Nieuwe geavanceerde trojan verschijnt in het Midden-Oosten

Beveiligingsbedrijf Kaspersky Labs heeft nieuwe malware ontdekt die het gemunt heeft op computers in het Midden-Oosten. Het Trojaanse paard, dat Worm.32.Flame gedoopt is, zou geavanceerder zijn dan de Stuxnet- en Duqu-trojans.

Flame is vooral gericht op computers in het Midden-Oosten, zo schrijft Kaspersky Labs in een faq over de nieuwe trojan. Gebieden waarin de trojan momenteel actief is, zijn onder andere Iran, Israël, Palestina, Soedan, Syrië, Libanon, Saoedi-Arabië en Egypte.

De trojan lijkt volgens onderzoekers niet bedoeld om een specifiek soort computer aan te vallen, zoals bijvoorbeeld het geval was bij Stuxnet, dat het voorzien had op scada-systemen. Flame lijkt meer bedoeld voor algemene spionage. De trojan nestelt zich in een Windows-systeem via verschillende exploits en houdt daarna bij wat gebruikers doen.

Flame is van variabele grootte omdat het opgebouwd is uit verschillende modules. Die losse modules hebben specifieke functies, zoals het registreren van toetsaanslagen, het maken van schermafbeeldingen, het opnemen van audio en het onderscheppen van netwerkverkeer. Met alle modules actief neemt de malware ongeveer 20MB in beslag. Flame bestaat niet uit een enkele executable, maar verspreidt zichzelf over verschillende dll-bestanden die bij het starten van de computer ingeladen worden.

De verzamelde gegevens worden via beveiligde ssl-verbindingen naar diverse control and command-servers verstuurd. Hoeveel er hiervan operationeel zijn is nog niet bekend. Vanaf deze servers kan de trojan ook beheerd worden; het is mogelijk om de trojan van afstand te repliceren, maar ook van een systeem te verwijderen.

Flame heeft, afgezien van de exploits die het gebruikt om zich te installeren, technisch gezien weinig overeenkomsten met Stuxnet en Duqu, twee stuks malware die vorig jaar veel in het nieuws waren. De beveiligingsonderzoekers gaan er dan ook vanuit dat Flame los van Stuxnet en Duqu ontwikkeld is. Het bedrijf vermoedt dat de ontwikkeling van de trojan, vanwege zijn omvang en uitgebreide mogelijkheden, door een land gesponsord is.

Volgens Kaspersky Labs doet Flame al sinds februari 2010 de ronde. De ontwikkeling zou nog steeds doorlopen; enkele modules van Flame stammen uit 2011 en 2012.

IT-banen

Reacties (91)

CMG 29 mei 2012 09:22

Een van de dingen die wel heel opvallend waren is dat een groot gedeelte van deze worm geschreven is in de LUA scripting language die vaak gebruikt wordt voor games en erg uncommon is in de malware wereld (http://www.securityweek.c...r-weapon-par-stuxnet-duqu).

Ik denk dat we hier het komende jaar nog heel veel van gaan horen. Analisten hebben al een .pdb reference gevonden (http://twitter.com/codelancer/status/207114687849041920), de halve security wereld is momenteel de samples uit elkaar aan het trekken.

Andere interessante links zijn http://www.wired.com/threatlevel/2012/05/flame/ en http://www.kaspersky.com/...New_Advanced_Cyber_Threat en http://hackmageddon.com/2...the-cyberwarfare-horizon/

advnetcfg.ocx Virus Total score is inmiddels 16/42 (https://www.virustotal.co...70a75887fbc90cf/analysis/)

AhnLab-V3, BitDefender, DrWeb, Emsisoft, F-Secure, GData, Ikarus, Kaspersky, McAfee, McAfee-GW-Edition, NOD32, Sophos, Symantec, TrendMicro, VIPRE en ViRobot kunnen componenten van Flame nu iig detecteren.

msglu32.ocx Virus Total score is inmiddels 7/42 (https://www.virustotal.co...ea080fe6eab67cf/analysis/) en wordt gevonden door BitDefender, GData, Kaspersky, McAfee, McAfee-GW-Edition, NOD32 en Symantec

Leuk stukje van F-Secure met partial screenshot van e-mail van het Maher center uit Iran: http://www.f-secure.com/weblog/archives/00002371.html

Artikel van Maher Center zelf: http://certcc.ir/index.ph...ews&file=article&sid=1894

Ook ESET doet nog een duit in het zakje: http://blog.eset.com/2012...er-the-21st-century-whale

Analyse van BAE Systems: http://stratsec.blogspot....pressions-free-prose.html

Eerste verdieping analyse Kaspersky: https://www.securelist.co...rog_Munch_and_BeetleJuice

Kort interview met Vitaly: http://www.rt.com/news/flame-virus-cyber-war-536/

Een nuchtere blik op Flame (hij heeft gelijk btw): http://nakedsecurity.soph...est-a-little-perspective/

Reactie VN: http://www.reuters.com/ar...ame-idUSL1E8GT7X120120529

Volgens de NY Times zegt Iran's Cert dat Israel de maker wel moet zijn... http://www.nytimes.com/20...w-virus-called-flame.html

Analyse van soapr32.ocx: http://stratsec.blogspot....component-soapr32ocx.html

Analyse van nteps32.ocx: http://stratsec.blogspot....ps32ocx-or-should-we.html

Mooie speurtocht naar de echte leeftijd van Flame en zijn componenten: http://labs.alienvault.co...hp/2012/how-old-is-flame/

Analyse van register activity: http://blog.fireeye.com/r...merskywiper-analysis.html

BitDefender heeft een gratis stand-alone removal tool gemaakt: http://www.softpedia.com/...er-A-B-Removal-Tool.shtml

[Edit] Typo en hackmageddon link toegevoegd.
[Edit2] VirusTotal toegevoegd
[Edit3] msglu32.ocx Virus Total toegevoegd
[Edit4] Stukje van F-Secure toegevoegd met quote uit brief van Maher Center (Iran Cert)
[Edit5] ESET stuk toegevoegd
[Edit6] BAE Systems stuk toegevoegd
[Edit7] Meer research en nieuws artikelen toegevoegd.
[Edit8] NY Times artikel toegevoegd met beschuldigende vinger richting Israel
[Edit9] Soapr32.ocx toegevoegd
[Edit10] Analyse van nteps32.ocx toegevoegd

[Update11] Als jullie geen zin hebben om steeds hier te checken voor nieuw Flame info, kun je e.v.t. ook kijken op https://twitter.com/#!/NKCSS, de interessante links retweet ik toch allemaal.

[Update12] Leeftijdsanalyse van Flame componenten
[Update13] Registry/Mutex analyse toegevoegd
[Update14] Bitdefender removal tool toegevoegd

[Reactie gewijzigd door CMG op 22 juli 2024 16:03]

CMG @CMG • 31 mei 2012 10:03

Ik mag bovenstaande niet meer editen dus:

Analyse van msglu32.ocx: http://stratsec.blogspot....x-component-that-can.html

Symantec Flamer overview: http://www.symantec.com/c...ainting-picture-w32flamer

VirusTotal mssecmgr2.dll: https://www.virustotal.co...83e995a69870e3f/analysis/ (10/42)

Vond net dit FOX News artikel dat headlined: Powerfull Flame Cyberweapon tied to Angry Birds: http://www.foxnews.com/sc...o-powerfully-angry-birds/

Tot voor kort werd aangenomen dat Flame zichzelf niet deed verbergen (omdat hij niet gedetecteerd werd), Symantec laat zien dat Flame dat wel deed (en nog op een coole manier ook): http://www.symantec.com/c...anism-tricks-and-exploits

[Update15] msglu32.ocx Analyse toegevoegd
[Update16] Symantec's overview
[Update17] Virus Total Analyse van mssecmgr2.dll
[Update18] FOX News maakt een mooie #FAIL: Flamer connected met Angry Birds (door LUA).
[Update19] Symantec laat zien hoe Flame zichzelf verbergt

[Reactie gewijzigd door CMG op 22 juli 2024 16:03]

Verwijderd @CMG • 1 juni 2012 13:30

bedankt voor de info.. ik wist niet dat het met LUA gemaakt was.

wij gebruiken lua juist voor het maken van profielen(btw crawelen van sites) zo dat gebruikers zelf code kunnen invoeren. juist vanwege de makkelijkheid kun je leuke dingen programmeren..alleen ja je gaat dan wel weer terug naar visualbasic tijdperk :S:s dat is wel jammer maarja..

maar dit had ik niet verwacht.. ga ik me nog eens verder in verdiepen.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 16:03]

TDeK

Beveiliging

29 mei 2012 08:31

Hoewel het natuurlijk koffiedik kijken is, zou ik wel eens willen weten welke landen hier achter zitten. Gezien het doelgebied en gezien de huidige geopolitieke situatie moet dit bijna wel een Westers land zijn, hoewel China ook zijn belangen heeft. Als Flame nóg geavanceerder is dan Stuxnet en Duqu (die beide erg goed in elkaar zaten; decompilen is tot op heden niet gelukt omdat er blijkbaar een custom builder is gebruikt) dan moet daar een heel team mee bezig zijn geweest. Bij Stuxnet dachten ze aan ongeveer 30 man, hier wellicht nog meer?
Wat diepere info over deze nieuwe spionage telg.
Edit: Wat ik me verder afvraag is hoe deze malware binnen het doelgebied is gebleven? Waarschijnlijk heeft de anti-virus industrie in die gebieden veel minder (of geen) honeypots staan waardoor deze malware onopgemerkt bleef. Daarnaast is ook onduidelijk of deze programmeurs in overheidsdienst waren of als freelancers zijn ingehuurd. In dat laatste geval is het niet ondenkbaar dat er eventuele kennis van anti-virus pakketten is gebruikt om de malware onzichtbaar te maken (whitelisten van eigen sys files). En al helemaal frappant is dat er blijkbaar screendumps worden verstuurd en dat niemand dit bij het netwerkverkeer heeft onderschept, terwijl de uploadsnelheden en de dataomvang van screendumps toch niet gering is. Er wordt veel niet ontdekt door onoplettendheid (paranoïde zijn loont zo op zijn tijd).

[Reactie gewijzigd door TDeK op 22 juli 2024 16:03]

Blokker_1999

Privacy

@TDeK • 29 mei 2012 08:40

Niet noodzakelijk een westers land. Ook Israel zie ik tot zoiets in staat. En dat van die custom compiler was ook niet waar.

The firm thus concludes that the resulting binary was compiled with MSVC 2008, with options /O1 /Ob1, and that the input source code was pure C.

edit: Malware die zich via internet verspreid is zeer eenvoudig binnen een doelgebied te houden. IPs zijn landgebonden, gewoon nagaan waar in de wereld een IP zich bevind. En screendumps moeten helemaal niet opvallen in netwerkverkeer. Een screenshot kun je zeer goed compressen, en in dit geval mogen er artifacts opzitten, zolang het maar leesbaar blijft. En wie gaat ssl verkeer verdacht vinden, hell als het allemaal zo eenvoudig was, dan had ik nooit jarenlang kunnen surfen op het werk, dan was mijn tunneltje al lang ontdekt geweest.

[Reactie gewijzigd door Blokker_1999 op 22 juli 2024 16:03]

TDeK

Beveiliging

@Blokker_1999 • 29 mei 2012 08:49

Dat klopt, maar waar de payload dll in is geschreven is nog steeds niet duidelijk: bron. Mocht jouw bron recenter zijn dan zie ik graag een link.
Edit: één SSL tunnel binnen één bedrijf is wat anders dan duizenden tot tienduizenden geïnfecteerde machines met elk een ander security policy, andere security software en gebruikers met verschillende kennis-niveaus.

[Reactie gewijzigd door TDeK op 22 juli 2024 16:03]

Blokker_1999

Privacy

@TDeK • 29 mei 2012 08:52

http://www.zdnet.com/blog...tag=content;siu-container

arjankoole

Beveiliging

@Blokker_1999 • 29 mei 2012 09:01

Niet noodzakelijk een westers land. Ook Israel zie ik tot zoiets in staat.

Israel wordt als westers land gezien.

Verwijderd @arjankoole • 29 mei 2012 10:30

Dat ligt dan wel geheel aan je definitie van Westers land. Het Westen kan namelijk slaan op de NAVO-landen (geen Israël, maar wel Turkije), de Westerse beschaving (rekbaar begrip en nog meer landen), landen ten westen van Azië of de rijke landen in de wereld (dit zou dus ook een oliestaat kunnen zijn, China, Japan, Rusland, etc.) of de interpretatie van de overheid (mbt allochtonen). Persoonlijk moeten we vooral niet gaan suggereren dat hier bepaalde landen achter zitten zonder dat daar enig bewijs voor is. Tot op heden heb ik ook nog nooit een bewijs gezien voor Stux of Duqu dat een land of meerdere landen aan wijst. Onschuldig tot het tegendeel bewezen...en laten we dat zo houden, want in deze wereld gaan al veel te snel de beschuldigende vingertjes naar bepaalde groepen of landen zonder enige vorm van bewijs.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 16:03]

Verwijderd @Blokker_1999 • 29 mei 2012 11:48

Probleem is alleen dat Israel zelf ook slachtoffer is, zoals duidelijk vermeld staat in de tweede alinea...

Het is echt verbazingwekkend hoe makkelijk mensen over de inhoud van een bericht heenlezen als ze bij het lezen van de titel al denken te weten wie het heeft gedaan.

Verwijderd @Verwijderd • 29 mei 2012 12:54

En waarom zou het dan niet Israel kunnen zijn? Als je dan toch je buren bespied kan je evengoed ineens je onderdanen ook in het oog houden.

Daarmee wil ik niet de vinger naar Israel wijzen maar de VS bespieden toch ook hun eigen onderdanen terwijl ze die van andere landen bespieden?

Verwijderd @Verwijderd • 29 mei 2012 13:13

Ja, maar dan is het net zo waarschijnlijk (of zelfs meer omdat zij hun bevolking meer in de gaten houden) dat het een van die andere MO-landen is, dus slaat het nergens op meteen maar Israel te beschuldigen.

Suspicion @TDeK • 29 mei 2012 08:46

Edit: Wat ik me verder afvraag is hoe deze malware binnen het doelgebied is gebleven?

Volgens het artikel van Kaspersky:

The controllers have the ability to send a specific malware removal module (named “browse32”), which completely uninstalls the malware from a system, removing every single trace of its presence.
en
they infect several dozen, then conduct analysis of the data of the victim, uninstall Flame from the systems that aren’t interesting, leaving the most important ones in place. After which they start a new series of infections.

Ik veronderstel dat ze de machines die geïnfecteerd waren analyseerde en de worm terug verwijderd hebben indien niet interessant. Ze verwijderde het simpel weg op computers buiten Iran.

[Reactie gewijzigd door Suspicion op 22 juli 2024 16:03]

Menesis @TDeK • 29 mei 2012 11:22

Ik las op nu.nl dat het virus 20 GB groot is!

achterlijke nu.nl. Het virus is 20MB groot. Ik ga nooit meer naar die prut nu.nl site.
bron: http://www.wired.com/threatlevel/2012/05/flame/

[Reactie gewijzigd door Menesis op 22 juli 2024 16:03]

koelpasta @TDeK • 29 mei 2012 11:39

"Hoewel het natuurlijk koffiedik kijken is, zou ik wel eens willen weten welke landen hier achter zitten. "

Ben het er niet mee eens dat alleen landen of regeringen zoiets kunnen fabriceren.
Volgens mij kom je met een paar afgestudeerde informatici of wiskundigen ook een heel eind.
Genoeg mensen die op compilerbouw zijn afgestudeert.
En speculeren dat de programeurs dit ergens voor loon zouden hebben gemaakt is ook maar speculeren.

En een goed leesbare screenshot van mijn desktop met dit tweakersbericht open is kleiner dan 200k en dan is dat geen optimaal algoritme voor text (jpeg).
De dataomvang van screenshots valt dus wel mee en als je niet weet hoe de data gecodeert is kan je zoeken naar een speld in een hooiberg ter grootte van de stille oceaan.

TDeK

Beveiliging

@koelpasta • 29 mei 2012 12:16

We praten hier wel over landen waar 512/64 kbps gewoon is, dus dan merk je een upload van 200k wel (=~ 8 sec full speed upload). De Iraniers hebben de malware ook zelf ontdekt (props voor hen) echter verbaas ik me erover dat het zo lang door niemand is opgemerkt (wellicht lage IT/security kennis aan die kant van de wereld?).

Volgens mij kom je met een paar afgestudeerde informatici of wiskundigen ook een heel eind.
Genoeg mensen die op compilerbouw zijn afgestudeert.

Ik heb ook meer dan genoeg kennis om een hele goede dief te worden, echter heb ik er geen reden toe. Dat is het verschil; bij die informatici die jij noemt mis ik het motief. Immers, wie zou er willen betalen voor die gegevens? In mijn ogen alleen de overheid/-heden die al eerder zijn aangehaald. Een gewone burger of crimineel kan bar weinig met deze info, zeker als er zoveel werk in is gaan zitten als door Kaspersky gesteld.

[Reactie gewijzigd door TDeK op 22 juli 2024 16:03]

Verwijderd @TDeK • 29 mei 2012 13:14

Een groot bedrijf zou ook willen betalen voor zulke informatie, of een grote internationale criminele organisatie.

Amanoo @TDeK • 30 mei 2012 11:52

Ik weet niet of het versturen van screendumps zo veel uitmaakt in hoe verdacht het is. Dit is 2012, tegenwoordig gaat uploaden en downloaden met flinke hoeveelheden data. Ik vraag me af of die screendumps nog wel enigszins verdacht kunnen zijn, zelfs als je inderdaad zo paranoide bent. In de 56k tijd zou het een ander verhaal zijn geweest, maar goed, dan zou je het alleen al van je telefoonrekening kunnen deduceren. We zitten nu in een tijd waar het wereldinternetverkeer waarschijnlijk al flink in de petabytes loopt. En misschien nog wel hoger.

Rob Coops

Beveiliging

29 mei 2012 09:15

Ik herinner me een interview met een hoge Amerikaanse militair op CNN zo rond 2010 die een revolutionaire manier van oorlog voeren melde waar hij niet veel meer over mocht zeggen maar wel kon vertellen dat hun vijanden er nog niets van wisten en dat het minimaal net zo'n grote impact zou hebben als de bom op Hiroshima. Ik vraag me heel erg af gezien deze worm Stuxnet en Duqu of het niet toevallig een verband kan hebben.

Er zijn niet veel landen die de mogelijkheden en de kennis hebben om dit soort dingen te doen. Stuxnet en Duqu waren vrijwel zeker een resultaat van Amerikaanse en eventueel Israelische inspanningen. Deze worm zou ook nog wel eens uit een soort gelijk project voort gekomen kunnen zijn. Als ze altijd maar de zelfde manier van code schrijven zouden gebruiken dan zou dit te makkelijk te herkennen zijn, om die reden wil een afwijkend programma nog helemaal niet zeggen dat het zelfde land er niet achter zit.

Overigens een 20MB groot virus met plug-in support is duidelijk niet geschreven door een hacker maar door een bedrijf dat dit met een aantal mensen geschreven heeft een hacker zou waarschijnlijk hetzelfde kunnen bereiken met een virus dat nog niet half zo groot is...

Verwijderd 29 mei 2012 10:37

Het CrySyS Lab heeft ondertussen een voorlopige analyse online gezet: http://www.crysys.hu/skywiper/skywiper.pdf

Znorkus 29 mei 2012 08:27

Ben benieuwd naar wie al die screendumps + toetsaanslagen toe gaan. Is dat een beetje te traceren? Lijkt me wel interessant...

Verwijderd @Znorkus • 29 mei 2012 08:34

Die screendumps en toetsaanslagen gaan naar control and command servers. Maar dat zijn ook gehackte servers of thuis pc's. De 'eigenaar' van het botnet gaat via een anonymous proxy farm naar 1 van de control and command servers en haalt daar de gegevens op. Door die proxy farm is het traceren buitengewoon lastig.

Verwijderd @Verwijderd • 29 mei 2012 10:09

Niet zo lastig.
Kwestie van de proxy-trace te volgen en een voor een de proxy server gegevens opvragen totdat je bij een machine uitkomt wat geen proxy is of gediend heeft als.
Tenzij de hacker de proxy server helemaal gewist heeft, dan nog kunnen er netwerk gegevens opgevraagd worden.

Zeg nooit nooit

lordfragger @Verwijderd • 29 mei 2012 10:42

Maar als je dat in genoeg landen doet met hier en daar een gehackte server tussen kan het zo lang duren om die gegevens te verzamelen dat de informatie al weg is.

Als alles via officiele kanalen loopt duurt het opvragen van zo'n informatie gewoonweg te lang. De enige manier om snel die info te pakken te krijgen is zelf die servers kraken.

Precision @Verwijderd • 29 mei 2012 13:04

als je zelf controle hebt over de machines dan wis je toch gewoon de logfiles in de pc en de router.

elmuerte @Verwijderd • 29 mei 2012 19:51

route dat 2 keer door Tor en je zal het waarschijnlijk de oorsprong niet meer terugvinden. (bad guy -> tor -> proxy/bounce -> tor -> C&C server)

rob12424 @Verwijderd • 29 mei 2012 21:52

LXC linux server --> aangepaste linux containers met eigen netwerk stack --> en dan linux proxyserver container met eigen netwerkstack en eigen precompiled kernel met een zo min mogelijk resources draaiend.

De eigen netwerk stack zijn gespoogde mac en ip adressen en de containers cloon je gewoon.

Niemand die je achterhaald. Na 3 minuten zet je alles over naar andere container en delete je de oude proxycontainer.

Zelfs Al zou de NSA gaan pingen dan zet je er een ping vertrager in.

Waarom denk je dat de breinen achter paypal enz. nog vrij rondlopen?

Ik baal ervan. De containers waren bedoeld om hetzelfde te doen als een Chrootjail maar dan veiliger en verbeterd en moest de beveiliging voor virtualisatie verbeteren.

Helaas moeten sommige mensen goede bedoelingen verkeerd gebruiken.

Je kan ook gewoon een sataliet bij de russische maffia huren maar das de duurdere varriant.

Gomez12 @Verwijderd • 30 mei 2012 00:19

Simpelste methode om dit tegen te gaan is gewoon de info door te proxy'en en ondertussen via een mitm of een directe tap op de proxy uit te lezen.

Het eindstation zegt al een hele tijd niets meer over waar de resultaten benut worden.

Montaner @Znorkus • 29 mei 2012 08:32

Ik gok zomaar, mocht dit te achterhalen zijn wie ze uiteindelijk onder ogen zal krijgen, dat de bom dan zal gaan barsten, mochten de vermoedens dat het gesponsord is door een land correct zijn.

bbob

Privacy

@Montaner • 29 mei 2012 09:50

Als ze het zo geavanceerd doen zullen ze zich goed indekken en zal het niet te achterhalen zijn c.q er zullen mensen tussenzitten die de schuld dragen of op zich nemen.

ATS @Montaner • 29 mei 2012 10:29

Dat zal wel meevallen. Dit soort diplomatieke incidenten wordt meestal in stilte opgelost.

freekdamen @Znorkus • 29 mei 2012 08:33

Ik denk dat de makers van de trojan of de opdrachtgevers er wel goed voor zorgen dat dit niet te achterhalen is. Aangezien deze informatie uiteindelijk zou kunnen leiden tot grote internationale conflicten.

Verwijderd @Znorkus • 29 mei 2012 11:25

http://www.hln.be/hln/nl/...ail&utm_campaign=20120529

Amanoo @Znorkus • 30 mei 2012 11:44

Misschien via Wireshark?

Verwijderd 29 mei 2012 09:02

Bewijst nog eens het nu van virusscanners. Die vreten 20% van je recourses, en bieden alleen een psychologische bescherming en bescherming tegen zaken die al verouderd zijn.

TDeK

Beveiliging

@Verwijderd • 29 mei 2012 09:09

Klopt, dat lees ik ook terug in dit interview met een (self-proclaimed) botnet-beheerder. Hij geeft aan dat hij is geschrokken van de slechte kwaliteit van de virusscanners vandaag de dag, zeker omdat je elk stukje malware opnieuw kunt packagen zodat je een andere footprint-hash krijgt. Zaken als heuristics mbt gedrag van de code blijken in de praktijk vrijwel niet te werken.

Verwijderd @TDeK • 29 mei 2012 17:11

Die "beheerder" is een Duitser

Murk @Verwijderd • 29 mei 2012 10:19

Lijkt me toch wel praktisch dat je computer op zijn minst beveiligd is tegen virussen van 5 jaar oud? Maar goed, wat betreft nieuwe malware is het inderdaad een wassen neus.

mkllrpim 29 mei 2012 08:44

Omg omg omg een worm die al sinds 2010 in ontwikkeling rond gaat.. Waarom doet MS niks:0 huilhuil

Misschien wordt het een keer duidelijk dat we met z'n alle minstens 20 stappen achterlopen op dit soort Trojaanse paarden.. En dat MS, Apple nog de ontwikkelaars rond Linux/unix er iets tegen kunnen doen.
Dus, remedie; gewoon nadenken wat je met je computer doet.. En nee, je hebt die auto toch niet gewonnen, en je bent ook niet de 1000.000e bezoeker.

TDeK

Beveiliging

@mkllrpim • 29 mei 2012 09:04

Misschien wordt het een keer duidelijk dat we met z'n alle minstens 20 stappen achterlopen op dit soort Trojaanse paarden.. En dat MS, Apple nog de ontwikkelaars rond Linux/unix er iets tegen kunnen doen.

Dat kunnen ze wel, maar dan moeten ze wel weten waar de exploits zich bevinden. En aangezien 'de diensten' veel beter betalen dan a) de software vendors zelf en b) de criminele bendes, kunnen deze trojans/wormen/rootkits zich zo lang onopgemerkt verspreiden. Wellicht moeten de security vendors zich meer richten op zaken als het preventief onderzoeken van verdachte bestanden die ze aantreffen op systemen?

Noel @mkllrpim • 29 mei 2012 08:56

En die porno is ook niet helemaal gratis...

Relief2009 @mkllrpim • 29 mei 2012 09:16

Bedrijven kunnen er prima iets tegendoen. Het probleem is dat veel mensen hun OS'en niet updaten (door piraterij of verouderde versies). En dat is het grootste probleem.

Dit is ook een reden waarom MS actief op jacht is naar de personen die achter bepaalde malware, virussen, etc zitten. Het probleem ligt bij de bron.

mrlammers 29 mei 2012 12:51

het registreren van toetsaanslagen, het maken van schermafbeeldingen, het opnemen van audio en het onderscheppen van netwerkverkeer. Met alle modules actief neemt de malware ongeveer 20MB in beslag.

En dat valt niet op, 20 MB?
En al dat dataverkeer wat die screenshots en die audiobestanden met zich meebrengt, dat valt ook niet op?
Ik weet niet hoor, maar al zou je trojan zelf niet direct zien. dan zie je de effecten zeker wel.

En die trojan is in volle glorie 20MB groot? Wow. Ik denk dat het met 600kB ook moet lukken...

jj71 @mrlammers • 29 mei 2012 13:16

Op een moderne computer met een harddisk die honderden gigabytes of een paar terabyte groot is, valt 20 MB (0,02 GB) niet op. Bovendien hoeven op een PC niet alle modules geïnstalleerd te zijn, dus in veel gevallen zal niet die volledige 20 MB op een PC staan.

Er zijn ook genoeg manieren om het netwerkverkeer niet op te laten vallen. Ze kunnen bijvoorbeeld screenshots gewoon langzaam uploaden, in plaats van op een gegeven moment de hele uploadbandbreedte in beslag te nemen. Of als de software merkt dat de computer al een tijdje idle is de data uploaden.

Verwijderd 29 mei 2012 09:42

Stel nou dat we voor eens en voor altijd die dll-horror opdoeken dus dat een programma gewoon weer zijn code in zijn directory plaatst. Windows blijft onaangeroerd en kan alleen worden aangepast indien er updates zijn.
Zou dat niet de oplossing zijn van heel veel problemen?

Joe4evr @Verwijderd • 29 mei 2012 10:25

Zou wel een oplossing zijn, maar dan krijg je een beetje last van duplicatie van code, denk ik zo. Maar goed, dat hoeft dan weer niet te zeggen dat software bouwers per sé hun eigen libraries zo nodig in System32 moeten opslaan. Volgens mij zijn alleen driver .dll's echt nodig onder System32, en verder moet er gewoon zo min mogelijk gerommeld worden in die systeemmappen.

Murk @Verwijderd • 29 mei 2012 10:30

Dit zorgt volgens mij voor
a) een zowat exponentiële toename in de omvang van gecompileerde binaries
b) een administratieve hel als er libraries bijgewerkt worden, alle programma's die er gebruik van maken moeten handmatig door de ontwikkelaars bijgewerkt worden

En waar moeten die libraries überhaupt vandaan komen dan als ze niet meer op een centrale plek op je pc staan?

Ge Someone @Murk • 30 mei 2012 23:32

Dit gaat niet persé over centrale libraries, meer over malware modules die als .dll over het systeem verpreid kunnen staan.
Microsofts "oplossing" voor de "DDL hel" nl. \Windows\WinSxS is weer een hel op zich.

NovapaX @Verwijderd • 29 mei 2012 11:13

Zoals Mac OS X al jaren doet? of bedoel je wat anders?
(serieus!!! ik ben geen programmeur, dus misschien begrijp ik hem helemaal verkeerd!)

Toelichting van wat ik bedoel:
Op de Mac zijn de meeste programma's self-containing packages (soort speciale directory) met al hun resources en code daarin.
Deze linken natuurlijk naar de systeem-libraries (Foundations).... Zolang de API niet abrupt wijzigt is er niets aan de hand dan.
Om een programma te installeren sleur en pleur ik hem gewoon op een willekeurige plek die ik zelf uitkies (meestal gewoon de programma-map)... dubbelklikken en draaien maar.
Zo installeer ik ook de software op het hele netwerk... kopiëren naar de juiste map en klaar. Best handig!

Maar dat lost echt nog niet alles op... want voor de Mac is er ook wel het een en ander aan vervelende spulletjes in omloop. (zie Flashback)
Ben blij dat Gatekeeper geïntroduceerd wordt, want dat zou inderdaad betekenen dat zonder aanpassing van je beveiligingsinstellening niet zomaar elk programma een library in je systemmappen kan zetten.
Overigens is het innestelen en verbergen van malware op een zodanige manier dat je het bijna niet meer handmatig verwijderd krijgt (zoals in Windows eigenlijk altijd het geval is) onder UNIX-varianten vrijwel onmogelijk.

[Reactie gewijzigd door NovapaX op 22 juli 2024 16:03]

C-dude @Verwijderd • 29 mei 2012 11:43

Om dan weer in het tijdperk te komen dat je bij wijze van spreken 100den bestanden hebt die hetzelfde zijn, maar dan verspreid over heel je systeem ?

Verwijderd @Verwijderd • 29 mei 2012 11:51

UIteindelijk nog steeds niet omdat zoals onder al wordt gezegd dat er dan veel code wordt gedupliceerd waardoor het eigenlijk voor een ontwikkelaar nog lastiger wordt om de code te onderhouden. Met in ogenschouwend security is dat dus een groter risico dat er bugs ontstaan en de programmeur gaat er niet beter van ontwikkelen.

Veel fouten ontstaan gewoon door het niet hanteren van "security best practices" zoals deze guide o.a uitvoerig beschrijft. En op dat gebied valt er meer dan genoeg inhaalslagen te behalen.

Maar dit is slechts een deel van het probleem waarom zo'n virus makkelijk verspreidt kan worden. Voornamelijk op het gebied van netwerkbeheer en security patching zal er wel wat op -en aan te merken zijn want het is absoluut vreemd dat een virus zoals stuxnet zover in de systemen kan penetreren dat een kerncentrale offline gehaald kan worden. En dan ook nog eens dmv een bug in de software van een extreem vitaal s systeem.

Tuumke 29 mei 2012 08:41

(offtopic) Ik was het!

(ontopic) Tis wel ernstig toch, dat zoiets pas na 2 jaar gevonden word? Of dat in ieder geval de ontdekking naar buiten gebracht word?

Eigenlijk zou M$ in zijn OS al moeten beginnen met een controle op opstart bestanden. Als deze verschillen moet de gebruiker een keuze kunnen maken of de nieuw toegevoegde bestanden gebruikt moeten worden bij het opstarten... zoiets....

BlackHawkDesign @Tuumke • 29 mei 2012 08:56

Are you sure you want to load 38DG-3483-2434.dll? Nee dat gaat werken

Ontopic:
Waarom wordt er gesuggereerd dat een land hierachter moet zitten? Zo complex zijn zaken als ssl verbinding, keyloggers, botnet achtige constructies nou ook weer niet. De gebruikte exploits kunnen ze vervolgens ook uit het stuxnet virus gehaald hebben.

Het zou best een clubje hackers kunnen zijn die hun krachten gebundeld hebben. Vaak kan je namelijk kant en klare zaken als keyloggers e.d. gewoon downloaden en knoop je het geheel aan elkaar in modules. Tenslotte lees ik nergens in het bericht dat er een module in zit die zich er op richt om specifieke computers in bepaalde werelddelen te besmetten.

ultra500 @BlackHawkDesign • 29 mei 2012 09:15

Maar een clubje hackers zou niet specifiek op een bepaald werelddeel richten, vooral niet omdat ze het leuk vinden. Als ze zoveel moeite doen (c&c servers etc.), dan verwachten ze meestal wel iets terug. En ik denk niet dat ze daar iets kunnen vinden dat ze meteen door kunnen verkopen voor de hoogste bidder.

Een clubje hackers gaat liever actief bezig zijn in de VS en Europa, omdat ze hier veel meer dingen terug voor kunnen krijgen (creditcardnummers, paypal-accounts, etc.), en dat voor minder moeite.

Nee, ik denk niet dat er een zelfstandig clubje hackers achter deze virussen zit.

Zavantas @BlackHawkDesign • 29 mei 2012 09:17

Toch knap dat jij de oplossing hebt gevonden. Even mailtje sturen naar Kaspersky en ze schrijven je een mooie cheque uit.
Wel even opletten dat de geheime dienst je niet uitschakelt indien je de bron ook nog eens ontdekt...

Volgens berichtgevingen zou het nog zeker 6 maanden duren eer ze het stukje software doorgrond hebben.

Domino @Tuumke • 29 mei 2012 08:46

MSFT doet dat als jij dat wil: sfc is je gereedschap.

Zoals wel vaker is de gebruiker hier de zwakste schakel, ofwel vanuit onwetendheid danwel gemakzucht.

YopY @Tuumke • 29 mei 2012 09:13

Eigenlijk zou M$ in zijn OS al moeten beginnen met een controle op opstart bestanden. Als deze verschillen moet de gebruiker een keuze kunnen maken of de nieuw toegevoegde bestanden gebruikt moeten worden bij het opstarten... zoiets....

Vergelijken waarmee? Met een hash? Die kan een virusbouwer ook opnieuw aanmaken / overschrijven...

Relief2009 @Tuumke • 29 mei 2012 09:15

Het probleem is niet MS, maar de mensen zelf. Vele mensen draaien illegale versies of een veroudere windows die niet geupdated worden waardoor alles vol met gaten zit.

HermenO @Tuumke • 29 mei 2012 09:11

Msconfig?

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (91)

Sorteer op:

Weergave: