image

Slachtoffer Fanny-spionageworm vroeg in 2010 al om hulp

woensdag 18 februari 2015, 12:11 door Redactie, 8 reacties

Een slachtoffer van de deze week onthulde Fanny-spionageworm, die zich via twee zero day-lekken in Windows verspreidde die later ook door Stuxnet werden gebruikt, vroeg in 2010 internetgebruikers al om hulp. Hij of zij kreeg echter geen antwoord. Dat ontdekte Maarten van Dantzig van Fox-IT.

Op een Maleisisch forum plaatste een gebruiker met het alias "dkk" op 13 juli 2010 een oproep hoe hij kon voorkomen dat zijn computer met dit virus besmet raakte. De gebruiker merkt op dat hij via zijn USB-stick besmet raakt, ook al staan Autorun en Autoplay uitgeschakeld. Dit tot grote verbazing van de gebruiker, die verschillende bestanden op de USB-stick aantrof en de namen hiervan ook vermeld, waaronder Fanny.bmp. Daarnaast voegde hij ook een kopie van het virus toe. Er volgde echter geen reactie.

Fanny.bmp is hetzelfde bestand dat in het rapport (pdf) van anti-virusbedrijf Kaspersky Lab over de malware wordt genoemd. In het rapport staat verder vermeld dat Maleisië tot de landen behoort waar de worm nog steeds actief is. Tegenover Ars Technica bevestigt Kaspersky Lab dat de bestanden die de forumgebruiker noemt overeenkomen met die van de Fanny-worm. De worm is ontwikkeld door een zeer geavanceerde spionagegroep en zou al sinds 2008 zijn ingezet.

Image

Reacties (8)
18-02-2015, 12:14 door Mysterio
Meldt het dan ook gewoon bij de leverancier van je virusscanner. Je hebt verdorie toch niet voor niets ondersteuning.
18-02-2015, 12:30 door Anoniem
Door Mysterio: Meldt het dan ook gewoon bij de leverancier van je virusscanner. Je hebt verdorie toch niet voor niets ondersteuning.

dus dan moeten wij onze virusscanner leverancier ondersteuning gaan bieden door ze te vertellen dat dat er een nieuwe virus de ronde doet volgens mij hoort het andersom te zijn dat zei ons melden/beschermen tegen dit soort dreigingen?

daarnaast als ik de leverancier van mijn virus software ga melden dat ik een onbekend virus heb opgelopen zegt mijn leverancier oei das vervelend maar er zal vast snel een update komen die hem voor u zal verwijderen en die gaat toch echt niet voor mij simpele thuis gebruiker helemaal een *.DAT file aanleveren om mij in dit specifieke geval te helpen ?
18-02-2015, 13:20 door maboc
Door Anoniem:
Door Mysterio: Meldt het dan ook gewoon bij de leverancier van je virusscanner. Je hebt verdorie toch niet voor niets ondersteuning.

dus dan moeten wij onze virusscanner leverancier ondersteuning gaan bieden door ze te vertellen dat dat er een nieuwe virus de ronde doet volgens mij hoort het andersom te zijn dat zei ons melden/beschermen tegen dit soort dreigingen?
Het lijkt mij wel een legitieme manier van werken. De leverancier van de AV zal toch op enige manier achter nieuwe virussen etc. moeten komen. Meldingen van gebruikers lijken mij dan wel een handig medium. De meeste AV leveranciers zullen wel een paar honeypots hebben draaien om info te verzamelen, dus daar kunnen ze de nodige virussen mee vangen. Maar virussen via USB zullen vermoed ik toch vaak wel via klanten binnenkomen.

daarnaast als ik de leverancier van mijn virus software ga melden dat ik een onbekend virus heb opgelopen zegt mijn leverancier oei das vervelend maar er zal vast snel een update komen die hem voor u zal verwijderen en die gaat toch echt niet voor mij simpele thuis gebruiker helemaal een *.DAT file aanleveren om mij in dit specifieke geval te helpen ?
Ik kan me voorstellen dat een AV leverancier toch wel erg geïnteresseerd is in nieuwe virussen. Da's toch een beetje wat ze doen, dus nieuwe informatie maakt dat ze hun product kunnen verbeteren.
18-02-2015, 13:31 door Mysterio
Door Anoniem:
Door Mysterio: Meldt het dan ook gewoon bij de leverancier van je virusscanner. Je hebt verdorie toch niet voor niets ondersteuning.

dus dan moeten wij onze virusscanner leverancier ondersteuning gaan bieden door ze te vertellen dat dat er een nieuwe virus de ronde doet volgens mij hoort het andersom te zijn dat zei ons melden/beschermen tegen dit soort dreigingen?

daarnaast als ik de leverancier van mijn virus software ga melden dat ik een onbekend virus heb opgelopen zegt mijn leverancier oei das vervelend maar er zal vast snel een update komen die hem voor u zal verwijderen en die gaat toch echt niet voor mij simpele thuis gebruiker helemaal een *.DAT file aanleveren om mij in dit specifieke geval te helpen ?
Ik werk in een omgeving waarbij regelmatig nieuwe malware wordt 'getest' door kwaadwillenden. Vaak zijn het varianten op bestaande malware die net zo is aangepast dat de scanners het niet oppakken. We zijn hier op bedacht en scheiden dus netjes het openbare domein van de KA omgeving. Ik vind het net zo goed mijn verantwoordelijkheid om nieuwe varianten te melden bij onze leveranciers als dat het hun verantwoordelijkheid is om hier actief mee om te gaan.

Ik vind jouw reactie zeer onvolwassen en vraag me af of je überhaupt enige ervaring hebt op dit gebied. Hoe dan ook vind ik het knap stom als je last hebt van onbekende malware je gaat zitten wachten tot de oplossing in je schoot wordt geworpen.
18-02-2015, 15:40 door Vandy
Op dat Maleisische forum heeft de betreffende user ook een exemplaar van het virus geplaatst; mijn virusscanner ving 'm keurig af toen ik het bestandje uit wetenschappelijke interesse even aanklikte.
18-02-2015, 16:06 door Anoniem
pfff. mcafee roept niks als ik dit bestand scan...

Geeft me een lekker veilig gevoel in ieder geval.. EPO anyone...? ga ik iets anders aanschaffen..

Mega
18-02-2015, 16:41 door Anoniem
2008 - Frankrijk:
http://forums.ixus.net/viewtopic.php?t=41554

2009 - China:
http://blog.163.com/ss_mzjx/blog/static/21649311200981781318500/

Te danken aan de reacties op: https://twitter.com/MaartenVDantzig/status/567653088396574720
19-02-2015, 10:03 door Anoniem
Kaspersky gebruikt al jaren KSN :
http://ksn.kaspersky.com/en

Hoe dit onopgemerkt kon blijven, is natuurlijk weer een 'raadsel' .

Toch knap dat men sinds 2010 het bestand waarschijnlijk heeft ontvangen en er niets mee heeft gedaan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.