image

Google handige malware zoekmachine

maandag 10 juli 2006, 10:08 door Redactie, 0 reacties

Google is niet alleen een handige zoekmachine voor het vinden van .PDF en .doc bestanden, ook het zoeken naar malware is eenvoudiger dan veel mensen denken. De zoekopdracht "Signature: 00004550” levert tal van links op naar uitvoerbare bestanden.

Dit komt omdat als Google een uitvoerbaar bestand indexeert, het het PE bestandsformaat van het executable bestand parst. Een van de dingen die uit het PE bestand wordt gehaald is de handtekening "4550", wat de handtekening van NT is, en die zich bevindt in alle geldige win32 PE bestanden.

Op deze manier is het mogelijk om duizenden kwaadaardige binaries te vinden, die voornamelijk in nieuwsgroepen en fora onder een valse naam worden geplaatst. Het gaat om varianten van de Bagel en Mytob wormen, en tal van andere malware. Dit is volgens Websense geen ernstig probleem, maar het kan wel als een methode gebruikt worden voor het opslaan en verspreiden van kwaadaardige code.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.