image

Microsoft: 64-bit Windows verwart virussen

dinsdag 17 november 2009, 11:33 door Redactie, 19 reacties

Gebruikers van de 64-bit versie van Windows 7 zijn beter tegen malware beschermd dan met de 32-bits versie het geval is, omdat de extra bits "erg verwarrend" voor virussen zijn, aldus Microsoft. Computers zijn al jaren in staat om zowel 32-bit als 64-bit besturingssystemen te draaien, maar pas met Microsoft's nieuwste besturingssysteem maken steeds meer mensen de overstap. 64-bit heeft allerlei voordelen, aldus Joe Faulhaber van het Microsoft Malware Protection Center. "Het gebruik van twee keer zoveel bits maakt computers sneller en de hoeveelheid te gebruiken geheugen gaat boven de 4GB limiet." Daarnaast beschikt de 64-bit versie van Windows over Patchguard, wat het "knoeien" met de Windows kernel een stuk lastiger maakt. De meeste computers waar standaard Windows 7 op staat, draaien de 64-bit versie, gaat Faulhaber verder.

Uit het Security Intelligence Report van Microsoft blijkt dat op 64-bit Windows de minste hoeveelheid malware werd aangetroffen. "Helaas zijn er toch nog veel dreigingen waar Windows 64-bit mee te maken heeft." Eén van de features is de WOW64, wat staat voor Windows On Windows 64. Het emuleert een 32-bit Windows omgeving, om zo bepaalde software toch nog te kunnen draaien. Handig voor applicaties die niet met 64-bit compatibel zijn, maar het geeft ook kwaadaardige code de mogelijkheid om schade aan de computer aan te richten. De impact is echter beperkt, aangezien ze in een geemuleerde omgeving draaien en niet de 64-bit processen kunnen zien.

Verward
"Computervirussen zijn erg verward door 64-bit." De afgelopen maanden ontdekte de softwaregigant verschillende 64-bit bestanden die door 32-bit virussen besmet waren. "Hoewel een 32-bit virus alleen 32-bit processen kan zien, kan het helaas wel het bestandssysteem zien en met bestanden knoeien die het daar aantreft." De 32-bit code in een 64-bit binary zal tijdens het uitvoeren meteen crashen. "Dus zelfs 64-bit Windows heeft ook bescherming tegen malware nodig." Zo zijn er twee programma's voor 64-bit om systemen om afstand mee te besturen. Verder zijn er verschillende 64-bit hackingtools verschenen.

"Over het geheel genomen is 64-bit malware nog steeds zeer bijzonder in het wild, en de aanvullende bescherming in Windows 64-bit maakt het lastiger voor malware om de overstap naar 64-bit te maken dan het voor PC gebruikers met Windows 7 is."

Reacties (19)
17-11-2009, 12:03 door SirDice
Gebruikers van de 64-bit versie van Windows 7 zijn beter tegen malware beschermd dan met de 32-bits versie het geval is, omdat de extra bits "erg verwarrend" voor virussen zijn, aldus Microsoft.
Wat een onzin zeg..

"Het gebruik van twee keer zoveel bits maakt computers sneller en de hoeveelheid te gebruiken geheugen gaat boven de 4GB limiet."
Het eerste is een hardnekkig misverstand, het tweede overigens ook (met PAE kun je meer dan 4GB adresseren op een 32bit OS.).

Daarnaast beschikt de 64-bit versie van Windows over Patchguard, wat het "knoeien" met de Windows kernel een stuk lastiger maakt.
Lastig voor rootkits maar voor de rest niet echt.

"Over het geheel genomen is 64-bit malware nog steeds zeer bijzonder in het wild, en de aanvullende bescherming in Windows 64-bit maakt het lastiger voor malware om de overstap naar 64-bit te maken dan het voor PC gebruikers met Windows 7 is."
Da's gewoon een kwestie van tijd.
17-11-2009, 12:05 door Anoniem
http://security.nl/artikel/31474/1/Microsoft_bevestigt_Windows_7_kernel-lek.html ?
17-11-2009, 12:13 door Anoniem
Volgens mij maakt het niet uit op welk type windows je werkt.
Virussen die voor Windows zijn geschreven zijn vaak wel 32 bit,maar die tasten net zo hard een 64 bits systeem aan als een 32 bits systeem.
32 bits code werkt toch gewoon op een 64 bits processor?.
Dus altijd goed beveiligd blijven is mijn motto.
17-11-2009, 12:32 door sharkzor
misschien als er nog een 16bit component aanwezig is in de code van het virus, maar verder bullshit dit.
17-11-2009, 12:56 door Anoniem
Is gewoon een kwestie van tijd...
17-11-2009, 12:59 door Anoniem
Compilen ze toch gewoon de malware met een 64bit compiler.
17-11-2009, 13:32 door Anoniem
misschien een 'probleem' bij het exploiten van bugs die het uitvoeren van code toestaan,
waar je van te voren moet weten of je 32 of 64 bit code moet sturen, maar verder bullshit

Die 4 GB geheugen is met PAE geen probleem, alleen schakelt MS dit uit bij consumentenversies van windows,
zogenaamd vanwege compatibiliteitsproblemen met bepaalde drivers. Zo ver ik weet kunnen 32 bit server
versies van windows wel meer dan 4 GB addresseren.
17-11-2009, 14:18 door MrBil
Door Anoniem: Compilen ze toch gewoon de malware met een 64bit compiler.
Vaak hoeft dit geen eens, het werkt gewoon met elkaar.
17-11-2009, 14:38 door Anoniem
Dus het virus is verward omdat Microsoft een 64bit besturingssysteem maakt? Nee dus, dat virus is gemaakt voor 32 bits, het interesseert de maker waarschijnlijk niets dat de besmetting niet werkt op een 64 bit PE.

Faulhaber is zelf verward, virussen hebben geen persoonlijkheid, en van verwarring door het virus is dus geen sprake.

Overigens is het nog steeds zo dat virussen niet het type malware is die je waarschijnlijk terug kan vinden op je computer. Het gaat vooral om trojans, en die besmetten geen bestanden. Het is dus een non-issue, gewoon PR-aandachttrekkerij.
17-11-2009, 14:56 door Anoniem
Degene die hier zo hard roepen dat het bullshit is, kunnen deze dit met feiten onderbouwen? Anders praten ze namelijk zelf ook bullshit. Ik zou het namelijk wel aangetoond willen zien, met feiten, dat het verhaal van MS onzin is.
Zelf kijk ik er ook met een kritische blik naar maar om het als bullshit, zonder enige onderbouwing, van tafel te vegen komt mij meer als een bash over. En bashen is te zielig voor woorden.
17-11-2009, 15:18 door SirDice
Door Anoniem: Degene die hier zo hard roepen dat het bullshit is, kunnen deze dit met feiten onderbouwen?
Ok. Een 32 bit applicatie (en dus ook malware) draait prima op een 64 bit windows dankzij WOW64.

Je bestanden zijn ook niet veilig, wat ook al in het artikel genoemd werd:
"Hoewel een 32-bit virus alleen 32-bit processen kan zien, kan het helaas wel het bestandssysteem zien en met bestanden knoeien die het daar aantreft."

Er zijn alleen wat "problemen" als men een bug zou willen misbruiken. Dan kun je namelijk geen 32bit code injecteren maar zal dit specifiek voor 64bit geschreven moeten zijn. Vooralsnog is dergelijke code nog niet veel aangetroffen. Wat natuurlijk niet wil zeggen dat het niet kan. De grootste gemene deler is altijd nog een 32bit Windows en dus zullen malware schrijvers zich daar nog wel even op concentreren.

Onderbouwing genoeg?
17-11-2009, 15:37 door Anoniem
Door Anoniem: Degene die hier zo hard roepen dat het bullshit is, kunnen deze dit met feiten onderbouwen? Anders praten ze namelijk zelf ook bullshit. Ik zou het namelijk wel aangetoond willen zien, met feiten, dat het verhaal van MS onzin is.
Zelf kijk ik er ook met een kritische blik naar maar om het als bullshit, zonder enige onderbouwing, van tafel te vegen komt mij meer als een bash over. En bashen is te zielig voor woorden.

Jij werkt voor Microsoft?

Je hebt geen onderbouwing nodig (die staat er al), maar een bril of onderwijs in begrijpend lezen.
17-11-2009, 16:25 door Anoniem
Door SirDice:
Door Anoniem: Degene die hier zo hard roepen dat het bullshit is, kunnen deze dit met feiten onderbouwen?
Ok. Een 32 bit applicatie (en dus ook malware) draait prima op een 64 bit windows dankzij WOW64.

Je bestanden zijn ook niet veilig, wat ook al in het artikel genoemd werd:
"Hoewel een 32-bit virus alleen 32-bit processen kan zien, kan het helaas wel het bestandssysteem zien en met bestanden knoeien die het daar aantreft."

Er zijn alleen wat "problemen" als men een bug zou willen misbruiken. Dan kun je namelijk geen 32bit code injecteren maar zal dit specifiek voor 64bit geschreven moeten zijn. Vooralsnog is dergelijke code nog niet veel aangetroffen. Wat natuurlijk niet wil zeggen dat het niet kan. De grootste gemene deler is altijd nog een 32bit Windows en dus zullen malware schrijvers zich daar nog wel even op concentreren.

Onderbouwing genoeg?
Kan je WOW64 niet gewoon uitzetten ?
17-11-2009, 17:30 door SirDice
Door Anoniem: Kan je WOW64 niet gewoon uitzetten ?
In theorie (nooit geprobeerd namelijk) zou dat moeten kunnen. Je moet er dan echter wel rekening mee houden dat geen enkele 32 bit applicatie meer zal werken. Zoveel 'echte' 64bit software is er nog niet.
18-11-2009, 09:51 door Anoniem
Waarom het bullshit is, even samenvatten wat er al gezegd is

Win64 kan gewoon 32 bit code draaien, dus ook 32 bit virussen, trojans en andere troep.
Het enige wat Win64 stopt is het exploiten van bugs in 64 bit software (inclusief het OS) die het uitvoeren van data als code als gevolg heeft. De exploit zal moeten worden aangepast aan 64 bit. Dit sluit het probleem niet uit, alleen de aanval zal specifiek voor 32 of 64 bit moeten zijn.
Bugs in 32 bit software zullen op dezelfde manier te exploiten zijn als op Win32. Dus als de bug niet in de core van windows zit, of de nog weinig aanwezige 64 bit software,

Userland is dus niet veel veiliger...

Over het uitzetten van WOW64: ik weet niet zeker of er geen 'lagacy' 32 bit code aanwezig is in de huidige 64-bit versies van windows. Zo ver ik weet wordt er bijvoorbeeld ook een 32 bit versie van internet explorer, naast de 64-bit versie geinstalleerd. (bijvoorbeeld omdat adobe nog geen 64-bit flash voor windows heeft uitgebracht)
18-11-2009, 12:24 door Didier Stevens
Wanneer 32-bit shellcode geïnjecteerd wordt in een 64-bit process kan er veel foutlopen.

32-bit wormen gebruiken 32-bit shellcode om andere machines te besmetten.
20-11-2009, 11:44 door Anoniem
@Didier Stevens:

as said, om 64-bit processen te exploiten moet je 64-bit shellcode hebben. Das juist, maar hoeveel 64-bit software draait er op een normale 64-bit bak? Meestal is de browser 32-bit ivm het feit dat er geen 64 bit flash is. Die is vervolgens weer vatbaar voor de 32-bit shellcode.

Punt is, zolang het merendeel van de software 32-bit blijft, blijft het platform als geheel ook aan te vallen met exploits die gericht zijn op 32-bit shellcode.
19-08-2010, 14:35 door Anoniem
Door Anoniem: Volgens mij maakt het niet uit op welk type windows je werkt.
Virussen die voor Windows zijn geschreven zijn vaak wel 32 bit,maar die tasten net zo hard een 64 bits systeem aan als een 32 bits systeem.
32 bits code werkt toch gewoon op een 64 bits processor?.
Dus altijd goed beveiligd blijven is mijn motto.
ik weet niet... volgens mij niet namelijk, ik draai een 64bit systeem en 32bit programma's moeten altijd in speciale x86 mappen
26-08-2010, 21:49 door TheM
Door Anoniem: ik weet niet... volgens mij niet namelijk, ik draai een 64bit systeem en 32bit programma's moeten altijd in speciale x86 mappen

Dan heb je het nog nooit er buiten geprobeerd. Mijn ervaring is dat het prima werkt namelijk. Zou ook vervelend zijn, want dan moest je alle (mappen van) programma's in netwerkshare's hernoemen.

Die "Program Files x86" map is puur door MS verzonnen om geen kruisbestuiving met verschillende bit DLL's en zooi te krijgen. Op zich best logisch, maar het is geen noodzaak.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.