Besmette plaatjes laag risico
Een nieuw virus zou grafische bestanden infecteren. Hiermee lijkt het uitwisselen van familiefotootjes over internet een hachelijke onderneming te worden.
Het virus staat bekend onder de naam Perrun. Sophos heeft meer informatie beschikbaar, waaruit blijkt dat het niet puur om besmette plaatjes gaat maar om een aanpassing van de instellingen van Windows, waardoor plaatjes eerst door een applicatie worden ingelezen, die eventuele schadelijke programmacode die in het plaatje is ingebed uitvoert.
Reacties (10)
Nu is het een goed moment om aandelen in anti-virus bedrijven te kopen.
Wedden dat ze dankzij deze nieuwe paranoia golf binnen een week hoger staan...
Wedden dat ze dankzij deze nieuwe paranoia golf binnen een week hoger staan...
Hiervoor moet wel de register sleutel worden aangepast. Als een programma dat kan doen kan het ook veel ergere dingen doen.
Je kan nog beter een office (bijv.: Word) document met een macro sturen als: plaatje.[alt 255]jpg of .jpg2 ofzo.
Dat werkt nl. ook als HKCUSoftwareMicrosoftOffice9.0WordSecurityLevel niet 3 is.
Toch maar eens ff het loginscript updaten.
Je kan nog beter een office (bijv.: Word) document met een macro sturen als: plaatje.[alt 255]jpg of .jpg2 ofzo.
Dat werkt nl. ook als HKCUSoftwareMicrosoftOffice9.0WordSecurityLevel niet 3 is.
Toch maar eens ff het loginscript updaten.
Voor het eerst is er een ondetecteerbaar virus geschreven. De truk die het virus gebruikt is om aan de files NIETS te veranderen.
Het virus arriveert als een executable file, dat als het wordt gedraait door de gebruiker kernel32.dll infecteert (een van de belangrijkste bestanden voor het draaien van windows, en bijna overal bij betrokken). Vervolgens wordt elk bestand dat wordt geopend geinfecteerd met de revolutionaire "no-fill" technique.
Als een geinfecteert bestand, dat van elk type kan zijn, geluid, plaatje, word-document, naar iemand anders wordt verstuurt doet het nog niets, omdat de gemodificeerde kernel32.dll er nog niet bij zit. Maar binnenkort zijn virus-schrijvers waarschijnlijk instaat om zoveel code in bestanden op te slaan via de "no-fill" technique dat ze daarmee kernel32.dll kunnen infecteren en dus een serieus gevaar vormen, aldus Cramer van McFee.
Mogelijkerwijs zal dit nieuwe virus-type het einde betekenen van bestanden uitwisselen via internet, zo vrezen experts van onder andere McAfee en Symantec.
(Zowel McAfee als Symantec werken op dit moment aan een update)
Het virus arriveert als een executable file, dat als het wordt gedraait door de gebruiker kernel32.dll infecteert (een van de belangrijkste bestanden voor het draaien van windows, en bijna overal bij betrokken). Vervolgens wordt elk bestand dat wordt geopend geinfecteerd met de revolutionaire "no-fill" technique.
Als een geinfecteert bestand, dat van elk type kan zijn, geluid, plaatje, word-document, naar iemand anders wordt verstuurt doet het nog niets, omdat de gemodificeerde kernel32.dll er nog niet bij zit. Maar binnenkort zijn virus-schrijvers waarschijnlijk instaat om zoveel code in bestanden op te slaan via de "no-fill" technique dat ze daarmee kernel32.dll kunnen infecteren en dus een serieus gevaar vormen, aldus Cramer van McFee.
Mogelijkerwijs zal dit nieuwe virus-type het einde betekenen van bestanden uitwisselen via internet, zo vrezen experts van onder andere McAfee en Symantec.
(Zowel McAfee als Symantec werken op dit moment aan een update)
This virus is a proof of concept and it has not been seen in the wild.
"Een nieuw virus zou grafische bestanden infecteren bestanden met plaatjes."
Uhmm.... iemand anders die vind dat daar iets niet aan klopt?
Uhmm.... iemand anders die vind dat daar iets niet aan klopt?
En stel ik heb van iemand een 'besmette'jpeg gekregen, maar de .exe werkt niet (*nix, of goeie appfilter)..
Ik open, sla op als... kopieert het 'virus' ook ? Of zegt PS dat fout plaatje etc ?
De term was -poor man's virus- geloof ik..
~als~ dit ooit in het wild uitbreekt, dan zal het alleen sukkels treffen..
Is ook P.O.C.
Ik open, sla op als... kopieert het 'virus' ook ? Of zegt PS dat fout plaatje etc ?
De term was -poor man's virus- geloof ik..
~als~ dit ooit in het wild uitbreekt, dan zal het alleen sukkels treffen..
Is ook P.O.C.
Originally posted by Peter
Voor het eerst is er een ondetecteerbaar virus geschreven. De truk die het virus gebruikt is om aan de files NIETS te veranderen.
Voor het eerst is er een ondetecteerbaar virus geschreven. De truk die het virus gebruikt is om aan de files NIETS te veranderen.
Ik denk dat men in de bedrijfsvoering van McAfee en Symantec beter op kan nemen dat drugs en andere onheuse middelen voortaan zijn verboden op de werkvloer, binnen werktijd.
1 april is al geweest hoor.
"Een nieuw virus zou grafische bestanden infecteren bestanden met plaatjes."
...met uitvoerbare code.
"Hiermee lijkt het uitwisselen van familiefotootjes over internet een hachelijke onderneming te worden."
Nee hoor, dat kun je gerust blijven doen. Het plaatje is alleen een uitvoerbaar bestand op een reeds besmette computer.
"Het virus staat bekend onder de naam Perrun. Sophos heeft meer informatie beschikbaar, waaruit blijkt dat het niet puur om besmette plaatjes gaat maar om een aanpassing van de instellingen van Windows, waardoor plaatjes eerst door een applicatie worden ingelezen, die eventuele schadelijke programmacode die in het plaatje is ingebed uitvoert."
Correct.
In principe kun je zo heel veel bestandstypen "infecteren". Deze techniek is ook niet echt nieuw en dus is het ook geen proof-of-concept.
Het vreemde is dat de pers er als muskieten op afvliegt, maar dat de schijver van het ding de relavantie kennelijk beter inschat: "A Desperate Approach".
Het is nog steeds zo dat er geen plaatjes-virus bestaat. Je hoeft er dus ook niet specifiek op te scannen als je niet met dit virus besmet bent. De executable zelf kan namelijk wel worden gedetecteerd. Dit virus is derhalve zeker niet ondetecteerbaar.
...met uitvoerbare code.
"Hiermee lijkt het uitwisselen van familiefotootjes over internet een hachelijke onderneming te worden."
Nee hoor, dat kun je gerust blijven doen. Het plaatje is alleen een uitvoerbaar bestand op een reeds besmette computer.
"Het virus staat bekend onder de naam Perrun. Sophos heeft meer informatie beschikbaar, waaruit blijkt dat het niet puur om besmette plaatjes gaat maar om een aanpassing van de instellingen van Windows, waardoor plaatjes eerst door een applicatie worden ingelezen, die eventuele schadelijke programmacode die in het plaatje is ingebed uitvoert."
Correct.
In principe kun je zo heel veel bestandstypen "infecteren". Deze techniek is ook niet echt nieuw en dus is het ook geen proof-of-concept.
Het vreemde is dat de pers er als muskieten op afvliegt, maar dat de schijver van het ding de relavantie kennelijk beter inschat: "A Desperate Approach".
Het is nog steeds zo dat er geen plaatjes-virus bestaat. Je hoeft er dus ook niet specifiek op te scannen als je niet met dit virus besmet bent. De executable zelf kan namelijk wel worden gedetecteerd. Dit virus is derhalve zeker niet ondetecteerbaar.
Een plaatje kan alleen code bevatten die ook daadwerkelijk wordt uitgevoerd, als het plaatje - of een deel ervan - gebruik maakt van een buffer overrun of andere exploit in de software die het plaatje verwerkt, of zoals in dit geval door een apart geschreven virus. Daar is hier geen sprake van.
Het enige voordeel dat ik in dit virus zie vanuit het oogpunt van een virusschrijver is dat hij/zij geruime tijd grote hoeveelheden code kan laten opslaan op de target computer, om die vervolgens uit te laten voeren door een in verhouding klein virus dat bijvoorbeeld per e-mail verpreid kan worden.
Een dergelijk in delen opgeleverd virus kan dan gemakkelijk vele MB's gaan beslaan en daardoor ook veel krachtiger worden en toch vrij ongemerkt verpreid worden. Ook zijn aanvullende dl's van bijvoorbeeld ftp servers niet meer nodig zodat geen overwachte connect pogingen het virus zullen verraden.
De executable verschilt verder in niets van andere virussen.
Cheers
Het enige voordeel dat ik in dit virus zie vanuit het oogpunt van een virusschrijver is dat hij/zij geruime tijd grote hoeveelheden code kan laten opslaan op de target computer, om die vervolgens uit te laten voeren door een in verhouding klein virus dat bijvoorbeeld per e-mail verpreid kan worden.
Een dergelijk in delen opgeleverd virus kan dan gemakkelijk vele MB's gaan beslaan en daardoor ook veel krachtiger worden en toch vrij ongemerkt verpreid worden. Ook zijn aanvullende dl's van bijvoorbeeld ftp servers niet meer nodig zodat geen overwachte connect pogingen het virus zullen verraden.
De executable verschilt verder in niets van andere virussen.
Cheers
Originally posted by Lobste
Een plaatje kan alleen code bevatten die ook daadwerkelijk wordt uitgevoerd, als het plaatje - of een deel ervan - gebruik maakt van een buffer overrun of andere exploit in de software die het plaatje verwerkt, of zoals in dit geval door een apart geschreven virus. Daar is hier geen sprake van.
Een plaatje kan alleen code bevatten die ook daadwerkelijk wordt uitgevoerd, als het plaatje - of een deel ervan - gebruik maakt van een buffer overrun of andere exploit in de software die het plaatje verwerkt, of zoals in dit geval door een apart geschreven virus. Daar is hier geen sprake van.
Er zijn slechts enkele mogelijkheden een virus aan een bestand te laten koppelen:
1) als pure exe, maar met een andere exentie zoals bijvoorbeeld .jpg (hiernoem bijvoorbeeld notepad.exe bweh.jpg en klik daar dan op en kijk wat er gebeurd -> wordt een grafisch programma geladen, of de hernoemde notepad executed? - probeer en huiver onder Windows)
2) door de uitvoerbare programmacode aan een bestand 'achter-an' te concateneren en de fileheader aan het begin wordt aangepast:
EXEHEADER > AFBEELDING > VIRUS CODE
3) door de uitvoerbare programmacode geheel achter-an een bestand te concateneren.
AFBEELDING > VIRUSEXE
Detectie
-----------
Bij 1 en 2 test je op de fileheader die verraad dat het een executable is dat verdachtmakend gebruik maakt van een andere extentie.
Bij 3 laat zich dat eveneens verraden door de fileheader. Dit is dan niet de header van een executable, maar van de afbeelding zelf. Uit die 'afbeeldings-header' zal blijken dat de bestandsgrootte niet klopt en dat de achterliggende data niet toebehoort aan de afbeelding (valt buiten de bitmap ed.)
Besmettelijkheid
---------------------
Bij 1 en zowel variant 2 zeer hoog, de bestanden zijn immers verworden tot executables, die Windows direct uit kan voeren.
Bij variant 3 is de besmettelijkheid vrijwel nihil omdat windows de code niet zelfstandig uit kan voeren (het begin van het bestand bevat immers een afbeeldings-fingerprint, en niet die van een uitvoerbaar bestand). Het is onschadelijk deze te openen vanaf de prompt of image (bewerkings) programmatuur (die overigens wel een vertekend beeld kunnen weergeven door de afwijkende data, achteran, dat een indicatie kan zijn, maar onschadelijk). De enige mogelijkheid dat zo'n bestand een gevaar kan opleveren is wanneer op het systeem reeds een zogenaamd helper-executable is geladen, een helper-virus dat de code achter zo'n afbeelding expliciet uitvoerd.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
