image

Sobig phones home

vrijdag 22 augustus 2003, 16:32 door Redactie, 29 reacties

Volgens de laatste berichten zullen met het Sobig.f virus besmette computers tot 10 september elke vrijdag en zondag contact gaan
opnemen met een willekeurige server uit een lijst van 20 servers, die versleuteld in het virus zijn opgenomen. Antivirusbedrijf F-Secure, dat de lijst wist te decoderen,
zegt hier over: "Het lijkt er op dat het om computers met DSL-verbindingen gaat. Waarschijnlijk heeft degene die achter Sobig.f zit hierop heeft ingebroken."
Volgens F-Secure zal Sobig contact opnemen met 1 van deze 20 servers, welke
dan een URL zullen geven waar Sobig iets moet ophalen.
Het uit de lucht halen van deze servers is niet eenvoudig, oppert F-Secure,
omdat deze elk bij een andere provider staan.
Het is nog niet bekend wat Sobig gaat ophalen en wat voor schade dit mogelijke programma wil aanrichten.

Het Amerikaanse instituut Sans geeft het volgende advies: "Blokkeer inkomend UDP verkeer op port 995-999 en 8998."

In Nederland zal Sobig vrijdagavond rond 20:00 losbarsten.

Reacties (29)
22-08-2003, 19:01 door Anoniem
Jammer dat de kunstenaar die dit gebouwd heeft het ook losgelaten heeft. Maar het zit klaarblijkelijk geweldig in elkaar!

Is de source al ergens beschikbaar ?
22-08-2003, 19:06 door Hiawatha
Hoe moet het nog duren voordat we allemaal overstappen op een FATSOENLIJK OS?
22-08-2003, 19:09 door [Account Verwijderd]
[Verwijderd]
22-08-2003, 19:32 door Anoniem
De virusbouwer is kennelijk geen goede versleuteraar geweest, want kennelijk is cryptografisch systeem al gekraakt.
22-08-2003, 19:43 door Anoniem
Originally posted by xychix[nologin]
Jammer dat de kunstenaar die dit gebouwd heeft het ook losgelaten heeft. Maar het zit klaarblijkelijk geweldig in elkaar!

Is de source al ergens beschikbaar ?

Geef je mail adres maar.....

Laat maar, daar heb je het lef toch niet voor.
22-08-2003, 20:12 door Donz
Niet dat ze zo'n tooltje eens gratis maken voor het beheren van netwerken. Klinkt verdomt handig.

De virusbouwer is kennelijk geen goede versleuteraar geweest, want kennelijk is cryptografisch systeem al gekraakt.
Als de worm het kan decoden dan kan iedereen het, of anders hoef je de tijd maar vooruit te zetten en te checken met een sniffer. Ben je er zo achter.
22-08-2003, 20:16 door Anoniem
kunstenaar? haha. grappig. (NOT!)

en over de encryptie: als die worm die lijst zelf kan openen/decrypten, dan kan meneertje F-Secure dat ook.

Er is wel een techniek (delayed code) om features van malafide programma's te verbergen, namelijk door met een sterk encryptie algorithme met een relatief kleine sleutel de te verbergen data te encrypten (laten we zeggen een lijst met IP adressen), en vervolgens de applicatie zelf, in het wild, het brute force laten proberen te kraken. Bij een grote distributie is er altijd wel eentje (wanneer de sleutel grootte goed gekozen is) die hem vindt, en vervolgens een mutatie initieert om verder te verspreiden, ik noem maar wat. Researchers kunnen het ook proberen te kraken, maar bij een redelijk grote key en distributie zoals dit wormpje is de kans dat een worm in het wild eerder de key heeft.

Oh, en degene die de source wilde hebben.. *ouch*lame*ouch*
22-08-2003, 20:22 door [Account Verwijderd]
[Verwijderd]
22-08-2003, 20:44 door Anoniem
Originally posted by NielsT
Tijd vooruitzetten helpt trouwens niet om de server te achterhalen omdat de worm via een atoomklok synchroniseert, een NTP servertje opzetten op het lokale netwerk en de worm daarheen leiden (hosts bestand?) werkt vast wel...

gut gut gut.

wel eens van een debugger gehoord? als zo'n worm geanalyseerd wordt, wordt er gewoon een geisoleerde pc 'geinfecteerd' (voor zover je daarover kan spreken bij een worm). met een debugger stap voor stap er door lopen, in de api calls voor netwerk communicatie komen, byte hier en daar veranderen, en de worm gelooft dat het tijd is.

of net zo simpel: assembler listening bekijken, activatie check zoeken, decryptie routine volgen, en zelf decrypten. klaar.

niks server hosts etc.
22-08-2003, 20:58 door Anoniem
Originally posted by Unregistered
Geef je mail adres maar.....

Laat maar, daar heb je het lef toch niet voor.
[email]xychix@hotmail.com[/email]

ik wacht in spanning af.. als jij me eraan kunt helpen GRAAAG!
lees hem wel netjes met mozilla/debian uit... en dan maar graven
22-08-2003, 21:00 door Anoniem
Originally posted by Unregistered
kunstenaar? haha. grappig. (NOT!)

en over de encryptie: als die worm die lijst zelf kan openen/decrypten, dan kan meneertje F-Secure dat ook.

Er is wel een techniek (delayed code) om features van malafide programma's te verbergen, namelijk door met een sterk encryptie algorithme met een relatief kleine sleutel de te verbergen data te encrypten (laten we zeggen een lijst met IP adressen), en vervolgens de applicatie zelf, in het wild, het brute force laten proberen te kraken. Bij een grote distributie is er altijd wel eentje (wanneer de sleutel grootte goed gekozen is) die hem vindt, en vervolgens een mutatie initieert om verder te verspreiden, ik noem maar wat. Researchers kunnen het ook proberen te kraken, maar bij een redelijk grote key en distributie zoals dit wormpje is de kans dat een worm in het wild eerder de key heeft.

Oh, en degene die de source wilde hebben.. *ouch*lame*ouch*

why lame ?? nee ik schiet hem niet weer de wereld in.. ik wil het gewoon eens lezen.. that's all.

ok jij noemt het lame
- of je snapt me niet
- of je voelt je er te goed voor
ik noem het leerzaam....
22-08-2003, 21:29 door Anoniem
Originally posted by Unregistered
why lame ?? nee ik schiet hem niet weer de wereld in.. ik wil het gewoon eens lezen.. that's all.

ok jij noemt het lame
- of je snapt me niet
- of je voelt je er te goed voor
ik noem het leerzaam....

ik voel me er te goed voor.

1. in de worm worden geen nieuwe technieken gebruikt
2. alles wat er gedaan wordt, staat in talloze documenten, zowel officiele documenten (windows sdk) als onofficiele documenten (denk hierbij aan de talloze virus zines).
3. source lezen is creativiteit- en innovatieloos.
4. er zijn talloze interessantere sources, denk hierbij aan win32.coke, win32.lexotan, etc.
22-08-2003, 21:34 door [Account Verwijderd]
[Verwijderd]
22-08-2003, 22:47 door Anoniem
Op het werk heb ik van een 4 tal adressen ca 150 mailtjes ontvangen met het Sobig-F virus. Op mijn prive mail tot nu toe nul comma nul.
M.a.w. alle ophef over dit virus lijkt mij allemaal sterk overdreven.
23-08-2003, 03:19 door Anoniem
Originally posted by Unregistered
kunstenaar? haha. grappig. (NOT!)

en over de encryptie: als die worm die lijst zelf kan openen/decrypten, dan kan meneertje F-Secure dat ook.

Er is wel een techniek (delayed code) om features van malafide programma's te verbergen, namelijk door met een sterk encryptie algorithme met een relatief kleine sleutel de te verbergen data te encrypten (laten we zeggen een lijst met IP adressen), en vervolgens de applicatie zelf, in het wild, het brute force laten proberen te kraken. Bij een grote distributie is er altijd wel eentje (wanneer de sleutel grootte goed gekozen is) die hem vindt, en vervolgens een mutatie initieert om verder te verspreiden, ik noem maar wat. Researchers kunnen het ook proberen te kraken, maar bij een redelijk grote key en distributie zoals dit wormpje is de kans dat een worm in het wild eerder de key heeft.

Oh, en degene die de source wilde hebben.. *ouch*lame*ouch*

laat me raden: je naam heeft 8 letters? (en soms 6 letters/cijfers)
correct?
23-08-2003, 12:03 door Anoniem
Originally posted by Unregistered
laat me raden: je naam heeft 8 letters? (en soms 6 letters/cijfers)
correct?

nee, sorry, maar dat van die 8 letters klopte dan net wel. maar 6 cijfers komen er niet in voor. je zat te denken aan iets van l337hax0r ofzo?
23-08-2003, 12:22 door Anoniem
Originally posted by Donz
Niet dat ze zo'n tooltje eens gratis maken voor het beheren van netwerken. Klinkt verdomt handig.


Als de worm het kan decoden dan kan iedereen het, of anders hoef je de tijd maar vooruit te zetten en te checken met een sniffer. Ben je er zo achter.


In princiepe wel, ja. Maar wanneer de encryptiesleutel te gecompliceerd in elkaar zit, dan wordt het toch flink aanzweten.

Een voorbeeld: van alle ENIGMA coderingen die de Duitsers in de Tweede Wereldoorlog hebben toegepast, konden de Geallieerden maar 10% ontcijferen. De overige 90% waren niet te ontsleutelen.
23-08-2003, 12:47 door Anoniem
Originally posted by Unregistered
nee, sorry, maar dat van die 8 letters klopte dan net wel. maar 6 cijfers komen er niet in voor. je zat te denken aan iets van l337hax0r ofzo?


l337hax0r? die is eigenlijk ook wel zeer d0pe
maar, ik bedoelde:
meestal acht letters, maar soms een andere nick met zes tekens, gemengd letters (4) en cijfers (2).
23-08-2003, 13:32 door Anoniem
Originally posted by Unregistered
Een voorbeeld: van alle ENIGMA coderingen die de Duitsers in de Tweede Wereldoorlog hebben toegepast, konden de Geallieerden maar 10% ontcijferen. De overige 90% waren niet te ontsleutelen.


Waar heb je die informatie vandaan?
Is de eerste keer dat ik dit lees....
23-08-2003, 16:47 door Anoniem
Originally posted by Unregistered
l337hax0r? die is eigenlijk ook wel zeer d0pe
maar, ik bedoelde:
meestal acht letters, maar soms een andere nick met zes tekens, gemengd letters (4) en cijfers (2).

jippie, ik heb een fan! weet je ook m'n favoriete eten?
23-08-2003, 17:22 door Anoniem
Originally posted by Unregistered
jippie, ik heb een fan! weet je ook m'n favoriete eten?

je bent wat je eet zeggen ze...
krekkers?
23-08-2003, 23:50 door Anoniem
Originally posted by Unregistered
je bent wat je eet zeggen ze...
krekkers?

ik heb liever een computervirus, dan een biologisch virus, als mijn PC zegt dat ie een COOKIE wil, dan krijgt ie dat...
24-08-2003, 01:51 door Anoniem
Originally posted by Unregistered
ik heb liever een computervirus, dan een biologisch virus, als mijn PC zegt dat ie een COOKIE wil, dan krijgt ie dat...

en waar de fuck slaat dit nou weer op? ik mag hopen dat jij niet mijn idool bent die dit zei
24-08-2003, 12:07 door Anoniem
Originally posted by Unregistered
en waar de fuck slaat dit nou weer op? ik mag hopen dat jij niet mijn idool bent die dit zei

erh nee, dat was ik dus niet nee. toch verdriet het mij enigzins dat er een moment van twijfel bij je was.

maar voor fanmail en hete blinddates kan je me altijd mailen, [email]8letterigenaam@mail.ru[/email]
25-08-2003, 00:47 door Anoniem
Originally posted by Unregistered
erh nee, dat was ik dus niet nee. toch verdriet het mij enigzins dat er een moment van twijfel bij je was.

maar voor fanmail en hete blinddates kan je me altijd mailen, [email]8letterigenaam@mail.ru[/email]

ik heb geprobeerd fanmail te sturen maar ik kreeg een bounce terug. kan een emailadres eigenlijk wel met een cijfer beginnen?
25-08-2003, 10:19 door Anoniem
Originally posted by Unregistered
ik heb geprobeerd fanmail te sturen maar ik kreeg een bounce terug. kan een emailadres eigenlijk wel met een cijfer beginnen?

als het niet begrijpt ben je niet intelligent genoeg om een fan te mogen zijn
25-08-2003, 14:50 door Anoniem
Originally posted by Unregistered
als het niet begrijpt ben je niet intelligent genoeg om een fan te mogen zijn

:(
het verdriet mij dan weer dat je meent dat ik misschien werkelijk een email naar "8letterigenaam@mail.ru" heb proberen te sturen
25-08-2003, 15:55 door Anoniem
Originally posted by Unregistered
Op het werk heb ik van een 4 tal adressen ca 150 mailtjes ontvangen met het Sobig-F virus. Op mijn prive mail tot nu toe nul comma nul.
M.a.w. alle ophef over dit virus lijkt mij allemaal sterk overdreven.


hoihoi

nou het is echt niet overdreven hoor
ik heb in 3 dagen tijd wel 200 mailtjes gehad
dus heb ik dat email geblokkeerd tot het was rustiger wordt
weten jullie soms een goeie firewall want hij komt door de mijne heen of weet jullie misschien hoe ik die in xp kan veranderen
want dat lukt me niet

afz: Tas
25-08-2003, 21:29 door Anoniem
Originally posted by Unregistered
:(
het verdriet mij dan weer dat je meent dat ik misschien werkelijk een email naar "8letterigenaam@mail.ru" heb proberen te sturen

ik wist dan ook niet door wie dat geschreven was. door een waardevolle echte fan, of door een potentiële imitator.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.