Nieuwe malware richt zich op buitmaken van afbeeldingen en memory dumps

Onderzoekers van SophosLabs hebben een trojan ontdekt die is ontworpen om afbeeldingen en memory dumps te kopiëren van een geïnfecteerd systeem. De bestanden worden naar een ftp-server geüpload die in Irak zou staan.

De trojan, genaamd Troj/PixSteal-A, zoekt op de C-, D- en E-schijven van een besmette Windows-computer naar bestanden met de extensie .jpg, .jpeg of .dmp en negeert alle andere bestanden. Vervolgens worden deze naar een ftp-server in Irak geüpload.

Op de server waar de trojan contact mee zocht vonden de SophosLabs-onderzoekers onder andere afbeeldingen van ingescande documenten en dumps van Google Talk-gesprekken. Omdat de trojan zich specifiek richt op afbeeldingen en memory dumps vermoeden de onderzoekers dat de makers op zoek zijn naar vertrouwelijke informatie. Zij zouden met deze informatie bedrijven of personen kunnen afpersen. Tevens kan bepaalde persoonsgebonden informatie gebruikt worden voor het plegen van fraude.

De onderzoekers sluiten niet uit dat de trojan ook ontworpen kan zijn voor spionagedoeleinden. Verder stellen zij dat het niet alleen voor deze specifieke trojan, maar in alle gevallen verstandig is om in de firewall ftp-verkeer te blokkeren omdat het protocol sterk verouderd en fundamenteel onveilig zou zijn.

Troj/PixSteal-A (trojan) disassembly

Lees meer

IT-banen

Reacties (101)

freaky 7 november 2012 14:13

Verder stellen zij dat het niet alleen voor deze specifieke trojan, maar in alle gevallen verstandig is om in de firewall ftp-verkeer te blokkeren omdat het protocol sterk verouderd en fundamenteel onveilig zou zijn.

$_/-\o_$

HTTP met basis authenticatie is onveilig, POP3, IMAP, allemaal hetzelfde. Kan dus beter alleen SSH en HTTPS/IMAPS toestaan en de rest dicht kappen.

Ben benieuwd hoe ze dat hier gaat bevallen...

sfc1971 @freaky • 8 november 2012 09:04

SSH is veilig?

Hoe dan? Als een trojan een verbinding maakt via SSH om je bestanden over te zetten dan zijn je bestanden opeens niet gekopieerd of zo?

Dit artikel toont maar weer eens aan hoezeer tweakers afgegleden is.

Er zijn drie methoden om jezelf te beschermen tegen trojans die data van jouw PC naar buiten versturen.

1. Zorg ervoor dat de trojan nooit op je systeem komt.
2. Verwijder hem meteen.
3. Laat de trojan lekker zitten maar ga proberen firewall regels op te stellen die deze specifieke trojan dwarsbomen waarbij je onzin verhalen als FTP is onveilig erbij haalt.

1 is de beste
2 is voor mensen die denken dat anti-virus voor anderen is

en 3 is voor stumpers.

Niets aan deze trojan heeft te maken met de oudheid van FTP of eventuele gebreken in het protocol. Deze trojan had ook met http upload kunnen werken, s3 (amazon), scp (ssh), bittorrent of een van de vele andere manieren om data over te zenden.

En het kan daarbij over iedere willekeurige poort gaan en zelfs over een random poort als de trojan schrijver dat zou willen.

Als software van derden eenmaal op jouw machine staat heb je slechts twee opties om data verkeer betrouwbaar te blokkeren. Kabel eruit of alle onbekende addressen blokkeren en dan maar hopen dat geen van de bekende adresen gekraakt zijn (jouw PC is dat immers ook).

Dit is ondoenlijk. Daarom laat je NOOIT een trojan op je systeem staan en als er geen specifieke bekende trojan meer op je systeem is, dan heeft het geen zin om een specifieke trojan te gaan blokkeren op de firewall.

Dit advies is best vertaald als volgt:

Als je huis in brand staat, dan moet je op de vloer gaan slapen zodat je het minste rookt in ademd.

Klopt helemaal, maar persoonlijk zou ik toch echt eerst het vuur blussen voor ik ging slapen, en is het vuur eenmaal geblust, dan hoef jeje ook niet meer zorgen te maken over stikken.

3raser @sfc1971 • 8 november 2012 11:05

Je zegt het wat bot, maar het was ook mijn eerste gedachte. FTP is een veel gebruikt protocol. De veiligheid (of het gebrek daaraan) heeft niets te maken met dit virus. Het gebruikt gewoon een veel gebruikt protocol om de bestanden te uploaden, maar maakt geen misbruik van eventuele zwaktes in het protocol. Dit artikel had net zo goed kunnen melden dat het veiliger is om al je foto's af te drukken en te verwijderen van je pc. Want pc's zijn onveilig.

Voor mensen die thuis geen FTP server draaien is de oplossing dus een firewall. Al het uitgaande FTP verkeer blokkeren is de beste methode. Maar de volgende keer komt er een virus die upload via HTTP. En poort 80 blokkeren is geen optie omdat je dan jezelf afsluit van de buitenwereld.

De allerbeste methode is dus preventie. Zorg dat je niet besmet raakt. Verwijder Java om een grote vorm van besmetting buiten te sluiten en gebruik een goede virusscanner die je regelmatig (iedere dag) update. Gebruik een goede browser die minder vatbaar is voor virussen en gebruik eventueel add-ons die foute scripts of scripts van derden kunnen blokkeren. Voor de echte die-hards, encryption voor al je foto's. Maar dat maakt het bekijkenvan de foto's alweer een stukje lastiger.

freaky @sfc1971 • 8 november 2012 13:37

SSH is veiliger dan FTP. Simpelweg omdat het verkeer encrypted is en dus moeilijker af te luisteren.

Als je alle niet aangehaalde aspecten bij elk puntje aan wilt halen prima, maar trek er dan een pagina of 30 voor uit, want je komt er zeker nog wat te kort.

Bovendien raden ze aan om FTP te blokkeren omdat het protocol fundamenteel onveilig is (en dat klopt) en veroudert (en dat klopt ook). Ze hadden het er niet over dat je geen bestanden via andere methoden kan kopieeren. Want ik kan, als ik het zelf ontwikkel, nagenoeg ieder protocol misbruiken voor bestands overdracht. En ik ben echt niet de enige... zo moeilijk is het niet.

Maar goed, je hoeft je brand ook niet te blussen, want je kan je huis net zo goed af laten branden. Al de oplossingen voor je brand verhinderen mij nog steeds niet om met een vrachtwagen je huis in te rijden. Dat aspect van beveiliging van je huis sloeg je over, evenals vele anderen en zo kunnen we alle opmerkingen makkelijk uit context trekken, niet?

SPT @freaky • 7 november 2012 14:37

Inderdaad, het hele internet hangt aan elkaar met jaren '80 protocollen, die uit een tijd komen waarin er over veiligheid blijkbaar nog niet erg goed was nagedacht. Een van mijn grootste ergernissen is bijvoorbeeld ARP, waarbij mijn eigen PC (tot mijn eigen afgrijzen) iedereen maar geloofd als die zegt dat hij een bepaald MAC adres heeft en de gateway is. Email is idd. ook een goed voorbeeld, biedt enorm veel mogelijkheden voor misbruik.

Tegelijkertijd zijn er tal van geldige redenen om van al die oude protocollen gebruik te blijven maken, in het bijzonder wanneer er geen vertrouwelijk materiaal over het net wordt gezonden. Ik download zelf bijvoorbeeld vrij vaak source code van ftp servers. Als ik op een vertrouwd netwerk zit kan dat waarschijnlijk weinig kwaad.

GlowMouse @SPT • 7 november 2012 14:55

Het downloaden van source code van een ftp server kan juist wel kwaad. Er is geen bescherming tegen een man-in-the-middle aanval, en dan kan er zomaar een stukje malware in jouw broncode terechtkomen.

Ontopic: de malwaremaker moet over flinke servers beschikken. Zodra deze malware populair wordt, gaat het al gauw om gigabits per seconde die ontvangen en verwerkt moeten worden.

Verwijderd @GlowMouse • 7 november 2012 16:47

Deze malware gaat uiteindelijk ze eigen servers plat ddos'en

mae-t.net @SPT • 7 november 2012 23:05

Een heleboel dingen op het internet vereisen absoluut geen encryptie. Het is dan simpelweg efficienter om een "oud" protocol als http te gebruiken.

FTP is wel weer een beetje ander verhaal, met poorten die over en weer geopend worden. Dat doet echt verouderd aan, en is voor serieuze toepassingen veelal al jaren geleden in onbruik geraakt.

Verwijderd @mae-t.net • 8 november 2012 09:20

In het bedrijfsleven word het door softwareleveranciers en ontwikkelaars anders nog volop gebruikt. Bij een van mijn opdrachtgevers worden zo zelfs de exportbestanden van de salarisadministratie aangeleverd, dit pakket is dit jaar in gebruik genomen.

Ik gebruik het zelf ook volop, zelfs intern, omdat het het enige protocol is dat al mijn hardware, zowel gloednieuw als de verouderde, 100% ondersteund.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 05:34]

CyBeR @mae-t.net • 8 november 2012 15:50

FTP is wel weer een beetje ander verhaal, met poorten die over en weer geopend worden. Dat doet echt verouderd aan, en is voor serieuze toepassingen veelal al jaren geleden in onbruik geraakt.

Dat doet helemaal niet 'verouderd aan'. Dat is gewoon het scheiden van control en data.

Wel's van SIP gehoord? Doet precies hetzelfde.

PolarBear @freaky • 7 november 2012 14:36

Als je uitgaand HTTP blokkeert, hoe ga je dan browsen?

Frozen 7 november 2012 14:10

Okee, dus ik moet al mijn foto's gaan encrypten zodat de trojan er niet bij kan komen?
Want dan heet het geen ''.jpg'' meer o.i.d.

En wat nou als ik alle foto's in word zet, in een groot wordbestand. Wat dan?

[Reactie gewijzigd door Frozen op 23 juli 2024 05:34]

MrMistral @Frozen • 7 november 2012 14:14

"De trojan, genaamd Troj/PixSteal-A, zoekt op de C-, D- en E-schijven van een besmette Windows-computer naar bestanden met de extensie .jpg, .jpeg of .dmp en negeert alle andere bestanden."

.doc(x) zal hij dus negeren. Zoveel staat in de tekst.

SuBBaSS @MrMistral • 8 november 2012 00:52

Het is mi. niet zo moeilijk voor te stellen dat het voor de schrijver van zo'n trojan een fluitje van een cent is om naar willekeurig welke extensie dan ook te zoeken. Dat heeft misschien nog wel grotere gevolgen.

Verwijderd @SuBBaSS • 8 november 2012 14:54

Inderdaad. Het gaat er niet om dat deze versie van dit virus naar dit soort bestanden kijkt op die schijven. Wel dat die persoonlijke gegevens upload via FTP. En FTP blokkeren is ook niet voldoende want zodra er niet meer genoeg binnenkomt gaan die hackers gewoon een ander protocol gebruiken.

Rannasha @MrMistral • 7 november 2012 14:45

"De trojan, genaamd Troj/PixSteal-A, zoekt op de C-, D- en E-schijven van een besmette Windows-computer naar bestanden met de extensie .jpg, .jpeg of .dmp en negeert alle andere bestanden."

.doc(x) zal hij dus negeren. Zoveel staat in de tekst.

Ik ben ook veilig, want mijn foto's staan op de F-schijf

Xubby @Rannasha • 7 november 2012 20:58

[...]
Ik ben ook veilig, want mijn foto's staan op de F-schijf

Ik ben op elke schijf veilig:
/dev/sda2, /dev/sda3, /dev/sda4 ....

[Reactie gewijzigd door Xubby op 23 juli 2024 05:34]

belrpr @Frozen • 7 november 2012 15:04

Encrypten zal niets helpen als je uw partitie mount en dus decrypt kan hij deze toch nog vinden.

freaky @belrpr • 7 november 2012 18:43

Kan ook op file level encrypten hoor, is maar net welke methode je gebruikt.

Durandal @Frozen • 7 november 2012 14:11

Nee je moet een uitgaande firewall hebben.

Verwijderd @Frozen • 7 november 2012 14:35

Nee, je moet ze als RAW laten staan. De jpegs kan je zo weer genereren, dat zijn eigenlijk maar tijdelijke bestanden, dus die kunnen weg.
Kennelijk loopt de virusschrijver een beetje achter, geen ondersteuning voor netwerkdrives?

Verwijderd @Verwijderd • 7 november 2012 14:55

haha idd, ik heb naast C D en E nog 6 letters voor harde schijven in gebruik (3 daarvan in een nas)

dasiro @Verwijderd • 7 november 2012 16:02

ook infecteren en lokaal laten scannen, gaat veel sneller

Mr. P @Frozen • 7 november 2012 15:01

Wanneer je alle foto's in een Word-bestand plaatst zal deze trojan ze niet vinden en uploaden. Een andere trojan kan mogelijk naar *.doc-bestanden zoeken en zal dan je grote bestand met foto's uploaden.

Een goede firewall en enige kennis over processen op je pc is vaak een goede methode, maar ook niet waterdicht.

YopY @Mr. P • 7 november 2012 15:50

Maar waarom zou je je foto's in een Word document willen opslaan?

Erwin537 @Frozen • 7 november 2012 14:17

Het is al genoeg om je drive letters naar iets anders dan C, D en E te veranderen

air2

@Erwin537 • 7 november 2012 15:03

Windows tot VISTA MOET MOET MOET een C drive hebben. ja je krijgt echt hele gekke vage foutmeldingen

Vanaf VISTA weet ik niet of die verplichting nog steeds er is.

Mijzelf @air2 • 7 november 2012 15:16

Nee hoor. Ik draai al sinds Win NT4 zonder C: schijf. Waarom zou dat moeten?

Verwijderd @air2 • 7 november 2012 19:59

Windows zeker niet, geen enkele versie. Al installeer je hem in een partitie die Z heet. Als je hem geinstalleerd hebt op een C-partitie en je verplaatst de installatie, dan krijg je gezeur, maar waarom zou je dat in godsnaam doen?

Sommige crappy custom software moet dat wel, wegens bepaalde padverwijzingen, maar dat valt onder dezelfde categorie software die zichzelf niet laat installeren van een CD-rom met een hogere schijfletter dan E en de files en buffer handles van DOS nog nodig heeft.

highflyer @Frozen • 7 november 2012 14:12

Gewoon je foto's opslaan als png en er is geen probleem

Alex_dragon @highflyer • 8 november 2012 18:03

Dat is een workaround, geen fix. 6 letters extra in de code en PNGs worden ook meegenomen.

We zijn helaas in een tijd aangekomen waarbij de consument zich bezig moet gaan houden met zijn (internet) beveiliging.
Veel mensen hoor ik al roepen "Maar ik heb een virusscanner!", roep ik gelijk terug "Voorkomen is beter dan genezen". Een virusscanner is een pleister, en detecteerd ook vaak de nieuwste malware niet. Het wordt gewoon tijd dat mensen niet meer als een stelletje achterlijken op elke 'gratis ipad' link klikken en hun software (firefox/java/flash/windows) up to date houden. De tools zijn er al decennia, nu de gebruikers nog.

bazzard 7 november 2012 14:16

mmm, en ik maar denken waarom me upload zo slecht was

Ik weet het niet hoor maar een gemiddeld persoon heeft ondertussen misschien wel honderden foto's a 3 / 4 mb. Als alleen deze bestanden al geupload worden zou je dit merken aan je upload snelheid, laat staan de .dmp bestanden.

FTP blokkeren zou voor veel mensen geen problemen opleveren, maar een beetje tweaker kan volgens mij nog niet helemaal zonder.

Erwin537 @bazzard • 7 november 2012 14:28

Dat merk je volgens mij niet meteen in je snelheid. Het is puur upload, en bij normaal browsen etc. ben je bijna alleen maar aan het binnenharken.

Verwijderd @Erwin537 • 7 november 2012 15:17

Onzin. Als ik een video upload gaat alles erg traag. De twee zijn wel degelijk verbonden.

Erwin537 @Verwijderd • 7 november 2012 15:25

Als jouw maximale uploadsnelheid van je abonnement gelijk is aan je lokale netwerk snelheid/ snelheid vanaf het lokaal distributie centrum dan is dit inderdaad het geval.
Maar als jouw snelheid gelimiteerd wordt door je abonnement, en niet door het netwerk (en je computer natuurlijk) merk je dit voor zover ik weet niet. Er van uitgaande dat de trojan wel wat http requests de ruimte geeft.

freaky @Erwin537 • 7 november 2012 18:53

Dat is simpelweg niet waar. Als je uplink vol zit loopt de latency op. Gezien TCP zgn. ACK pakketjes moet versturen ter bevestiging dat dingen ontvangen zijn en dat het TCP window aangepast wordt e.d. ga je dat echt wel merken. De verhouding tussen downstream en upstream is dan ook niet relevant, wel hoe vol je upstream pijp zit.

Als je QoS hebt dat ACK voorrang verleent is de kans weer wel groot dat je het niet merkt echter

Erwin537 @freaky • 7 november 2012 19:14

Wat ik dan weer stom vind is dat ik reacties op mijn reacties niet kan beoordelen

mae-t.net @Erwin537 • 7 november 2012 23:06

Waarom zou je dat willen? Als je het met een reactie eens bent kan je dat gewoon melden, en als je het ermee oneens bent ga je de discussie aan.

Tegen die vrijheid kan geen (mening)moderatie op!

BlaDeKke @Erwin537 • 7 november 2012 14:58

Daar ben je fout, als deze malware de afbeeldingen zo snel upload als je verbinding maar kan hebben, dan gaat er ook niet veel meer gedownload worden.

En zelfs al open je maar wat google, of surf je even naar tweakers, je zal het wel geweten hebben dat jou uplink dicht zit.

kzin

@bazzard • 7 november 2012 17:23

FTP blokkeren zou voor veel mensen geen problemen opleveren, maar een beetje tweaker kan volgens mij nog niet helemaal zonder.

Een firewall hoeft niet perse alle FTP te blokkeren. Je kunt programma's op een whitelist zetten. Zij mogen dan FTP doen, maar andere programma's niet. Als de malware zelf als een ftp client gaat werken, wordt het door de firewall tegengehouden.
Vaak kun je als tweede regel ook nog een keer ip-ranges blokkeren.

Mijn comodo firewall blokkeert standaard alles. Ieder nieuw programma zal ik de eerste keer (en na iedere update) toegang moeten geven bepaalde poorten te gebruiken.

freaky @kzin • 7 november 2012 18:56

Dat is leuk op je eigen PC ja... Bedrijven firewallen meestal echter op de gateway en die heeft in ver uit de meeste oplossingen geen flauw idee van welk programma het af komt.

Dysmael @freaky • 7 november 2012 20:13

Maar daarbij wil je juist FTP alleen naar vertrouwde hosts zoals die van leveranciers toe laten. Dus niet FTP naar [ANY] maar alleen naar een specifieke lijst van hosts.

GORby @bazzard • 7 november 2012 14:31

En waarvoor gebruik jij FTP dan nog? Als je een beetje om veiligheid geeft, gebruik je SFTP of SCP.

bazzard @GORby • 7 november 2012 14:43

Voornamelijk om website te uploaden.
Ook download ik regelmatig software van FTP servers. Ik weet dat dit van buiten naar binnen is, maar FTP wordt gewoon nog vaak gebruikt.

sfranken @GORby • 7 november 2012 14:57

SCP gebruikt SSH v. 1 nog, dus is ook niet echt veilig..

freaky @sfranken • 7 november 2012 18:55

Err? uit de 'man scp' op mijn laptop hier :

-1 Forces scp to use protocol 1.
-2 Forces scp to use protocol 2.

Verwijderd @bazzard • 7 november 2012 20:03

Er zijn relatief weinig mensen die veel uploaden, en het zullen merken. Er zijn echter genoeg eenvoudige gebruikers die foto's van hun geslachtsdelen beschikbaar houden voor cyberseks, wat een irakees daar nou weer mee moet?

Als je een netwerkmonitor hebt staan zoals etherape kun je het trouwens gewoon zien, en als je twijfeld ga je wiresharken.

TheOmen 7 november 2012 14:25

Is het niet typootje in de code, waar dmp eigenlijk bmp had moeten zijn?
Lijkt me een logische lijst met extenties van afbeelding.... de combi van afbeeldingen en dumps komt me zo raar over.

Bioman @TheOmen • 7 november 2012 14:31

Wellicht heb je het zinnetje

en dumps van Google Talk-gesprekken

uit het hoofdartikel over het hoofd gezien? De logs van Google talk zouden zomaar op .dmp kunnen eindigen

[Reactie gewijzigd door Bioman op 23 juli 2024 05:34]

TheOmen @Bioman • 7 november 2012 14:36

Ik bedoel dat de oorsponkelijke ontwikkelaar de fout er in heeft gezet..............

Bioman @TheOmen • 7 november 2012 14:46

Het zou kunnen dat ze .bmp bestandjes wilden binnen hengelen. Maar ik denk dat ze met die google talk bestanden een stuk informatievere informatie binnen trekken, dan het nauwelijks meer gebruikte bitmap.
Wellicht is de bug per ongeluk een feature geworden

edit: typo

[Reactie gewijzigd door Bioman op 23 juli 2024 05:34]

Verwijderd @Bioman • 8 november 2012 11:32

Nauwelijks gebruikte BitMaP ? Vind het het nog altijd beter dan die vermaledijde JPG's, beter om te bewerken, cleaner, echter, vergroot maar eens een jpg tegenover een BMP > ja Bioman, je zult je een hoedje met ezelsoren moeten dragen en in de hoek gaan staan, zelf neem ik mijn foto's in RAW (lekker bewerken) en converteer ze dan naar BMP

Wh4ck0 @Bioman • 7 november 2012 14:35

Ik vind het wel een slimme opmerking van TheOmen. Dat het toevallig een google talk gesprek betreft, betekent niet dat die getarget zijn. Aangezien er een boel afbeeldings extensies gebruikt worden, is het best aannemelijk dat de maker van de trojan eigenlijk Bmp had bedoeld in plaats van Dmp.

Verwijderd @Bioman • 7 november 2012 14:37

One file is named "Google_Talk_1.0.0.104_121002-170904.dmp"... You private instant messaging conversations could likely be inside of the memory space of a program like Google Talk.

Sebazzz

@TheOmen • 7 november 2012 14:40

DMP files zijn memory dump bestanden. Kijk maar eens in je Windowsmap

TheOmen @Sebazzz • 7 november 2012 14:46

Zie reactie van Wh4ck0.

Ik denk dat door de typefout van de oorspronkelijke malware-schrijver er toevallig dmp-bestanden worden buitgemaakt, ipv bitmaps.

pauluss86 @TheOmen • 8 november 2012 01:02

Ik denk het eigenlijk niet, omdat:

1. de malware-schrijver zijn malware getest heeft (daar mag je toch hopelijk van uit gaan) en een dergelijke bug nogal opvalt;
2. de 'd' niet dicht genoeg bij de 'b' zit voor een echte typo, alhoewel ze in Irak wellicht een andere keyboard layout gebruiken?
3. Bitmap bestanden de onhebbelijkheid hebben vrij groot te zijn (bandbreedte) en ik er nog nooit van gehoord heb dat camera's de foto's als zodanig opslaan;

Het binnenhalen van .png zou ik dan wel weer een logische keuze vinden.

themac1983 @Sebazzz • 7 november 2012 14:51

dat bedoelt hij dus ook, waarom zou je deze willen hebben als je doel is plaatjes verzamelen.

Ik snap zowiezo niet waarom je JPEG's en JPG's wilt hebben. Als je documenten wilt hebben voor Fraude zou ik toch echt op PFD zoeken. met Jpeg haal je bij mij hoogstens wat prive porno binnen alhoewel het meeste gewoon RAW format is. ik ken echt geen enkel bedrijf dat dingen (bewust) opslaat als Jpeg als het enegsinds belangrijke info betreft ook.

CMD-Snake 7 november 2012 14:15

Ze hebben denk ik toch ook nu het adres van de server? Die ook blokkeren.

Overigens, waarom zoeken naar .jpeg? Ik denk dat je dan meer foto's en porno plaatjes binnen krijgt dan bruikbare informatie.

freaky @CMD-Snake • 7 november 2012 14:20

Kunt mensen aanzienlijk chanteren als je hun prive porno vind anders

MensionXL @freaky • 7 november 2012 14:56

En hoe weet je dat het van hen (de gebruiker) is dan?

freaky @MensionXL • 7 november 2012 18:51

IP adressen, dump files, andere info die het wellicht vergaard.

Het is daarbij echter wel een stuk aantrekkelijker om bijv. Bill Gates te chanteren (of andere bekende mensen) dan mij. Zij hebben immers meer geld. Als je bij mij een ton los geld vraagt dan rest mij weinig keus dan je te laten publiceren, kan dat simpelweg niet op brengen (afgezien van het feit dat ik daar moreel onoverkomelijke bezwaren tegen heb en het waarschijnlijk uit principe toch al niet doe, al was het een euro. Maar is makkelijk praten zo lang je niet voor het blok gezet wordt).

biglia @MensionXL • 7 november 2012 15:17

Omdat ze vaak ook vakantiefoto's vinden waarop die persoon dan met kleren aan, opstaat.

Verwijderd @freaky • 7 november 2012 21:23

Tsja als je zo dom bent om je te laten chanteren, zelf kunnen ze zich gek chanteren want ik raak er niet van onder de indruk, want er zijn maar twee soorten mensen op aarde, man en vrouw, het is allemaal van hetzelfde en niet dat er mensen lopen met 6 lullen of 8 vagina's, dus niet nieuws onder de zon. |En misschien kunnen die gasten dan nog wat leren als ik met mijn vriendin op 1 avond 5 x de Kamasutra doorneem, onder het genot van een glaasje Alpenmelk, alhoewel de bijenkwestie in de kamasutra wel wat pijnlijk uit zal vallen voor die gasten als je niet weet wat je moet doen

Verwijderd @CMD-Snake • 7 november 2012 14:25

Porno is misschien moeilijk aan te komen in Irak?

laptopleon 7 november 2012 15:47

De discussies over onveilig FTP etc gaan er gemakshalve aan voorbij dat je eerst die trojan moet oplopen.

Akkoord, FTP is niet perfect maar het echte probleem is de trojan.

Het is zoals klagen over voortijdig bedorven melk terwijl je de koelkastdeur open heb laten staan.

Verwijderd @laptopleon • 7 november 2012 15:59

Echter is er bijna geen mogelijkheid om bekende en actieve trojans tegen te houden of te stoppen. Dus moet je echter wel naar je firewall grijpen...

laptopleon @Verwijderd • 7 november 2012 16:20

Ik heb Little Snitch aan staan en die laat een nieuw process niet zomaar verbindingen maken.

Dan nog zie ik in het miniatuur van Activities als er lang / veel data verstuurd wordt. Ik zie niet alles maar heel mijn fotoverzameling zou me waarschijnlijk wel opvallen.

Tja en dan laat ik die zooi er echt niet op staan, ik zie immers welk proces het is?

kravis 7 november 2012 14:45

Ik gebruik FTP om naar mijn webserver te uploaden, dus FTP blokkeren is voor mij geen optie...
Ik heb mijn afbeeldingen op een hogere schijfletter staan dan E, dus dat scheelt.
Maar het beste blijft natuurlijk: voorkomen is beter dan genezen.

SPT @kravis • 7 november 2012 14:49

Als het je eigen webserver is heb je het zelf in de hand, en zijn er wel degelijk goede alternatieven beschikbaar. Bijvoorbeeld WebDAV, of sftp. Die laatste is waarschijnlijk zelfs al gewoon beschikbaar als je webserver op een Linux variant draait.

EgMaf 7 november 2012 14:57

Zou de maker hiervan niet gewoon een spelfoutje gemaakt hebben, en .bmp bedoelt hebben?
Zou wel grappig zijn als zijn (of haar...?) FTP server uit zijn voegen barst door al die grote memory-dump bestanden

Verwijderd @EgMaf • 7 november 2012 15:28

De foto's van tegenwoordig zitten ook al snel op 4mb (als het niet meer is). Ik heb op mijn nas zeker 10.000 foto's staan. En ook nog wel een tb op mijn pc (D schijf). Dat wordt dus oppassen met de verspreiding van het virus.

Fabbie 7 november 2012 15:32

Beetje oud nieuws. De FTP server welke hard coded in de source stond is dood sinds 5 november.
bron: http://blogs.mcafee.com/m...-be-first-stage-of-attack

PowerSp00n @Fabbie • 7 november 2012 15:47

Dat is een ander IP dan bijv. in http://blog.trendmicro.co...image-files-from-systems/ is te vinden. Op dit IP is nog wel een FTP service actief waar gebruikersnaam / wachtwoord op werken.

(edit: directe bron)

[Reactie gewijzigd door PowerSp00n op 23 juli 2024 05:34]

djwice

7 november 2012 22:22

Wellicht dat ze aan de hand van deze data gezichtsherkenning toe passen en wellicht 3D modellen van personen genereren. Idem van de omgeving waardoor met de timestamp in je files ook de locatie (i.v.m. belichting, schaduw hoek) te achterhalen is. Hierdoor is zeer gedetailleerd een hele omgeving in een 3D kaart te brengen incl. tijdschema's.
De mem-dump bevat in veel gevallen de naam van de persoon, het e-mailadres en nog wat persoonsgegevens. De foto's vertellen persoonskenmerken als lengte, haarkleur, oogkleur, huidskleur etc. en met wat slimme software ook een redelijke leeftijdschatting. Daarnaast geven foto's ook inzicht in persoonlijke relaties.

Mooie databron zou ik zo zeggen. Zouden ze ook veel grafische hardware hebben aangeschaft of gebouwd voor de data-analyse?

[Reactie gewijzigd door djwice op 23 juli 2024 05:34]

Dasherman @djwice • 7 november 2012 22:40

Niet zo paranoide:p
Ik denk dat het oorspronkelijk een virus was voor een specifiek doel, dat in het wild terecht is gekomen.

Ventieldopje @djwice • 7 november 2012 23:29

Als je iemand wil vinden dan kun je met veel minder informatie af

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (101)

Sorteer op:

Weergave: