoals X11 weglaat. Maar vergelijk geen appels met peren; voor een security review moet je de core Unix API met de native NT kernel vergelijken en niet de Win32 layer.
Een goede whitelist scanner die laat zien welke bestanden zijn toegevoegd en welke bestanden zijn gewijzigd lijkt me beter dan de virusscanners die we nu hebben.
Ook al gedacht aan de output die dat oplevert? Wie gaat al die verschillen dan beoordelen of ze al dan niet terrecht zijn?
In Symantec Endpoint Protection werkt het al heel aardig
Wanneer iets moeilijk is, is dat nog geen reden om het niet te doen maar een uitdaging.

Voor firewall en andere logs zijn er al goede mogelijkheden
Uit het artikel:
de code is gecompileerd op 23 februari.
De metadata geeft aan dat de code gecompileerd is op 23 februari. Dat is een klein maar belangrijk verschil. De makende of wijzigende partij kan daarmee bijvoorbeeld varianten ouder of nieuwer laten lijken door simpelweg de datum aan te passen, om zo onduidelijkheid te creŽren wat nou de nieuwste versie is. FUD is een sterk wapen en is makkelijk te gebruiken.

[Reactie gewijzigd door The Zep Man op 21 maart 2012 20:49]

het wordt tijd voor UEFI , voel me steeds onveiliger, geen kruid tegen gewassen lijkt wel.
En waarmee gaat die UEFI je dan helpen? Wondermiddel 'UEFI' heeft geen enkel effect als iemand direkt toegang tot je computer heeft... Het zou slechts bootvirussen moeten verhelpen, en zelfs dat is niet helemaal uitgesloten.
Wondermiddel UEFI? Ik vind het maar niets, afhankelijk zijn van de makers daarvan voor de de veiligheid en werking van je systeem. UEFI is imho gewoon te bloated, er zit zoveel in dat het haast niet meer te overzien is.

En dan kom je dingen als dit tegen: http://mjg59.dreamwidth.org/11235.html
Heeft niets met UEFI te maken, maar kan ook in een klassieke BIOS gebeuren.

In dit geval was de WiFi hardware na het boot-process nog steeds actief en bleef dus lekker met zijn DMA in het geheugen schrijven.
eerder McAfee/Intel DeepSafe, een hardwarematige implementatie van een virusscanner
Ik snap de relevantie niet met UEFI kun je dit ook uitleggen??
Tja..zo'n soort virus in dat land loslaten is gelijk aan technologie aan dat land geven...met je eigen techneuten het wat aanpassen, en klaar is klara
[conspiracymode]
Het is de VS die hun virus wil gebruiken om de ontwikkelingen in het kernenergie programma te kunnen volgen
[/concpiracymode]

Maar even zonder gein.. wat is het precies met dit Duqu virus dat het zo speciaal maakt.. en wat kan het doen?
[conspiracymode]
Het is de VS die hun virus wil gebruiken om de ontwikkelingen in het kernenergie programma te kunnen volgen
[/concpiracymode]
Ach, even praktisch gezien bestaat er nog altijd de verdenking dat duqu uit Israel kan komen, dit soort ontdekkingen doen daar niet echt veel aan af.
En nu de VS en IsraŽl in achterkamertjes weer met de vuisten op tafel slaan: "Dammit, hebben ze wťťr onze virussen onderschept. Zo kunnen we nooit de bouw van atoombommen ondermijnen!"

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True