Onzichtbare computerworm ontdekt
Beveiligingsonderzoekers hebben een computerworm ontdekt die geen bestandsnaam gebruikt en daardoor onzichtbaar is, de truc is echter al jaren oud. Joydotto lijkt in eerste instantie op elke andere worm en verspreidt zich via een autorun.inf bestand naar alle draagbare media. Naast het niet gebruiken van een bestandsnaam, markeert de worm een gedeelte van de harde schijf als corrupt. Op deze manier voorkomt Joydotto dat hij wordt overschreven. De enige manier om de worm te vinden is als je z'n exacte locatie weet en over de juiste sleutels beschikt om hem te ontsleutelen.
De worm versleutelt zichzelf met drie verschillende sleutels. Deze informatie is opgeslagen in een loader die de worm gebruikt om zichzelf uit te voeren. De truc werd vroeger toegepast door DOS-virussen, maar is niet meer populair bij de nieuwe generatie malware.
Zodra de worm actief is gaat die op zoek naar draagbare media met een FAT partitie. Het zoekt een willekeurige locatie op de schijf met voldoende ruimte om te "overwinteren". Dan versleutelt de worm zich en schrijft het de versleutelde data naar deze locatie. De clusters worden daarna als corrupt aangemerkt. De laatste fase bestaat uit het maken van de loader en een autorun.inf bestand dat in de root van de schijf wordt geplaatst en naar de loader wijst.
Het enige dat de worm weggeeft is het autorun.inf bestand. Als een gebruiker dit bestand opmerkt en naar een virusbedrijf opstuurt, zal die alleen zien dat die data vanaf een bepaalde offset leest. Het doorsturen van de echte wormcode is een stuk lastiger. Daarnaast kan de virusschrijver de naam van de loader eenvoudig aanpassen mochten virusbedrijven die detecteren.
Symantec's Liam OMurchu laat weten dat de worm interessant is omdat het een oude truc gebruikt die dood en begraven leek. Daarnaast is het een bewijs dat virusschrijvers het verleden niet vergeten bij de ontwikkeling van nieuwe wormen.
mode leek nu weer opduikt mag een andere baan gaan zoeken.
Beveiligingen hoort niets met protectie tegen mode
verschijnselen te maken te hebben. Bestempel een oude truc
nooit als dood en begraven, dat maakt je alleen maar
kwetsbaarder. Iets met lessen uit het verleden...
griezelig is het wel.
gezien.....
Wie Format C doet, veegt ge-ga-ran-deerd die rotworm weg.
Wie Format C doet, veegt ge-ga-ran-deerd die rotworm weg.
Wie Format C doet, veegt ge-ga-ran-deerd die rotworm
weg.
Euh C: is IMHO vaak je systeemschijf. Deze worm gebruikt
'draagbare media' oftewel USB sticks en USB harde schijven
om zich voort te planten.
Dus als je format C doet is ie NIET ge-ga-ran-deerd weg maar
is ie nog rustig aanwezig op de andere schijven (d tot z)
met een FAT partitie.
En op een NTFS-partitie????
De screenshots bij Symantec laten alleen FAT-partities zien.......
interessant is omdat het een oude truc gebruikt die dood en
begraven leek.
"In het verleden behaalde resultaten bieden geen garantie
voor de toekomst."
leggen. Wie weet wat voor mooie oude technieken ik daar nog
op tegen kom!
fdformat.com? knip.exe? misschien zelfs wel een command.com?
Wie Format C doet, veegt ge-ga-ran-deerd die rotworm
weg.
draagbare media met een FAT partitie.
zeker? Weliswaar niet met FORMAT C: maar met de driveletter
die bij het duimpje hoort. Bovendien nog een klein
toevoeginkje: je moet FORMAT [drive] /X geven voor de echte
destructive format, want anders werkt het nog niet en worden
de FAT-tables gewoon gehandhaafd, inclusief de zg. 'bad
clusters'.
/X ?
Waar haal je deze informatie vandaan? Volgens mij is dat het ontkoppelen
van de medium voordat de format uitgevoerd word.
Zo onzichtbaar is die worm dus niet. Symantec heeft hem al
gezien.....
Wie Format C doet, veegt ge-ga-ran-deerd die rotworm
weg.
Format verwijderd het virus dus niet.. Je kan wel de loader
weghalen, maar de data in de corrupte sectoren blijven dus
bestaan. Format en soortgelijke programma's controleren over
het algemeen of een sector leesbaar is. De data in de
sectoren worden niet verwijderd.
Programma's zoals KillDisk die een echte wipe-actie doen,
verwijderen de data wel als men een complete veeg-actie
doet. Een DoD-3 actie is voldoende om het virus echt
onschadelijk te maken.
Nooit geweten dat je een memorystick ook kunt formatteren, zeker? Weliswaar niet met FORMAT C: maar met de driveletter die bij het duimpje hoort.
Zo onzichtbaar is die worm dus niet. Symantec heeft hem al
gezien.....
Wie Format C doet, veegt ge-ga-ran-deerd die rotworm
weg.
Dan begrijp jij niet wat format doet. gegevens zijn NIET weg
als je format utivoerd. Alleen de link naar de gegevens
wordt weggehaald.
DOD 5220.22-M Standard Wipe lijkt me een betere oplossing. :). En dan wel op al je media.....
Zo onzichtbaar is die worm dus niet. Symantec heeft hem al
gezien.....
Wie Format C doet, veegt ge-ga-ran-deerd die rotworm weg.
effectiever.
wordt uitgeschakeld, in ieder geval voor verwisselbare media.
direct toegang krijgt tot filesystem internals. Op *nix systemen is het
ongebruikelijk dat programma's op deze manier in filesystems kunnen prutten,
zonder eerst root te worden.
-- noresult
daarom is het zo'n gevaarlijke tendens dat een aantal aanbieders van
beveiligingssoftware hun pakket "sneller en lichter" willen maken door een
aantal (en vaak precies oudere) dingen niet meer te scannen of te
checken.
Ik blijf bij G DATA, want die scannen werkelijk alles, ook bv. in
gecomprimeerde bestanden (nog zo'n pijnpunt bij een aantal
securitypakketten). Een volledige scan van de hard disk duurt inderdaad
wat langer, maar bij het gewone werken wordt de pc niet echt trager, dus
het blijft volgens mij de beste keuze.
Dit pleit voor een systeem waarbij een willekeurig programma niet zomaar direct toegang krijgt tot filesystem internals. Op *nix systemen is het ongebruikelijk dat programma's op deze manier in filesystems kunnen prutten, zonder eerst root te worden.
Het wordt tijd dat het uitvoeren van autorun.inf standaard
wordt uitgeschakeld, in ieder geval voor verwisselbare
media.
Bij mij staat dat ook standaard uitgeschakeld...... maak
een bestand met b.v iets als;
REGEDIT4
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionIniFileMappingAutorun.inf]
@="@SYS:DoesNotExist" ,noem het een .reg en zet hem erbij.....
Zo onzichtbaar is die worm dus niet. Symantec heeft hem al
gezien.....
Wie Format C doet, veegt ge-ga-ran-deerd die rotworm weg.
effectiever.
heel, je kan beter ze gewoon in de magnetron douwen, dan is het virus
echt weg volgens mij hoor ;-) . je kan op de schijf ook via een live CD en
HEX editor starten en kijken waar het kreng zit(moet je natuurlijk wel weten
waar het zit maargoed als je het echt wel wil hebben zonder je data te
verliezen) en dan met nullen overschrijven (lijkt me, dat dat zou werken in
theorie)
gezien. Wie Format C doet, veegt ge-ga-ran-deerd die rotworm weg."
Of je volgt gewoon de removal instructions van bijvoorbeeld Symantec
om de worm te verwijderen in plaats van je harde schijf te wissen (naast
het feit dat deze worm juist removable media treft).
Zie bijvoorbeeld :
W32.Joydotto Removal Instructions
http://www.symantec.com/security_response/writeup.jsp?docid=2008-
012909-5857-99&tabid=3
Het wordt tijd dat het uitvoeren van autorun.inf standaard
wordt uitgeschakeld, in ieder geval voor verwisselbare
media.
Bij mij staat dat ook standaard uitgeschakeld...... maak
een bestand met b.v iets als;
REGEDIT4
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionIniFileMappingAutorun.inf]
@="@SYS:DoesNotExist" ,noem het een .reg en zet
hem erbij.....
En anders even de
[url=http://www.microsoft.com/windowsxp/downloads/powertoys/xppowertoys.mspx]Tweak
UI Powertoy[/url] downloaden.
Autoplay zet ik ook als eerste uit, alleen al omdat het
irritant is.
creeer kan ik daar niks mee. (niet
uitvoeren/hernoemen/verwijderen/selecteren: windows geeft
wel een mooie foutmelding.
Erik
Dit pleit voor een systeem waarbij een willekeurig programma
niet zomaar direct toegang krijgt tot filesystem internals.
Op *nix systemen is het ongebruikelijk dat programma's op
deze manier in filesystems kunnen prutten, zonder eerst root
te worden.
kunnen doen. Wat is het verschil?
Het verschil is dat 99,9% van de windowsgebruiker ook
standaard als administrator werkt denk ik....
Dus niks geen su naar root ofzo...
altijd zichtbaar voor het OS anders kan het ook niet gestart
worden. Dat de bestandsnaam van de loader aangepast kan
worden is niet belangrijk. Een virusscanner is niet
afhankelijk van de bestandsnaam om een virus te herkennen.
Niet om het een of ander maar als ik een file zonder naam creeer kan ik daar niks mee. (niet uitvoeren/hernoemen/verwijderen/selecteren: windows geeft wel een mooie foutmelding.
Het wordt tijd dat het uitvoeren van autorun.inf standaard
wordt uitgeschakeld, in ieder geval voor verwisselbare
media.
Bij mij staat dat ook standaard uitgeschakeld...... maak
een bestand met b.v iets als;
REGEDIT4
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionI
niFileMappingAutorun.inf]
@="@SYS:DoesNotExist" ,noem het een .reg en zet
hem erbij.....
En anders even de
[url=http://www.microsoft.com/windowsxp/downloads/powertoys/xppowerto
ys.mspx]Tweak
UI Powertoy[/url] downloaden.
Autoplay zet ik ook als eerste uit, alleen al omdat het
irritant is.
uitschakelen.
Wie Format C doet, veegt ge-ga-ran-deerd die rotworm
weg.
draagbare media met een FAT partitie.
Ach kearel zeur toch niet zo. Format gewoon alle drives
then. Is dat soms zoooo moeilijk???
Wie Format C doet, veegt ge-ga-ran-deerd die rotworm
weg.
draagbare media met een FAT partitie.
Ach kearel zeur toch niet zo. Format gewoon alle drives
then. Is dat soms zoooo moeilijk???
misschien is het verstandig eerst eens te lezen wat die worm
doet of alleen de reacties op jou reactie is eigenlijk al
voldoende. Een format helpt niet want de worm markeert het
plekje op de hardeschijf als "kapot" en daardoor wordt dat
stukje van de schijf niet meer gebruikt door het OS en dus
ook niet met een format.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
