image

USB-virus infecteert 75% militaire PC's in Afghanistan

zondag 30 november 2008, 10:00 door Redactie, 12 reacties

Bijna driekwart van de Amerikaanse computers op de grootste militaire basis in Afghanistan raakten eerder deze maand met een USB-virus besmet. De uitbraak op de basis in Kabul was de reden dat het Ministerie van Defensie een verbod op USB-sticks afkondigde. Volgens functionarissen is het niet de eerste keer dat het virus de kop opsteekt. Eerdere versies zouden informatie over troepenbewegingen hebben doorgestuurd. Welke informatie bij deze aanval is buitgemaakt, is nog onbekend.

De functionarissen die met de aanval bekend zijn, noemen die extreem agressief en afkomstig uit China. Het leger heeft nog niet kunnen bepalen of de malware het werk van de Chinese overheid of individuele hackers is. "De Chinezen leren veel van deze aanvallen", aldus een inlichtingenofficier. "Hoe onze logistieke en andere systemen werken."

Rusland
De infectie zou zo ernstig zijn geweest, dat zelfs vertrekkend President Bush werd ingelicht. Die kreeg echter te horen dat Rusland achter de aanvallen zat en dat die gevolgen voor de nationale veiligheid zouden kunnen hebben. Tenminste één afgeschermd netwerk werd besmet via de autorun malware. "Deze aanval was zo omvangrijk dat het onze aandacht kreeg", zo laat een functionaris de LA Times weten. Niemand lijkt echter te weten of het hier om een gerichte aanval gaat, of dat toevallig een besmette USB-stick de andere systemen infecteerde.

De verantwoordelijk malware "agent.btz", is volgens het Russische Kaspersky Lab uit China afkomstig. Aangezien het leger veel details achterhoudt, is niet duidelijk of het hier om dezelfde versie of een andere variant gaat. Een woordvoerder van het Ministerie van Defensie geeft toe dat een aantal netwerken weer schoon is, maar dat er waarschijnlijk nog steeds besmette systemen zijn.

Reacties (12)
30-11-2008, 13:29 door Anoniem
En nog steeds is niemand op het idee gekomen om het echte lek, te weten het aanstaan van autorun, aan te pakken? Een van de eerste dingen die ik op een nieuwe windows machine doe, autorun uitzetten. Voornamelijk vanwege agressieve setups van "gewone" fabrikanten trouwens...
30-11-2008, 14:51 door spatieman
inderdaad.
het autorun is en blijft een heikel probleem, wat microsoft maar weigerd op te lossen.
mhh, nu kan het leger MS wel zwaar aanklagen..
30-11-2008, 14:58 door Bitwiper
Door AnoniemEn nog steeds is niemand op het idee gekomen om het echte lek, te weten het aanstaan van autorun, aan te pakken? Een van de eerste dingen die ik op een nieuwe windows machine doe, autorun uitzetten.
Hoe?
30-11-2008, 15:34 door [Account Verwijderd]
[Verwijderd]
30-11-2008, 16:15 door Anoniem
doe dit in een .reg bestand en dan importeer je hem(2 keer klikken)


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CDRom]
"Autorun"="0"
30-11-2008, 16:16 door Anoniem
Door Bitwiper
Door AnoniemEn nog steeds is niemand op het idee gekomen om het echte lek, te weten het aanstaan van autorun, aan te pakken? Een van de eerste dingen die ik op een nieuwe windows machine doe, autorun uitzetten.
Hoe?

http://files.computertotaal.nl/2008/workshops/XP-autorun.htm
30-11-2008, 18:57 door [Account Verwijderd]
[Verwijderd]
30-11-2008, 20:58 door Bitwiper
Door Anoniem
Door Bitwiper
Door AnoniemEn nog steeds is niemand op het idee gekomen om het echte lek, te weten het aanstaan van autorun, aan te pakken? Een van de eerste dingen die ik op een nieuwe windows machine doe, autorun uitzetten.
Hoe?
http://files.computertotaal.nl/2008/workshops/XP-autorun.htm
Behalve dat het niet vermeldt dat je admin moet zijn om dit te kunnen doen is het een leuk filmpje dat laat zien hoe je autorun van CD/DVD uitzet - maar dit werkt niet voor USB-sticks.

Weet iemand anders hoe dit wel moet?
01-12-2008, 00:00 door Anoniem
Door Bitwiper
Door Anoniem
Door Bitwiper
Door AnoniemEn nog steeds is niemand op het idee gekomen om het echte lek, te weten het aanstaan van autorun, aan te pakken? Een van de eerste dingen die ik op een nieuwe windows machine doe, autorun uitzetten.
Hoe?
http://files.computertotaal.nl/2008/workshops/XP-autorun.htm
Behalve dat het niet vermeldt dat je admin moet zijn om dit te kunnen doen is het een leuk filmpje dat laat zien hoe je autorun van CD/DVD uitzet - maar dit werkt niet voor USB-sticks.

Weet iemand anders hoe dit wel moet?


http://blogulate.com/content/turn-off-autorun-on-usb-drives/
01-12-2008, 06:57 door pikah
Door Bitwiper
Door Anoniem
Door Bitwiper
Door AnoniemEn nog steeds is niemand op het idee gekomen om het echte lek, te weten het aanstaan van autorun, aan te pakken? Een van de eerste dingen die ik op een nieuwe windows machine doe, autorun uitzetten.
Hoe?
http://files.computertotaal.nl/2008/workshops/XP-autorun.htm
Behalve dat het niet vermeldt dat je admin moet zijn om dit te kunnen doen is het een leuk filmpje dat laat zien hoe je autorun van CD/DVD uitzet - maar dit werkt niet voor USB-sticks.

Weet iemand anders hoe dit wel moet?
Eerste result google...
http://www.google.nl/search?hl=nl&q=disable+autorun+USB&btnG=Google+zoeken&meta=

of hier ....

http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/93502.mspx?mfr=true
(ja staat win2k, maar werkt prima in XP)
01-12-2008, 09:22 door Bitwiper
Door pikah
Door Bitwiper
Door Anoniem
Door Bitwiper
Door AnoniemEn nog steeds is niemand op het idee gekomen om het echte lek, te weten het aanstaan van autorun, aan te pakken? Een van de eerste dingen die ik op een nieuwe windows machine doe, autorun uitzetten.
Hoe?
http://files.computertotaal.nl/2008/workshops/XP-autorun.htm
Behalve dat het niet vermeldt dat je admin moet zijn om dit te kunnen doen is het een leuk filmpje dat laat zien hoe je autorun van CD/DVD uitzet - maar dit werkt niet voor USB-sticks.

Weet iemand anders hoe dit wel moet?
Eerste result google...
http://www.google.nl/search?hl=nl&q=disable+autorun+USB&btnG=Google+zoeken&meta=

of hier ....

http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/93502.mspx?mfr=true
(ja staat win2k, maar werkt prima in XP)
Nee, dat werkt (volgens Microsoft zelf) [url=http://support.microsoft.com/kb/953252]maar half[/url] : dubbel-clicken en openen van het context-menu leiden ertoe dat Autorun.inf toch wordt uitgevoerd. V.w.b. Vista en Win 2008 Server is een fix hiervoor als extraatje meegenomen in [url=http://www.microsoft.com/technet/security/Bulletin/MS08-038.mspx]MS08-038[/url] (zie de FAQ), maar voor XP zul je dat, voor zover ik nu weet, handmatig moeten doen: voor SP2 en SP3 zie [url=http://www.microsoft.com/downloads/details.aspx?FamilyId=CC4FB38C-579B-40F7-89C4-1721D7B8DAA5]deze download page[/url].

Toch lost ook die patch niet alle problemen op: als je bijv. de PC lid maakt van een AD domain worden genoemde registry settings [url=http://support.microsoft.com/kb/895108]gereset[/url]. Daarnaast wordt een nieuwe value toegevoegd genaamd HonorAutorunSetting waarvan ik niet direct begrijp wat het effect van de settings 1 en 0 is. Overigens, volgens o.a. [url=http://technet.microsoft.com/en-us/magazine/cc137730.aspx]deze page[/url] is de default waarde van NoDriveTypeAutoRun in XP sinds SP2 gewijzigd van 0x095 in 0x091 (d.w.z. tot SPS was autorun op removable devces een beetje disabled - geen beveiliging voor dubbel-en rechter muis-click).

Ten slotte meldt [url=http://acpizza.livejournal.com/554753.html]deze page[/url] dat (sinds XP SP3?) je met policies Autoplay van CDROM's niet meer kan disablen. Er zijn echter USB sticks (met name van [url=http://u3.com]U3[/url]) die naast een USB drive, ook een CDROM drive simuleren. Gevolg: Autorun.inf wordt uitgevoerd.

@Anoniem: http://blogulate.com/content/turn-off-autorun-on-usb-drives/ werkt dus maar zeer gedeeltelijk (Autorun.inf van gesimuleerde CD wordt vanaf SP3 kennelijk toch uitgevoerd, en deze policy werkt zo goed als zeker niet totdat je handmatig gepatched hebt, zie boven).

Kortom Microsoft heeft er een puinhoop van gemaakt. Er zijn echter alternatieve en mogelijk betere methodes, zodra ik wat meer tijd heb zal ik e.e.a. wel in een aparte forum thread beschrijven.
03-01-2009, 19:01 door Anoniem
Berichtje van C.T. Boshuis op 3 januari 2009
Op mijn XP SP3 machines werkt het ingedrukt houden van de (linker) shifttoets nog steeds; ook bij USB-sticks. Nadat ik met twee handen de USB-stick in het verlengkabeltje steek, heb ik nog voldoende tijd om de shifttoets in te drukken. Uiteraard is dit geen goede oplossing voor de computers van m'n kinderen, maar die maken vrijwel geen gebruik van USB-sticks. Voor U, mij en de medewerkers van de copyshop zou dit oude truckje veel extra veiligheid kunnen brengen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.