Sobig phones home
Volgens de laatste berichten zullen met het Sobig.f virus besmette computers tot 10 september elke vrijdag en zondag contact gaan
opnemen met een willekeurige server uit een lijst van 20 servers, die versleuteld in het virus zijn opgenomen. Antivirusbedrijf F-Secure, dat de lijst wist te decoderen,
zegt hier over: "Het lijkt er op dat het om computers met DSL-verbindingen gaat. Waarschijnlijk heeft degene die achter Sobig.f zit hierop heeft ingebroken."
Volgens F-Secure zal Sobig contact opnemen met 1 van deze 20 servers, welke
dan een URL zullen geven waar Sobig iets moet ophalen.
Het uit de lucht halen van deze servers is niet eenvoudig, oppert F-Secure,
omdat deze elk bij een andere provider staan.
Het is nog niet bekend wat Sobig gaat ophalen en wat voor schade dit mogelijke programma wil aanrichten.
Het Amerikaanse instituut Sans geeft het volgende advies: "Blokkeer inkomend UDP verkeer op port 995-999 en 8998."
In Nederland zal Sobig vrijdagavond rond 20:00 losbarsten.
Reacties (29)
Jammer dat de kunstenaar die dit gebouwd heeft het ook losgelaten heeft. Maar het zit klaarblijkelijk geweldig in elkaar!
Is de source al ergens beschikbaar ?
Is de source al ergens beschikbaar ?
22-08-2003, 19:06 door
Hiawatha
Hoe moet het nog duren voordat we allemaal overstappen op een FATSOENLIJK OS?
22-08-2003, 19:09 door
[Account Verwijderd]
[Verwijderd]
De virusbouwer is kennelijk geen goede versleuteraar geweest, want kennelijk is cryptografisch systeem al gekraakt.
Originally posted by xychix[nologin]
Jammer dat de kunstenaar die dit gebouwd heeft het ook losgelaten heeft. Maar het zit klaarblijkelijk geweldig in elkaar!
Is de source al ergens beschikbaar ?
Jammer dat de kunstenaar die dit gebouwd heeft het ook losgelaten heeft. Maar het zit klaarblijkelijk geweldig in elkaar!
Is de source al ergens beschikbaar ?
Geef je mail adres maar.....
Laat maar, daar heb je het lef toch niet voor.
22-08-2003, 20:12 door
Donz
Niet dat ze zo'n tooltje eens gratis maken voor het beheren van netwerken. Klinkt verdomt handig.
De virusbouwer is kennelijk geen goede versleuteraar geweest, want kennelijk is cryptografisch systeem al gekraakt.
Als de worm het kan decoden dan kan iedereen het, of anders hoef je de tijd maar vooruit te zetten en te checken met een sniffer. Ben je er zo achter.kunstenaar? haha. grappig. (NOT!)
en over de encryptie: als die worm die lijst zelf kan openen/decrypten, dan kan meneertje F-Secure dat ook.
Er is wel een techniek (delayed code) om features van malafide programma's te verbergen, namelijk door met een sterk encryptie algorithme met een relatief kleine sleutel de te verbergen data te encrypten (laten we zeggen een lijst met IP adressen), en vervolgens de applicatie zelf, in het wild, het brute force laten proberen te kraken. Bij een grote distributie is er altijd wel eentje (wanneer de sleutel grootte goed gekozen is) die hem vindt, en vervolgens een mutatie initieert om verder te verspreiden, ik noem maar wat. Researchers kunnen het ook proberen te kraken, maar bij een redelijk grote key en distributie zoals dit wormpje is de kans dat een worm in het wild eerder de key heeft.
Oh, en degene die de source wilde hebben.. *ouch*lame*ouch*
en over de encryptie: als die worm die lijst zelf kan openen/decrypten, dan kan meneertje F-Secure dat ook.
Er is wel een techniek (delayed code) om features van malafide programma's te verbergen, namelijk door met een sterk encryptie algorithme met een relatief kleine sleutel de te verbergen data te encrypten (laten we zeggen een lijst met IP adressen), en vervolgens de applicatie zelf, in het wild, het brute force laten proberen te kraken. Bij een grote distributie is er altijd wel eentje (wanneer de sleutel grootte goed gekozen is) die hem vindt, en vervolgens een mutatie initieert om verder te verspreiden, ik noem maar wat. Researchers kunnen het ook proberen te kraken, maar bij een redelijk grote key en distributie zoals dit wormpje is de kans dat een worm in het wild eerder de key heeft.
Oh, en degene die de source wilde hebben.. *ouch*lame*ouch*
22-08-2003, 20:22 door
[Account Verwijderd]
[Verwijderd]
Originally posted by NielsT
Tijd vooruitzetten helpt trouwens niet om de server te achterhalen omdat de worm via een atoomklok synchroniseert, een NTP servertje opzetten op het lokale netwerk en de worm daarheen leiden (hosts bestand?) werkt vast wel...
Tijd vooruitzetten helpt trouwens niet om de server te achterhalen omdat de worm via een atoomklok synchroniseert, een NTP servertje opzetten op het lokale netwerk en de worm daarheen leiden (hosts bestand?) werkt vast wel...
gut gut gut.
wel eens van een debugger gehoord? als zo'n worm geanalyseerd wordt, wordt er gewoon een geisoleerde pc 'geinfecteerd' (voor zover je daarover kan spreken bij een worm). met een debugger stap voor stap er door lopen, in de api calls voor netwerk communicatie komen, byte hier en daar veranderen, en de worm gelooft dat het tijd is.
of net zo simpel: assembler listening bekijken, activatie check zoeken, decryptie routine volgen, en zelf decrypten. klaar.
niks server hosts etc.
Originally posted by Unregistered
Geef je mail adres maar.....
Laat maar, daar heb je het lef toch niet voor.
[email]xychix@hotmail.com[/email]Geef je mail adres maar.....
Laat maar, daar heb je het lef toch niet voor.
ik wacht in spanning af.. als jij me eraan kunt helpen GRAAAG!
lees hem wel netjes met mozilla/debian uit... en dan maar graven
Originally posted by Unregistered
kunstenaar? haha. grappig. (NOT!)
en over de encryptie: als die worm die lijst zelf kan openen/decrypten, dan kan meneertje F-Secure dat ook.
Er is wel een techniek (delayed code) om features van malafide programma's te verbergen, namelijk door met een sterk encryptie algorithme met een relatief kleine sleutel de te verbergen data te encrypten (laten we zeggen een lijst met IP adressen), en vervolgens de applicatie zelf, in het wild, het brute force laten proberen te kraken. Bij een grote distributie is er altijd wel eentje (wanneer de sleutel grootte goed gekozen is) die hem vindt, en vervolgens een mutatie initieert om verder te verspreiden, ik noem maar wat. Researchers kunnen het ook proberen te kraken, maar bij een redelijk grote key en distributie zoals dit wormpje is de kans dat een worm in het wild eerder de key heeft.
Oh, en degene die de source wilde hebben.. *ouch*lame*ouch*
kunstenaar? haha. grappig. (NOT!)
en over de encryptie: als die worm die lijst zelf kan openen/decrypten, dan kan meneertje F-Secure dat ook.
Er is wel een techniek (delayed code) om features van malafide programma's te verbergen, namelijk door met een sterk encryptie algorithme met een relatief kleine sleutel de te verbergen data te encrypten (laten we zeggen een lijst met IP adressen), en vervolgens de applicatie zelf, in het wild, het brute force laten proberen te kraken. Bij een grote distributie is er altijd wel eentje (wanneer de sleutel grootte goed gekozen is) die hem vindt, en vervolgens een mutatie initieert om verder te verspreiden, ik noem maar wat. Researchers kunnen het ook proberen te kraken, maar bij een redelijk grote key en distributie zoals dit wormpje is de kans dat een worm in het wild eerder de key heeft.
Oh, en degene die de source wilde hebben.. *ouch*lame*ouch*
why lame ?? nee ik schiet hem niet weer de wereld in.. ik wil het gewoon eens lezen.. that's all.
ok jij noemt het lame
- of je snapt me niet
- of je voelt je er te goed voor
ik noem het leerzaam....
Originally posted by Unregistered
why lame ?? nee ik schiet hem niet weer de wereld in.. ik wil het gewoon eens lezen.. that's all.
ok jij noemt het lame
- of je snapt me niet
- of je voelt je er te goed voor
ik noem het leerzaam....
why lame ?? nee ik schiet hem niet weer de wereld in.. ik wil het gewoon eens lezen.. that's all.
ok jij noemt het lame
- of je snapt me niet
- of je voelt je er te goed voor
ik noem het leerzaam....
ik voel me er te goed voor.
1. in de worm worden geen nieuwe technieken gebruikt
2. alles wat er gedaan wordt, staat in talloze documenten, zowel officiele documenten (windows sdk) als onofficiele documenten (denk hierbij aan de talloze virus zines).
3. source lezen is creativiteit- en innovatieloos.
4. er zijn talloze interessantere sources, denk hierbij aan win32.coke, win32.lexotan, etc.
22-08-2003, 21:34 door
[Account Verwijderd]
[Verwijderd]
Op het werk heb ik van een 4 tal adressen ca 150 mailtjes ontvangen met het Sobig-F virus. Op mijn prive mail tot nu toe nul comma nul.
M.a.w. alle ophef over dit virus lijkt mij allemaal sterk overdreven.
M.a.w. alle ophef over dit virus lijkt mij allemaal sterk overdreven.
Originally posted by Unregistered
kunstenaar? haha. grappig. (NOT!)
en over de encryptie: als die worm die lijst zelf kan openen/decrypten, dan kan meneertje F-Secure dat ook.
Er is wel een techniek (delayed code) om features van malafide programma's te verbergen, namelijk door met een sterk encryptie algorithme met een relatief kleine sleutel de te verbergen data te encrypten (laten we zeggen een lijst met IP adressen), en vervolgens de applicatie zelf, in het wild, het brute force laten proberen te kraken. Bij een grote distributie is er altijd wel eentje (wanneer de sleutel grootte goed gekozen is) die hem vindt, en vervolgens een mutatie initieert om verder te verspreiden, ik noem maar wat. Researchers kunnen het ook proberen te kraken, maar bij een redelijk grote key en distributie zoals dit wormpje is de kans dat een worm in het wild eerder de key heeft.
Oh, en degene die de source wilde hebben.. *ouch*lame*ouch*
kunstenaar? haha. grappig. (NOT!)
en over de encryptie: als die worm die lijst zelf kan openen/decrypten, dan kan meneertje F-Secure dat ook.
Er is wel een techniek (delayed code) om features van malafide programma's te verbergen, namelijk door met een sterk encryptie algorithme met een relatief kleine sleutel de te verbergen data te encrypten (laten we zeggen een lijst met IP adressen), en vervolgens de applicatie zelf, in het wild, het brute force laten proberen te kraken. Bij een grote distributie is er altijd wel eentje (wanneer de sleutel grootte goed gekozen is) die hem vindt, en vervolgens een mutatie initieert om verder te verspreiden, ik noem maar wat. Researchers kunnen het ook proberen te kraken, maar bij een redelijk grote key en distributie zoals dit wormpje is de kans dat een worm in het wild eerder de key heeft.
Oh, en degene die de source wilde hebben.. *ouch*lame*ouch*
laat me raden: je naam heeft 8 letters? (en soms 6 letters/cijfers)
correct?
Originally posted by Unregistered
laat me raden: je naam heeft 8 letters? (en soms 6 letters/cijfers)
correct?
laat me raden: je naam heeft 8 letters? (en soms 6 letters/cijfers)
correct?
nee, sorry, maar dat van die 8 letters klopte dan net wel. maar 6 cijfers komen er niet in voor. je zat te denken aan iets van l337hax0r ofzo?
Originally posted by Donz
Niet dat ze zo'n tooltje eens gratis maken voor het beheren van netwerken. Klinkt verdomt handig.
Als de worm het kan decoden dan kan iedereen het, of anders hoef je de tijd maar vooruit te zetten en te checken met een sniffer. Ben je er zo achter.
Niet dat ze zo'n tooltje eens gratis maken voor het beheren van netwerken. Klinkt verdomt handig.
Als de worm het kan decoden dan kan iedereen het, of anders hoef je de tijd maar vooruit te zetten en te checken met een sniffer. Ben je er zo achter.
In princiepe wel, ja. Maar wanneer de encryptiesleutel te gecompliceerd in elkaar zit, dan wordt het toch flink aanzweten.
Een voorbeeld: van alle ENIGMA coderingen die de Duitsers in de Tweede Wereldoorlog hebben toegepast, konden de Geallieerden maar 10% ontcijferen. De overige 90% waren niet te ontsleutelen.
Originally posted by Unregistered
nee, sorry, maar dat van die 8 letters klopte dan net wel. maar 6 cijfers komen er niet in voor. je zat te denken aan iets van l337hax0r ofzo?
nee, sorry, maar dat van die 8 letters klopte dan net wel. maar 6 cijfers komen er niet in voor. je zat te denken aan iets van l337hax0r ofzo?
l337hax0r? die is eigenlijk ook wel zeer d0pe
maar, ik bedoelde:
meestal acht letters, maar soms een andere nick met zes tekens, gemengd letters (4) en cijfers (2).
Originally posted by Unregistered
Een voorbeeld: van alle ENIGMA coderingen die de Duitsers in de Tweede Wereldoorlog hebben toegepast, konden de Geallieerden maar 10% ontcijferen. De overige 90% waren niet te ontsleutelen.
Een voorbeeld: van alle ENIGMA coderingen die de Duitsers in de Tweede Wereldoorlog hebben toegepast, konden de Geallieerden maar 10% ontcijferen. De overige 90% waren niet te ontsleutelen.
Waar heb je die informatie vandaan?
Is de eerste keer dat ik dit lees....
Originally posted by Unregistered
l337hax0r? die is eigenlijk ook wel zeer d0pe
maar, ik bedoelde:
meestal acht letters, maar soms een andere nick met zes tekens, gemengd letters (4) en cijfers (2).
l337hax0r? die is eigenlijk ook wel zeer d0pe
maar, ik bedoelde:
meestal acht letters, maar soms een andere nick met zes tekens, gemengd letters (4) en cijfers (2).
jippie, ik heb een fan! weet je ook m'n favoriete eten?
Originally posted by Unregistered
jippie, ik heb een fan! weet je ook m'n favoriete eten?
jippie, ik heb een fan! weet je ook m'n favoriete eten?
je bent wat je eet zeggen ze...
krekkers?
Originally posted by Unregistered
je bent wat je eet zeggen ze...
krekkers?
je bent wat je eet zeggen ze...
krekkers?
ik heb liever een computervirus, dan een biologisch virus, als mijn PC zegt dat ie een COOKIE wil, dan krijgt ie dat...
Originally posted by Unregistered
ik heb liever een computervirus, dan een biologisch virus, als mijn PC zegt dat ie een COOKIE wil, dan krijgt ie dat...
ik heb liever een computervirus, dan een biologisch virus, als mijn PC zegt dat ie een COOKIE wil, dan krijgt ie dat...
en waar de fuck slaat dit nou weer op? ik mag hopen dat jij niet mijn idool bent die dit zei
Originally posted by Unregistered
en waar de fuck slaat dit nou weer op? ik mag hopen dat jij niet mijn idool bent die dit zei
en waar de fuck slaat dit nou weer op? ik mag hopen dat jij niet mijn idool bent die dit zei
erh nee, dat was ik dus niet nee. toch verdriet het mij enigzins dat er een moment van twijfel bij je was.
maar voor fanmail en hete blinddates kan je me altijd mailen, [email]8letterigenaam@mail.ru[/email]
Originally posted by Unregistered
erh nee, dat was ik dus niet nee. toch verdriet het mij enigzins dat er een moment van twijfel bij je was.
maar voor fanmail en hete blinddates kan je me altijd mailen, [email]8letterigenaam@mail.ru[/email]
erh nee, dat was ik dus niet nee. toch verdriet het mij enigzins dat er een moment van twijfel bij je was.
maar voor fanmail en hete blinddates kan je me altijd mailen, [email]8letterigenaam@mail.ru[/email]
ik heb geprobeerd fanmail te sturen maar ik kreeg een bounce terug. kan een emailadres eigenlijk wel met een cijfer beginnen?
Originally posted by Unregistered
ik heb geprobeerd fanmail te sturen maar ik kreeg een bounce terug. kan een emailadres eigenlijk wel met een cijfer beginnen?
ik heb geprobeerd fanmail te sturen maar ik kreeg een bounce terug. kan een emailadres eigenlijk wel met een cijfer beginnen?
als het niet begrijpt ben je niet intelligent genoeg om een fan te mogen zijn
Originally posted by Unregistered
als het niet begrijpt ben je niet intelligent genoeg om een fan te mogen zijn
als het niet begrijpt ben je niet intelligent genoeg om een fan te mogen zijn
:(
het verdriet mij dan weer dat je meent dat ik misschien werkelijk een email naar "8letterigenaam@mail.ru" heb proberen te sturen
Originally posted by Unregistered
Op het werk heb ik van een 4 tal adressen ca 150 mailtjes ontvangen met het Sobig-F virus. Op mijn prive mail tot nu toe nul comma nul.
M.a.w. alle ophef over dit virus lijkt mij allemaal sterk overdreven.
Op het werk heb ik van een 4 tal adressen ca 150 mailtjes ontvangen met het Sobig-F virus. Op mijn prive mail tot nu toe nul comma nul.
M.a.w. alle ophef over dit virus lijkt mij allemaal sterk overdreven.
hoihoi
nou het is echt niet overdreven hoor
ik heb in 3 dagen tijd wel 200 mailtjes gehad
dus heb ik dat email geblokkeerd tot het was rustiger wordt
weten jullie soms een goeie firewall want hij komt door de mijne heen of weet jullie misschien hoe ik die in xp kan veranderen
want dat lukt me niet
afz: Tas
Originally posted by Unregistered
:(
het verdriet mij dan weer dat je meent dat ik misschien werkelijk een email naar "8letterigenaam@mail.ru" heb proberen te sturen
:(
het verdriet mij dan weer dat je meent dat ik misschien werkelijk een email naar "8letterigenaam@mail.ru" heb proberen te sturen
ik wist dan ook niet door wie dat geschreven was. door een waardevolle echte fan, of door een potentiële imitator.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
