Is elke malware sowieso niet virtueel (-_-')

Nu begrijp ik de stelling u bedoeld niet de Virtuele Machines zij het doelwit zoals Vmware of virtual pc 2007 maar u bedoeldt de spam wordt gescheven als programma dat zich gedraagd als een virtual pc een bestuuringsysteem dan specail voor "Virtual malware" gescheven is op een protocol van Vmware of Java virtualbox ! hierdoor kan de malware beveiligingsoftware om de tuin teleiden! Ook kan men gebruik maken van netwerk om via een illegaal IP address , proxy server zo spam better teverspreide!

Ach ze moeten wel met hun tijd meegaan. Ik dacht eigenlijk dat "cloud computing" de hype van dit moment was. Dat biedt zeker kansen voor malware-ontwikkelaars. Het is in ieder geval mistig genoeg.

Verder is het natuurlijk wel zo dat de virtualisatiesoftware echt niet meer kan dan wat door het onderliggende besturingssysteem wordt toegelaten. Daar kunnen natuurlijk wel missers (exploits) in zitten, maar die kunnen net zo makkelijk daar andere software worden gebruikt.

Wat? sorry maar ik kan niet meer onderbouwen dan simpel 'wat'.

Is de term "Virtuele Malware" niet een beetje ongelukkig gekozen?
Waar nestelt de malware zich dan precies ?

lees dit even: http://theinvisiblethings.blogspot.com/2006/06/introducing-blue-pill.html

idd!! het gaat toch om het os? de malware kan niet herkennen of het virtueel is of niet!!

lijkt me meer broodje aap.

De malware nestelt zich parallel aan het besturingssysteem of tussen besturingssysteem en hardware als het een hypervisor is.

Het idee van XEN ( http://citrix.com/English/ps2/products/product.asp?contentID=683148 ) dus.

Mensen zijn min of meer gewend geraakt aan het idee van VMware, waarbij bijvoorbeeld VMware-player een applicatie is binnen Windows of Linux, waarbinnen je een ander OS kunt installeren. Hierbij is het host-OS dan degene die de hardware direct aanstuurt en het gast-OS binnen VMware communiceert dan via VMware, via dat host-OS met de hardware. Het gast-OS draait dan bovenop het host-OS.

Met XEN is dat nog op een iets lager niveau. Op het laagste niveau draait een hypervisor die met de hardware communiceert en een platform biedt voor meerdere OS-en.
Alle OS-en die daarop draaien, draaien dus op hetzelfde niveau en zien elkaar dus niet.
Als je dus parallel aan je Windows een ander OS (bijvoorbeeld een Linux met kwaadaardige scripts) draait, kan je virusscanner onder Windows dat totaal niet zien. Zo kun je dus een botnet draaien op je PC, terwijl dat totaal niet zichtbaar is voor je Windows.

Het kan echter nog beroerder.
Stel dat de hypervisor (die dus tussen de hardware en je OS draait) allerlei kwaadaardige software bevat, zoals een alternatieve DNS-server, dan kun je echt niet meer vertrouwen op de data die je via je netwerk binnenkrijgt.
Die software tussen netwerkkaart en je OS kan dan namelijk al het verkeer wat er langs komt zien en aanpassen. (netwerkkaart draait op de hypervisor in promiscuous mode en de hypervisor maakt in software een soort van netwerk-hub waarop alle virtuele netwerkkaarten van alle virtuele OS-en verbinden)

De enige manier waarop je in je Windows zou kunnen zien dat er iets niet in de haak is, is wanneer je in je Windows een andere netwerkkaart-driver ziet dan dat er aan hardware op je PC zit. (bijvoorbeeld een standaard netwerkdriver, terwijl je een dure 3com of Intel chip erin hebt zitten). Ook zou je kunnen zien dat je wat schijfruimte minder tot je beschikking hebt. Alle andere hardware kun je gewoon ongemerkt gebruiken.
Heel mischien zou je met netwerk-snif-tools kunnen zien dat je in je Windows een ander mac-adres hebt dan aan de buitenkant, maar er is eigenlijk ook geen reden om dat niet gelijk te houden.

Kortom voor vrijwel alle PC-gebruikers (op expert-niveau na), is het vrijwel onzichtbaar en niet te detecteren.

@anoniem 8:58: dank je wel voor de verheldering.
Mij benieuwen hoe dit vorm gaat krijgen.

Maar ja; er wordt al lang aangekondigd dat virtuele machines op de PC de toekomst zal zijn, dus ook de virusschrijver bereiden zich daarop voor...

Ik mag aannemen dat dit soort malware geen schijn van kans maakt tegen vista's supergoede beveiliging (lees UAC en PatchGuard)...?

Nee, aangezien je altijd domme gebruikers blijft houden, zal er altijd wel code uitgevoerd kunnen worden die diep in het systeem ingrijpt en dus kans ziet om een hypervisor te installeren op PC's.
Wat dat betreft is aanzetten in de BIOS dat je de bootsector wilt beveiligen nog wat veiliger in deze situatie dan UAC van Vista ;)

Het zal trouwens een knap stukje code moeten worden om vrijwel ongemerkt een hypervisor te installeren onder het bestaande OS. Als virus-schrijver zou je dat eigenlijk al moeten toevoegen aan de restore-CD's van de grote computerfabrikanten :)

Dit heeft niets met de beveiliging van Vista te maken, vermits dit virus/malware zal werken op een niveau LAGER dan het OS systeem kan je niet verwachten dat het OS de problemen kan detecteren, laat staan oplossen.

Het is een beetje alsof je speurders zou zetten die op de buitenmuren van een burcht staan te staren in de verte, terwijl de aanvallers uit de riool komen gekropen