Een genie is het zeker niet.
Misschien zelfs wat achterlijk.
Anders hadden ze hem nooit kunnen oppakken.
En mooi is hij ook al niet...

En ook hier weer wordt de onnozele gans de dupe van zijn eigen gedrag. Hij vond zich zelf heel 3773t
Moest zo nodig zich zelf een status in de hack-cene veroorloven, en zit straks gewoonweg een paar jaar vast.

Misschien een les voor andere scripkiddys!

GRTZ

De ouders beweren dat iedereen met een beetje computerkennis hetzelfde kon doen als hun zoon. Ik concludeer daaruit dat die ouders precies weten hoe een virus geschreven en verpreid moet worden en dat ze dus niet zo naief zijn als ze zich voordoen.

Stupid people die young....

Hoezo? Had die jongen de sourcecode van dat virus dan in zijn bezit. Al of niet in verschillende ontwikkelstadia?

Of worden we gewoon 'blij gemaakt' met een verdachte?

Zou niet voor het eerst zijn

Nee, hij had geen source code, maar wel een hex editor en de msblast.exe binary. Wat hij ook fout deed was de worm verspreiden.

Toch vraag ik me af of dit wel een case kan worden. Justitie moet bewijzen dat het virus schade heeft aangericht. Aangezien deze variant bijna niet verspreid is (iemand schatte het op 5.000 computers) , zal dat moeilijk worden bewijs te vinden. Daar komt nog bij dat sommige anti-virus producten het virus herkende als de A versie. Dat levert nog meer problemen op voor het verzamelen van het bewijs.

10 jaar en 250.000 dollar boete is dan ook schromelijk overdreven. Dat past beter bij de originele worm ontwikkelaar (wat mij betreft mag de boete nog hoger zijn).

Alle schade betalen van alle getroffen computers + vergoeden schade door extra maatregelen die andere bedrijven moesten nemen + vergoeden bijkomende kosten voor anti-virus fabrikanten + een gepaste boete + een half jaar taakstraf is voor iemand als Parson geschikter.

Iemand die dus pure machinetaal begrijpt, zoals voornoemde impliceert. Dat maakt het naar mijn idee al erg onwaarschijnlijk.
Iemand met zulks redelijk unieke vaardigheid pure machinetaal te kunnen lezen, blijkbaar ook te kunnen schrijven, schrijft zelf wat en past niet het werk van een ander aan met een paar byte'jes.

Indien dat opzettelijk gebeurde zeker. In een ander geval zou dat onvoorzichtigheid zijn, dat niet zo verwonderlijk is voor een 18 jarige.

Lekker systeem dat Windows, dat het door tieners en pubers al of niet opzettelijk wereldwijd kan worden lamgelegd.

Doe meer met minder, ja, precies.

Natuurlijke selectie heet dat....

Nee, met een hex editor overschrijf je bestaande karakters zoals de naam van een bestand (msblast.exe wordt bv. penis32.exe). Dat is helemaal niet moeilijk, typisch iets wat script kiddies doen.

Als je dat met een hex-editor doet is dat als met een moker een mug meppen.

Heb je daarnaast weleens met een Hex-Editor gewerkt? Blijkens je tekst niet namelijk.

of Mpas is zelf niet zo bekend in de wereld van kom-pjoe-ters, of deze persoon is zelf een kiddie die zichzelf probeert te overtuigen dat voor werken met een hex-editor 'skillz' nodig zijn..
Het aanpassen van strings in binaries met een hex-editor kan zelfs m'n (spreekwoordelijke) neefje/nichtje van 4 nog wel.

Patsie

Jij blijkbaar ook niet. Zo moeilijk is het niet. Met een beetje fatsoenlijke hexeditor kun je ook gewoon ascii aanpassen. En anders moet je d'r even een tabelletje naast houden. En een hex editor is toch echt wel het meest makkelijke om even een paar tekstjes aan te passen.

Bedenk maar eens goed waarom penis32.exe en msblast.exe exact het zelfde aantal tekens hebben.

Hoezo pure machinecode herkennen? Nooit van disassemblers gehoord? Een beetje ICT student begint hiermee. Puur bit-bangen op een eenvoudige 8-bitter om de basics te leren.

Ziedaar iemand met leesproblemen:

1) voor het aanpassen van een bestandsnaam gebruik je geen hex-editor (tenzij het leesbaar embedded is in een ander bestand);
2) is het aanpassen van strings doodsimpel met een Hex-Editor, waar overigens niet over werd gesproken;
3) is blijkbaar scriptkid Patsie blijkbaar vergeten wat je precies ziet wanneer je een uitvoerbaar bestand met een Hex-Editor opent: de machine-code, het resultaat nadat leesbare broncode is gecompileerd.

Maar om bij het onderwerp te blijven: indien die 18 jarige jongen alleen maar een leesbare string heeft aangepast - slaat de FBI een flater van heb ik jou daar.

Nee niet wel eens, ik gebruik het bijna iedere dag. Heb jij wel eens een hex editor gebruikt? Iets zegt me dat je niet begrijpt wat het is. Misschien verwar je het met een disassembler?

Dus het gevoel is wederzijds. Leg maar eens uit wat er niet aan klopt. En als je toch bezig bent mag je ook uitleggen waarom je vind dat een hex editor een moker is.

Zie voorgaand bericht, kennelijk ben jij ook vergeten wat je precies voor ogen hebt wanneer je met een Hex-Editor een uitvoerbaar bestand opent.

Slaap niet in.

Die houden we erin ;)))

Zoals je weet tftp't blaster zichzelf naar een slachtoffer. Hiervoor zul je toch echt in de code de bestandsnaam aan moeten passen.

Vandaar dat dit ook het meest waarschijnlijke is.


Dus? Er is voor zover ik weet ook geen byte aan de code zelf veranderd.


Dat doen ze ook. Alleen hebben ze dat zelf nog niet door.

Als je eerst Nederlands leert lezen is dat misschien makkelijker: het staat er namelijk al.

Dagelijks werk, hoezo? Gewapend met een disassembly en een hexeditor kom je een heel eind. Nooit cracks gemaakt en/of serial generators? :D

Mooi, om volgende keer verwarring te voorkomen: schrijf dan duidelijk dat je het over een embedded bestandsnaam of andere embedded tekst hebt, s.v.p.

Een behoorlijk saillant detail.

Dat scheelt weer een hoop onzin.

Als het daarnaast ook in detail kan worden omschreven wat je ziet/edit, dan zeker: dat bespaart misverstanden ;)
Moet ik mij daar echt over uitlaten? :)

Maakt verder niet uit. Maar het was mij igg duidelijk dat het hier om een ingebakken bestandsnaam ging. Hoe weet het virus anders welk bestand er ge'tftp't moet worden?

Hoe weet je anders over welke bestandsnaam er exact gesproken wordt - minder aan de verbeelding overlatend: zuiverheid is een groot goed.

Aannemen dat een saillant detail voor de hand ligt past niet bij dit vakgebied.

We vergeten het, vergeven en wel ;)

Sorry mpas, ik zal proberen rekening te houden met lezers die wat minder goed op de hoogte zijn. Voor mij ligt het voor de hand dat het nodig is de msblast.exe bestandsnaam te editen in de binary, en dat je een hex editor niet zult gebruiken om simpelweg een bestand te hernoemen. Die kennis hoeft inderdaad niet bij iedereen aanwezig te zijn.

Sirdice en Patsie hebben het al uitgelegd.

Overigens moet de originele UPX packed binary wel eerst worden uitgepakt voordat het editen begint. Maar dat is voor een script kiddy ook niet zo moeilijk.

Blaster.B is exact de uitgepakte vorm van Blaster.A, met als enig verschil de embedded bestandsnaam (msblast.exe -> penis32.exe). Hoe men er bij komt dat deze versie door Parson is verspreid weet ik niet. Het lijkt me waarschijnlijk dat Parson Blaster.C heeft gemaakt. Mogelijk een naamsverwarring.

W32.Blaster.B.Worm is de Symantec naam, McAfee noemt hem W32/Lovsan.worm.c.

De Blaster.C versie ziet er wat anders uit. Eerst is de originele UPC gecomprimeerde executable uitgepakt. Daarna heeft de maker met een hex editor o.i.d. een paar teksten veranderd:

Origineel Blaster.A:
"msblast.exe I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!"

Blaster.C:
"teekids.exe Microsoft can suck my left testi! Bill Gates can suck my right testi! And All Antivirus Makers Can Suck My Big Fat Cock"

en

Origineel Blaster.A:
"Microsoft Inet Xp.."

Blaster.C:
"windows auto update"

Dat is de registry key value.

Daarna is de nieuw onstane executable ingepakt met FSG.

Volgens de beschrijving van anti-virus fabrikanten is de exploit ook voorzien geweest van backdoors.

http://vil.nai.com/vil/content/v_100551.htm

Okay, nogmaals voor Unregistered:

Zuiverheid is een groot goed.

Aannemen dat een saillant detail voor de hand ligt past niet bij dit vakgebied.

Als een gegeven meer zaken kan inhouden, zul je moeten omschrijven waar je in dat geval precies op doelt.

Schrijf wat je bedoelt, niet wat een ander moet bedenken dat jij bedoelt, als je dat kunt volgen?

No offence taken :)

Wat men duidelijk ontgaat is het volgende: er bestaan mensen die inderdaad gewoon machinecode kunnen lezen en in staat zijn dat dienovereenkomstig aan te passen/te schrijven - zonder de noodzaak eerst te disassemblen.

Zo'n Hex-Editor leent zich daar uitstekend voor.

Dat deed ik op de Commodore 64 al! Duh ;)

Jongens, denk na, ze pakken alleen de mensen die
niet begrijpen wat ze doen. Denken ze nu echt
dat de echte dader gaan pakken. Neem nou het protcol
wat het virus gebruikt om binnen te komen. Wie
verder hierin duikt komt erachter dat de data uitwisseling
een uniek staaltje is van 20 tot 30 jaar kennis. Dit
vergt enige hoge intligentie om hier goed misbruik van
te maken. Dus de dader wordt echt niet gepakt.

Juist ja, wat heb je daar voor nodig? :) Maar die porky kan dus geen machinecode lezen. Hij is er het type niet voor zullen we maar zeggen :D
http://melonballs.com/

Dit doet me denken aan dat grappige web paginaatje waar je toegezongen wordt "YOU are an idiot!. YOU are an idot" ;-)

Ik schreef:
"Nee, met een hex editor overschrijf je bestaande karakters zoals de naam van een bestand (msblast.exe wordt bv. penis32.exe). Dat is helemaal niet moeilijk, typisch iets wat script kiddies doen."

speciale Mpas tekst analyse:
hex editor ... overschrijf ... karakters
zoals ... naam van een bestand ....
msblast.exe .... penis32.exe

Tja, Mpas, het staat er duidelijk en het is niet voor andere uitleg vatbaar. Er zijn geen saillante details weggelaten.

Het is alleen wellicht niet duidelijk voor leken die niet weten wat een hex-editor is, maar daar was het bericht niet aan gericht, tenzij je jezelf als een leek beschouwd.

Veel succes verder in je loopbaan in de IT security.

Een bestandsnaam of embedded bestandsnaam is een saillant detail, dat achterwege werd gelaten.