Nieuw soort virus duikt op

Dat belooft, weer bergen werk binnenkort

Ben benieuwd of het echt je bios flasht. Ik vermoedde eerst dat het gewoon je bootloader aanpaste, maar blijkbaar blijft het scherm ook zonder aangesloten HD...

Als het een verwisselbare BIOS-chip is kan je die opsturen naar een chipflasher die er de juiste bios op terug flasht, kost wel wat euro's natuurlijk. Daarna wel even alles formatteren anders staat de malware er weer op.
Ik weet niet hoe het zit met BIOS beveiliging maar weet wel dat het al jaren mogelijk is het BIOS te flashen van uit Windows met tooltjes, dus de kans dat er malware voor zou komen is niet zo gek.
Het zou ook kunnen dat er een BIOS-maker gehackt is en de broncode of sleutels gejat zijn waarmee de BIOS geflasht kan worden. Daarom is het wel handig als mensen melden om welke PC of laptop het gaat of specifieker welke BIOS fabrikant.

En hoe zou het zitten met de dual bios van o.a. Gigabyte GA-Z87X-D3H. Zou het mogelijk de tweede bios chip te gebruiken en dan hiermee de geinfecteerde te herflashen

shameblaster schreef op zondag 30 juni 2013 @ 21:19:
http://malwareinfo.nl/you-steal-music-i-lock-your-pc-virus/
De makers worden steeds creatiever, het lijkt erop dat in dit geval het bios geflashed wordt, waarna dit niet meer te benaderen is.

Dat het BIOS door een virus aangepast wordt, is op zich niet nieuw (zie bijv. dit stuk ellende uit 1998 of deze uit 2011), maar wel irri dat het weer terug lijkt te komen...

Met zelfbouw-pc's en dual-bios kan er misschien wel nog iets te redden vallen, maar bvb. een laptop of zo zou het slecht kunnen aflopen denk ik.
Zou dit nou een gevolg kunnen zijn van de uitgebreidere toegang tot UEFI? Of zijn die beter beveiligd dan een ouderwets bios?

Ik denk dat dit met UEFI juist niet gaat werken, een gemiddelde implementatie werkt dacht ik alleen maar met digitaal ondertekende binaries?

Ik zou eigelijk wel eens een bootfilmpje willen zien. Om dit te kunnen doen op firmware niveau zal je toch echt minimale initialisatie moeten doen van de hardware, of zou het in een stukje van de GPU BIOS gezet worden? Volgens mij zijn die in de meeste gevallen niet signed.

Daarnaast kan het natuurlijk ook ergens op een EEPROM geflasht worden van bijv. een netwerkkaart waar normaal een PXE bootrom image in zit. Of VESA BIOS, of het kan slechts een bootimage zijn en dat er parameters veranderd zijn dat de BIOS niet verder gaat met de POST.

Het lijkt me namelijk erg stug dat er een universele BIOS image is die elk soort hardware kan booten en dit plaatje kan weergeven.

Een sample van het bestand waar dit virus mee binnen komt zou ook wel aardig zijn.

[ Voor 73% gewijzigd door johnkeates op 30-06-2013 21:57 ]

Hmm... ik snap ransomware, malware, botnets enzovoorts. Ik zie niet helemaal wat het idee is achter dit virus.
Het maakt een PC in feite gewoon kapot. Daar is niemand bij gebaat. Ik ben vooralsnog vooral erg nieuwsgierig WAAR deze .exe vandaan komt, wat het exact doet en welke hardware er getroffen wordt. (En in hoeverre zoiets simpels als UAC je beschermt).

Afgaande op de melding die in beeld verschijnt zou je kunnen aannemen dat "de muziekindustrie" hier achterzit.

[ Voor 5% gewijzigd door Jester-NL op 01-07-2013 09:39 ]

Jester-NL schreef op maandag 01 juli 2013 @ 09:38:

Afgaande op de melding die in beeld verschijnt zou je kunnen aannemen dat "de muziekindustrie" hier achterzit.

Of mensen die de muziekindustrie in een kwaad/nog kwader daglicht willen zetten.

Of de muziekindustrie die door dit te doen verwachten dat je denkt dat het juist niet de muziekindustrie is omdat je wel heel erg dom moet zijn om jezelf bekend te maken aangezien je iets strafbaars doet, en daardoor denkt dat het de "tegenstanders" van de muziekindustrie zijn.

Of het zijn gewoon een stelletje doerakken die de 2 partijen tegen elkaar uit willen spelen.

Etc.

Jester-NL schreef op maandag 01 juli 2013 @ 09:38:
Hmm... ik snap ransomware, malware, botnets enzovoorts. Ik zie niet helemaal wat het idee is achter dit virus.
Het maakt een PC in feite gewoon kapot. Daar is niemand bij gebaat. Ik ben vooralsnog vooral erg nieuwsgierig WAAR deze .exe vandaan komt, wat het exact doet en welke hardware er getroffen wordt. (En in hoeverre zoiets simpels als UAC je beschermt).

Afgaande op de melding die in beeld verschijnt zou je kunnen aannemen dat "de muziekindustrie" hier achterzit.

Wat denk je dat de originele virussen van een jaar of 20 geleden deden? Die gingen niet achter geld vragen of zo hoor
Die formateerden gewoon je HD, just for fun

Iva_Bigone schreef op maandag 01 juli 2013 @ 10:54:
[...]
Of de muziekindustrie die door dit te doen verwachten dat je denkt dat het juist niet de muziekindustrie is omdat je wel heel erg dom moet zijn om jezelf bekend te maken aangezien je iets strafbaars doet,

Dat zou behoorlijk naïef zijn want niet overal is het downloaden van muziek strafbaar, zoals bijvoorbeeld hier in Nederland, daarom betalen we ook thuiskopie heffing, maar dat is een andere discussie.

Heeft iemand al de mogelijkheid gehad het virus te analyseren ik ben namelijk wel heel benieuwt of hij rekening houd met de huidige Dual bios moederborden en de zogenaamde crash-free read only roms die er op de vele borden zitten tegenwoordig, voor als je juist je bios update verknalt

Hoe kunnen ze eigelijk rechtstreeks je bios aanpassen? Dacht dat er aantal bios waren die aardige blokkade tegen rom-updates? Best apart als ik 1000 dingen moet doen om een bios-update te doen, zij kunnen dat met 1 bestandje?

Opvallend dat het je BIOS flasht, want in het principe zou je dan voor ieder moederbord een verschillende BIOS moeten hebben. Het is immers zo ver ik weet niet mogelijk om zomaar iedere BIOS op ieder moederbord te flashen. Aangezien de PC nog wel opstart, om vervolgens die boodschap weer te geven lijkt het mij dat het moederbord dus nog wel werkt.

Verder maak ik mij niet veel zorgen over dit virus. Ik draai Linux en Windows in dualboot met op Windows een goede virusscanner. En mocht het zo ver komen, zet ik gewoon via Asus' FlashBack de BIOS er opniew op. Voor laptops is het uiteraard weer een ander verhaal.

Edit:

SinergyX schreef op maandag 01 juli 2013 @ 11:25:
Hoe kunnen ze eigelijk rechtstreeks je bios aanpassen? Dacht dat er aantal bios waren die aardige blokkade tegen rom-updates? Best apart als ik 1000 dingen moet doen om een bios-update te doen, zij kunnen dat met 1 bestandje?

Geen idee of het bij het moederbord wat ik nu heb werkt, maar bij het Asus moederbord van mijn oude P4 kan ik de BIOS flashen met een tooltje in Windows.

[ Voor 29% gewijzigd door TommieW op 01-07-2013 11:28 ]

TommieW schreef op maandag 01 juli 2013 @ 11:26:
...Verder maak ik mij niet veel zorgen over dit virus...

Over een virus die z'n gastheer meteen doodt, hoef je je geen zorgen te maken.
Die verspreidt zich niet snel
* Brahiewahiewa denkt nog eens aan Nimda

Brahiewahiewa schreef op maandag 01 juli 2013 @ 11:49:
[...]
Over een virus die z'n gastheer meteen doodt, hoef je je geen zorgen te maken.
Die verspreidt zich niet snel
* Brahiewahiewa denkt nog eens aan Nimda

En wat als het zich éérst verspreid en dan pas zijn gastheer doodt?

Ik heb er nog steeds mijn twijfels over.. De mensen die het probleem hebben (fok, helpmij, pcwebplus) zijn net geregistreerd op die forums, malwareinfo.nl en pcwebplus.nl staan geregistreerd op dezelfde naam en de foto's zijn ook allemaal hetzelfde (tenminste, ik heb tot nu toe maar 2 verschillende gezien).
Hier hebben ze ook nog enigszins hun twijfels.

Wat als je nou een wachtwoord zet op je bios. Is het dan alsnog mogelijk voor dit "virus" om zich te nestelen in je bios?

FlipFluitketel schreef op maandag 01 juli 2013 @ 12:03:
Ik heb er nog steeds mijn twijfels over.. De mensen die het probleem hebben (fok, helpmij, pcwebplus) zijn net geregistreerd op die forums, malwareinfo.nl en pcwebplus.nl staan geregistreerd op dezelfde naam en de foto's zijn ook allemaal hetzelfde (tenminste, ik heb tot nu toe maar 2 verschillende gezien).
Hier hebben ze ook nog enigszins hun twijfels.

+1
Klinkt erg als een broodje aap imo.

ben benieuwd, ik heb mijn twijfels. Punt is alleen dat je nooit helemaal zeker bent. Daarnaast is het wel grappig om vrijelijk over te associeren enzo

[b][message=40495621,noline]De mensen die het probleem hebben (fok, helpmij, pcwebplus) zijn net geregistreerd op die forums.

Ook in Duitsland is deze al gesignaleerd, en daarover is een topic gestart op Bleeping Computer.
http://www.bleepingcomput...-lock-your-pc-boot-error/

Zie ook de onderstaande post op Wilders Security, wellicht komt daar nog bruikbare info uit.
http://www.wilderssecurit...php?p=2247622&postcount=4

LnC schreef op maandag 01 juli 2013 @ 12:06:
Wat als je nou een wachtwoord zet op je bios. Is het dan alsnog mogelijk voor dit "virus" om zich te nestelen in je bios?

Ik ken zulke 'bios destruction virus' principes al uit de jaren 90, tequila virus was dat dacht ik?

Maar in de praktijk ben ik ze nooit tegengekomen, er waren zelfs moederbords waar je eerst een jumper moest omzetten voordat bios rom uberhaubt schrijfbaar werd, zo'n virus lijkt me dat toch niet te kunnen overrulen?

Jammer is dat gros van resultaten in bv google zoeken puur om die hoax crap gaat, meest destructieve virus ooit, bla bla, maar hebben ze ooit op zo'n zware schaal bestaan? (en toepasbaar op elke bios mogelijk - al had je vroeger dacht ik enkel Ami en Award?)

Bij mij begon er al een belletje te rinkelen omdat dit lijkt op zo'n FW:FW:FW:FW:FW mailtje met de gebruikelijke waarschuwingen van het meest erge virus ooit.
Maar zeg nooit nooit. Deze kan misschien iets zijn, maar het lijkt mij een beetje op een hoax.

Zit nog eens goed te lezen, en ondertussen ga ik ook richting 'hoax' (of troll).
Vooralsnog zie ik maar een handje vol meldingen. Wat ze gemeen hebben is dat er (bijna) niets aan info in staat. Eenmaal wordt er melding gemaakt van het OS, hardwareinfo (voor zover gegeven) vertelt wel welke grafische kaart wordt gebruikt, maar niets over het moederbord... en zodra er om dat soort info wordt gevraagd op de fora blijft het angstig stil. Idem als het gaat om hoe of waar de besmetting opgelopen zou zijn. Daarnaast is ook de gebruikte .exe nog steeds niet boven water, en heeft nog niemand dus dit gedrag weten te reproduceren...

[ Voor 11% gewijzigd door Jester-NL op 01-07-2013 13:22 . Reden: Aanvulling ]

ShadowBumble schreef op maandag 01 juli 2013 @ 11:24:
[...]


Dat zou behoorlijk naïef zijn want niet overal is het downloaden van muziek strafbaar, zoals bijvoorbeeld hier in Nederland, daarom betalen we ook thuiskopie heffing, maar dat is een andere discussie.

Ietwat off topic, maar je begrijpt me verkeerd
Met 'strafbaar' doelde ik op computervredebreuk, niet op het muziek downloaden zelf.

Volgens mij een hoax. De meldingen die binnenkomen schetsen veelal een soortgelijke situatie (bv pc van vader, onduidelijk en onsamenhangend verhaal zonder extra informatie en slechte foto's (of dezelfde foto)). Bij vraag om meer informatie zoals moederbord en bios type / versie komt geen antwoord. Mensen die op andere fora posten lijken ook allemaal dezelfde users te zijn.

[ Voor 12% gewijzigd door Bor op 01-07-2013 14:08 ]

Inderdaad. Zie hier alle images op een pagina.

1&3 delen een reflectie bovenaan het scherm, 1&2 delen duidelijk de algehele lichtinval, backlight bleeding en de reflectie van de pen die voor het scherm ligt.

Wel bizar dat de poster hier vrij 'reputabel' lijkt (hoge postcount), op het eerste gezicht een Amerikaan is, en claimt ook via-via van een geval te hebben gehoord.

Wie zit erachter en wat is het doel?

Lijkt me dat die Maxstar er wel eens zelf kan achterzitten? (als het een Hoax is).

Lijkt me dan reclame voor een site zoals malwareremovalguides.info ofzo?

Die zfactor zou dan zelfde account kunnen zijn als Maxstar, hij is in ieder geval geen Amerikaan (check zen oudere posts), zou goed een Nederlander kunnen zijn hoe hij zijn zinnen opbouwt.

Het valt me op dat zowel die zfactor als Maxstar altijd linken naar andere topics waar het ook gepost is, precies om het meer te "hypen"/legitimiseren.

En in dit topic: http://www.pcwebplus.nl/p...ewtopic.php?f=206&t=10229
Vind ik het dan weer raar dat een dame (Shirley) die hulp komt zoeken met een nieuw account op pcwebplus.nl er wel in slaagt om snel de specs van haar pc op te zoeken, de .exe naam van 4 willekeurige letters van een paar uur ervoor nog herinnert, zelf ook 2 keer linked naar andere topics, etc.

Edit: zelfde voor een zekere peterjan1980 http://www.helpmij.nl/for...aad?p=4985763#post4985763 , zelf ook heel de tijd linken naar andere posts, dat lijkt me niet het typische "ik heb een probleem help mij" gedrag dat je normaal ziet.

[ Voor 13% gewijzigd door Tharulerz op 01-07-2013 15:32 ]

Rammelt wel aardig aan diverse kanten, POST verhaal, technische haalbaarheid en de twijfelachtige foto's. Als het echt zo'n rare boot is, waarom geen filmpje?

Nee, deze gaat op de stapel 'hoax', al snap ik nog niet bepaald het doel van dit geheel.

Mischien eerst wat basis kweken op diverse fora om daarna twitter en facebook te overspoelen? Dan bereik je het 'dom volk', die maar al te graag zulke shizzle willen voorkomen en wel hier en daar een vage anti-virusscanner willen installeren.

Aangezien ik nu ook aan het twijfelen ben of dit echt is ben ik eens gaan kijken naar de exif info in de foto's. Helaas heeft allen foto 3 intacte exif gegevens volgens dit is deze met een SAMSUNG GT-I9300 gemaakt.

Misschien weet iemand anders de andere exif gegevens te achterhalen.

Laatste nagel in de kist: zowel op malwareremovalguides als Yahoo Answers (door een typetje 'help!111!') wordt het ANSI art genoemd. Gangbaarder zou ASCII zijn (ongeacht wat het werkelijk is) - de kans dat een 'hulpeloze' gebruiker uberhaupt ooit van ASCII art gehoord heeft lijkt me ook vrijwel nihil.

Leuke publiciteitsstunt van malwareremovalguides dan inderdaad?

malwareinfo.nl en malwareremovelguides.info lijken mij ook van dezelfde persoon/bedrijf, geen idee of zij degene zijn die hier achter zitten (lijkt me momenteel vooral te gaan om links en backlinks te krijgen op google zodat als mensen het probleem dan googlen dat ze dan op hun website komen?) allemaal zo raar...

Zulke art wordt inderdaad doorgaans ASCI art genoemd, als uberhaubt die term bij een leek al bekend is.

Alle domeinen zijn van dezelfde persoon, 1 website zie je continue als 'hulp site' bijna elke post terugkomen, PC web plus, zelfs in die 3 Engelse topics. Oplossing.be geeft zelfs bijna vorm van reclame, door klakkeloos dat verhaal van malwareinfo over te nemen (wederom PC web plus).

En laten nu al die 3 domeinen van dezelfde persoon zijn

Even de buren van Fok inlichten?

ik zit ook aan hoax te denken, maar kan de posts van mastermindzh op helpmij dan niet goed plaatsen, of hij moet (een van) degene zijn die deze hoax probeert op te tuigen

Rare posts inderdaad, met name 1 zin:

Ik kan het vermoeden van Lightframe nu bevestigen

Ik zie heel geen post van 'Lightframe'.
Ok, het is een Linux-fanboy, kunnen we mee leven, met een bizar hoge eigendunk.

Security.nl trekt het inmiddels ook erg in twijfel, al blijf ik benieuwd wat nu het doel achter deze actie is geweest.

De domeinen pcwebplus, malwareinfo en malwareremovalguides zijn van mij, en naar aanleiding van de berichten op Helpmij.nl, Fok en PC-Helpforum heb ik gisterenochtend het eerste bericht op malwareinfo geplaatst aangezien dit mijn interesse wekte als security enthousiast, vervolgens heb ik ook een Engels bericht geplaatst. Naar aanleiding van deze berichten werden al snel twee berichten op mijn forum (PC Web Plus) geplaatst door ShirleyScholten en Pluisje.

Vervolgens kwamen er nog berichten op Bleeping Computer, Oplossing.be.
En op Bleeping Computer heb ik achter de schermen de IP-gegevens van stansfiel (Axel) opgevraagd om te vergelijken.
Ik heb inmiddels wel de IP-gegevens van ShirleyScholten (PC Web Plus) en Dederc (PC-Helpforum.be) kunnen vergelijken en deze kwamen overeen.

Dus het ziet er inderdaad naar uit, dat één of andere grapjas hier aan het trollen is en op deze manier een HOAX wilt verspreiden en mensen onnodig aan het werk wilt zetten.

Ik wil echter wel benadrukken dat ik hier niet achter zit, en het niet mijn bedoeling is om reclame te maken voor pcwebplus, malwareinfo en malwareremovalguides.

Aangezien het mijn interesse heeft getrokken, net zoals zovelen wilde ik hier zoveel mogelijk informatie over verkrijgen en zoals reeds door andere aangegeven blijft dit echter uit en klopt dit verhaal van geen kanten meer.

Als het echt blijkt dat hier één of andere onverlaat dacht grappig te zijn, heeft hij-zij het flink mis en zal ik ook niet schromen om ook hiervoor een mooi bericht te publiceren, alleen moet ik nog even uitzoeken hoe het juridisch in elkaar steekt omtrent het publiceren van een persoonlijk IP-adres want dat kan immers deels een persoonsgegeven zijn.

Nogmaals ik zit hier niet achter.

[ Voor 0% gewijzigd door Maxstar op 01-07-2013 16:34 . Reden: typo ]

Alright, die IP adressen bevestigen in ieder geval dat het een hoax is.

SinergyX schreef op maandag 01 juli 2013 @ 16:18:
Rare posts inderdaad, met name 1 zin:

[...]


Ik zie heel geen post van 'Lightframe'.
Ok, het is een Linux-fanboy, kunnen we mee leven, met een bizar hoge eigendunk.

http://www.helpmij.nl/for...47&viewfull=1#post4985247

SinergyX schreef op maandag 01 juli 2013 @ 16:01:
Even de buren van Fok inlichten?

'We' zijn ingelicht, tnx .

Ze hadden toch ook gewoon filmpjes kunnen maken lijkt me?

FlipFluitketel schreef op maandag 01 juli 2013 @ 16:29:
[...]

http://www.helpmij.nl/for...47&viewfull=1#post4985247

Ok mijn zoeken in pagina doet vaag, hij kan heel die post niet vinden
(voortaan gewoon maar even volledig doorlezen ).

Bedankt voor de update Maxstar, klonk even verdacht maar lijkt me nu duidelijk dat jij hier verder weinig mee te maken lijkt te hebben.

Die zfactor klinkt alleen totaal niet logisch, buiten z'n taalgebruik, hij doet alsof hij veel wet etc, maar linkt daarna doodleuk naar answers.yahoo.com, waar enkel vraag+dom antwoord staat (en elke idioot daar een random vraag kan stellen). Je zou in iedergeval met 'zulke technische kennis' die vraag op yahoo in twijfel trekken (zeker omdat het dezelfde foto is). Maar ook gaat totaal niet in op technische aspecten buiten wat generiek gezwam, weer zonder extra bewijs of filmpje.

[b][message=40497592,noline]Bedankt voor de update Maxstar, klonk even verdacht maar lijkt me nu duidelijk dat jij hier verder weinig mee te maken lijkt te hebben.

Geen dank en ik wil ook de waarheid, toedracht boven tafel krijgen en daar ben ik nu ook druk mee bezig om ook internationaal op Bleeping Computer de nodige info te krijgen.

Ik zal echt nooit mijn reputatie vergooien op deze manier en reclame maken voor mijn websites, ik help oprecht mensen en PC Web Plus als forum en mijn twee andere websites gebruik ik ook alleen maar om mensen te informeren en te helpen, en als je mijn posts her en der bekijkt zal je dit wellicht ook zien.
Ik ben op heel veel fora namelijk actief als "Maxstar", en ik heb geen enkele connectie met de dubieuze topic starters.

Via een bericht (achter de schermen) op Bleeping Computer werd ik net gewezen op een nieuw topic op Geeks To Go.
http://www.geekstogo.com/...ole-music-i-lock-your-pc/

Interessant, ga ik toch nog ff volgen...

Maxstar schreef op maandag 01 juli 2013 @ 17:14:
[...]

Geen dank en ik wil ook de waarheid, toedracht boven tafel krijgen en daar ben ik nu ook druk mee bezig om ook internationaal op Bleeping Computer de nodige info te krijgen.

Ik zal echt nooit mijn reputatie vergooien op deze manier en reclame maken voor mijn websites, ik help oprecht mensen en PC Web Plus als forum en mijn twee andere websites gebruik ik ook alleen maar om mensen te informeren en te helpen, en als je mijn posts her en der bekijkt zal je dit wellicht ook zien.
Ik ben op heel veel fora namelijk actief als "Maxstar", en ik heb geen enkele connectie met de dubieuze topic starters.

Via een bericht (achter de schermen) op Bleeping Computer werd ik net gewezen op een nieuw topic op Geeks To Go.
http://www.geekstogo.com/...ole-music-i-lock-your-pc/

Ook hier weer een nieuwe user, vrijwel dezelfde bewoording en rond dezelfde tijd aangemaakt..

Ik blijf dit ook nog even volgen.

Inverted_World schreef op maandag 01 juli 2013 @ 17:24:
[...]


Ook hier weer een nieuwe user, vrijwel dezelfde bewoording en rond dezelfde tijd aangemaakt..

Ik blijf dit ook nog even volgen.

Hier word het opeens you stole music, of werd het bij die andere nou steal ?

Hier trouwens een linkje naar FOK! voor de geïnteresseerden: http://forum.fok.nl/topic/1990699

Update:

Ik heb contact opgenomen met Grinler van Bleeping computer en die heeft reeds een bericht geplaatst op Wilders Security. Zowel op Bleeping Computer alsook op Geeks to Go wordt er momenteel onderzoek uitgevoerd.

http://www.wilderssecurit...hp?p=2247986&postcount=29

Mij lijkt dit ook een HOAX.

je kunt niet de bios flashen van verschillende computers met 1 virus, gezien dat simpelweg gewoon niet zo werkt. een asus bios kun je ook niet flashen met een flash programma van gigabyte.

Fordox schreef op maandag 01 juli 2013 @ 18:04:
Mij lijkt dit ook een HOAX.

je kunt niet de bios flashen van verschillende computers met 1 virus, gezien dat simpelweg gewoon niet zo werkt. een asus bios kun je ook niet flashen met een flash programma van gigabyte.

Tja je zou theoretisch het moederbord type kunnen uitlezen, deze naar een webserver posten waar de juiste firmware wordt aangeboden van de fabrikant. Maar dat lijkt mij geen doen, volgens mij moet het ook gesigned worden plus kan je het nooit automatiseren.

Eén aspect ontgaat me. Mijn eerste gedachte bij het lezen van de topicstart was ook dat het vast een hoax is. Maar een hoax doet niets, het is alleen maar paniek zaaien. Echter enige berichten verder lees ik toch dat het bij sommigen de hele computer laat vastlopen en dat men er voorlopig geen raad mee weet. Dat is toch m.i. niet in overeenstemming met een hoax, m.a.w., wel wat meer dan enkel paniek zaaien. Ik zie hem ook nog niet staan op de site http://www.virusalert.nl/ .

Fordox schreef op maandag 01 juli 2013 @ 18:04:
je kunt niet de bios flashen van verschillende computers met 1 virus, gezien dat simpelweg gewoon niet zo werkt. een asus bios kun je ook niet flashen met een flash programma van gigabyte.

It's (partly) doable. Daarom dat dit incident niet direct is afgeschreven door de security community, hoewel het er inmiddels alle schijn van heeft dat het hier om een hoax gaat.

En kijk nu eens naar het verhaal van die personen? Die zijn net zo twijfelachtig als de posters in de eerste kwestie.

Geen van die 'vastloper' mensen heeft buiten die foto meer bewijs dat dit gebeurd.

Technisch is het al bijna onhaalbaar (niet onmogelijk, maar deze variatie bijna wel), naast het software aspect, maar de vraag blijft nog steeds: wat is het doel hierachter? Een 'studieonderzoek' om te bepalen hoe snel paniek wordt gezaaid en dit wordt overgenomen door media?

Moment dat ik een 'betrouwbaar' persoon (lees, niet 1dag registraties) een video of dergelijke zie posten met aanzienlijk meer bewijs, zou ik skeptisch worden, vooralsnog gewoon een leuke zoekactie wat nu precies het doel hiervan is

[ Voor 19% gewijzigd door SinergyX op 01-07-2013 18:17 ]

Blijf erbij dat het een hoax is, bewijs te vinden dat dit daadwerkelijk bij iemand gebeurt is die niet een 1dagsaccountje aangemaakt heeft om onrust te zaaien.

Schattig dat stressen van veel mensen trouwens.

SinergyX schreef op maandag 01 juli 2013 @ 18:16:
Technisch is het al bijna onhaalbaar (niet onmogelijk, maar deze variatie bijna wel), naast het software aspect, maar de vraag blijft nog steeds: wat is het doel hierachter? Een 'studieonderzoek' om te bepalen hoe snel paniek wordt gezaaid en dit wordt overgenomen door media?

Het is nep: de configuratie die TS op Fok heeft geplaatst is fysiek onmogelijk. Een mede forumgenoot merkte op dat een MSI K9AGM2 mobo maar 2 dimm-sloten heeft terwijl TS aangaf dat er 4x1gb intern geheugen in zat..

Stel dat het geen hoax is, mijn pc heeft een dual bios waarbij als ik eentje zou verkloten de tweede zou backuppen. Dus ik ben veilig?

Overigens denk ik dat het inderdaad een hoax is, maar het zou eng zijn als zoiets echt in de praktijk kwam.

Bij nog eens nalezen van het startbericht in combinatie met wat ik aanvankelijk niet had gedaan, het lezen van de link die TS plaatste (ik klik nooit zomaar op een link) zie ik dat hij alleen maar de letterlijke tekst van dat artikel plaatste. Mijn eerste hoax-vermoeden is dus toch een juist vermoeden geweest. Die problemen die werden geschetst bestonden helemaal niet.
TS, je wordt hartelijk bedankt voor deze buitengewoon "waardevolle" bijdrage! Je illustreert nl. hoe gauw sommigen iets voor waar slikken.

Techneut schreef op maandag 01 juli 2013 @ 21:23:
Bij nog eens nalezen van het startbericht in combinatie met wat ik aanvankelijk niet had gedaan, het lezen van de link die TS plaatste (ik klik nooit zomaar op een link) zie ik dat hij alleen maar de letterlijke tekst van dat artikel plaatste. Mijn eerste hoax-vermoeden is dus toch een juist vermoeden geweest. Die problemen die werden geschetst bestonden helemaal niet.
TS, je wordt hartelijk bedankt voor deze buitengewoon "waardevolle" bijdrage! Je illustreert nl. hoe gauw sommigen iets voor waar slikken.

Ehm, het was juist de bedoeling van de TS om die nieuwe 'virus' bekend te maken. Hij zegt nergens dat hij diegene is die het virus heeft. Het is dus ook nogal logisch dat de tekst hetzelfde is als de tekst op het andere forum.

Hoe dan ook hoax, want als je je systeem in text mode laat starten (dus niet full screen logo), is de display beperkt tot 80 bij 24 tekens (standaard old-school DOS). Het ACSII art is al groter en er zijn ook nog eens zwarte randen.

Techneut schreef op maandag 01 juli 2013 @ 21:23:
[...] (ik klik nooit zomaar op een link)[...]

TS, je wordt hartelijk bedankt voor deze buitengewoon "waardevolle" bijdrage! Je illustreert nl. hoe gauw sommigen iets voor waar slikken.

Nounou, niet iedereen kan even perfect zijn als jij natuurlijk

Het lijkt inderdaad steeds meer op een hoax.
Maar ivm die vele verschillende bios-versies. 99% van de pc's heeft internet-toegang. Het kan natuurlijk dat het virus checkt welk MB er in de pc zit en toegang heeft tot een database van downloadbare aangepaste bios-files die naargelang het model dan geflasht worden.
Technisch zou zoiets wel mogelijk zijn volgens mij...

shameblaster schreef op maandag 01 juli 2013 @ 23:21:
[...]


Het is puur iets wat ik tegen kwam, wat mij verbaasde maar tegelijkertijd ook fascineerde. Goedgelovig als ik ben (weet niet al te veel van software af) nam ik aan dat dit wel eens echt kon zijn. Misschien waren hier nog mensen met andere ideeën erover. Dit forum heeft mij al enkele malen goed geholpen bij problemen met de PC. Wie weet kon het forum ook wat voor andere mensen betekenen. En zoals eerder gezegd was ik benieuwd naar de oorzaak en oplossing van dit probleem. Na 1 dag is het misverstand al de wereld uit geholpen. En bleek het een storm in een glas water te zijn. Blijkt waarschijnlijk (gelukkig) een HOAX te zijn. Je moet er ook niet aan denken dat dit echt kan gebeuren.

Misschien is het verstandig om dit topic op slot te gooien, zodat het forum niet verder ''bevuild'' raakt.

Aan alle lezers van dit topic, excuses voor het ongemak.

Kan jij toch niets aandoen?

Het is allang jammer dat deze mensen met hun hoaxes de tijd van mensen stelen die mensen met echte problemen helpen.

Ook hier heeft hij deze post geplaatst:
http://www.pchelpforum.nl/viewthread.php?tid=59001

Heb via PB het IP adres naar Maxstar gestuurd ter controle.

Overigens, de persoon die claimde dat hij net hetzelfde probleem had heeft een compleet ander IP adres, eentje van vodafone, terwijl de ander van ziggo kwam.

[ Voor 35% gewijzigd door Baggeraar op 01-07-2013 23:56 ]

Ozzie schreef op maandag 01 juli 2013 @ 22:12:
[...]


Ehm, het was juist de bedoeling van de TS om die nieuwe 'virus' bekend te maken. Hij zegt nergens dat hij diegene is die het virus heeft. Het is dus ook nogal logisch dat de tekst hetzelfde is als de tekst op het andere forum.

Oké, maar uit het startbericht was me niet met één oogopslag duidelijk dat TS alleen maar citeerde, ik had de indruk dat hij die ervaring deelde. Daardoor was mijn reactie achteraf gezien wat te sarcastisch. Mijn opmerking over goedgelovigheid geldt daarom meer voor de auteur(s) van het artikel op dat andere forum.

Baggeraar schreef op maandag 01 juli 2013 @ 23:51:
Overigens, de persoon die claimde dat hij net hetzelfde probleem had heeft een compleet ander IP adres, eentje van vodafone, terwijl de ander van ziggo kwam.

Meh, mobiel internet, zo bijzonder is dat ook weer niet

Baggeraar schreef op maandag 01 juli 2013 @ 23:51:
Ook hier heeft hij deze post geplaatst:
http://www.pchelpforum.nl/viewthread.php?tid=59001

Heb via PB het IP adres naar Maxstar gestuurd ter controle.

Overigens, de persoon die claimde dat hij net hetzelfde probleem had heeft een compleet ander IP adres, eentje van vodafone, terwijl de ander van ziggo kwam.

De IP-adressen inmiddels vergeleken met de accounts van Shirley en Pluisje op PC Web Plus en het Ziggo IP-adres heeft een match, het IP-adres van het account met het Vodafone IP is dynamisch maar voor 99,9% dus ook wel zeker dezelfde persoon.

Ik weet niet of hier ook "moderators" van Fok aanwezig zijn in dit topic, maar wellicht kan het IP van Daniel80403 ook even gecontroleerd worden.

Iemand al opgevallen dat overal dezelfde foto's gebruikt worden?

http://forum.fok.nl/topic/1990699
http://www.pchelpforum.nl/viewthread.php?tid=59001
http://www.threattracksec...ads/2013/07/spindecks.jpg

Vergelijken we deze link:

http://www.helpmij.nl/for...47&viewfull=1#post4985247

Is de foto hetzelfde als deze:

http://malwareinfo.nl/you-steal-music-i-lock-your-pc-virus/

Alleen met helderheid/contrast wat aangepast. Ook is er in geknipt.

Dan pakken we deze link erbij, meneer Daniel heeft een topic op FOK! gemaakt met daarin een foto:
http://forum.fok.nl/topic/1990699

Hier zegt meneer Jos: "mijn zoon heeft zojuist foto's gemaakt en hij zal ze hier in zetten."

De foto's zijn hetzelfde.

http://www.pchelpforum.nl/viewthread.php?tid=59001

Scherp

Hoopte net op een nieuwe gigantische uitbraak van computer ellende wereldwijd (komen mijn vrienden weer voetballen en bordspellen spelen) is het een onnozele hoax.
Maar niet getreurd, ooit komt de dag dat het hele internet 24 uur plat gaat en wereldwijd niemand door heeft wat er aan de hand is. Zouden ze een film over moeten maken. Wat gebeurd er met de wereld als het internet 24 uur plat ligt wereldwijd en hoe kan het opgelost worden als de oplossers nauwelijks meer met elkaar kunnen communiceren?


En ontopic: Goed speurwerk, maar had toch liever een tweakers speurtocht naar een echt virus gehad.

Een hedendaags virus dat ook maar een paar slachtoffers maakt door zich in de bios te schrijven is wel een sterk staaltje. Hoe kan het zich goed verspreiden als het de computer onbruikbaar maakt, en hoe kun je in een kleine payload een universele manier hebben om elk merk bios te flashen?

[ Voor 28% gewijzigd door Kain_niaK op 02-07-2013 10:29 ]

shameblaster schreef op maandag 01 juli 2013 @ 23:21:
Aan alle lezers van dit topic, excuses voor het ongemak.

Hier sluit ik mij geheel bij aan, want ik was immers zo goed van vertrouwen of naïef om hier direct op in te gaan en er artikelen over te schrijven.

Maar ik heb reeds wel een bericht gepost op mijn forum, het was namelijk nooit mijn bedoeling om een "hoax" verder de wereld in te helpen.

http://www.pcwebplus.nl/p...ewtopic.php?f=213&t=10242

Groet,

Maxstar

Mooi om te zien hoe zoiets in eerste instantie wordt opgepakt, voor waar wordt aangenomen, er twijfels ontstaan, er met argwaan naar de verschillende posts gekeken wordt, men speculeert en er vervolgens iemand is die onderzoek doet (Maxstar) en uitsluitsel geeft over wat er nu daadwerkelijk aan de hand is.

Naar alle waarschijnlijkheid een Hoax, maar desondanks heb ik het afgelopen hallf uur/uur met veel plezier alle reacties hier gelezen en ook zelf gezocht!

Zoals door Bas. ook aangegeven valt het na vergelijking wel op dat alle foto's hetzelfde zijn, dit is goed op te maken aan de oranje reflectie op de bezel van het beeldscherm.


Nu maar hopen dat mensen met kwade bedoelingen niet op ideeën zijn gebracht..

Kain_niaK schreef op dinsdag 02 juli 2013 @ 10:27:
Hoopte net op een nieuwe gigantische uitbraak van computer ellende wereldwijd (komen mijn vrienden weer voetballen en bordspellen spelen) is het een onnozele hoax.
Maar niet getreurd, ooit komt de dag dat het hele internet 24 uur plat gaat en wereldwijd niemand door heeft wat er aan de hand is. Zouden ze een film over moeten maken. Wat gebeurd er met de wereld als het internet 24 uur plat ligt wereldwijd en hoe kan het opgelost worden als de oplossers nauwelijks meer met elkaar kunnen communiceren?

Er is een South Park aflevering over geweest, al was dat meer 'beperkt' internet dan 'geen'. Het zou iig wel een aardig idee zijn voor een Hollywood film over hoe de wereld reageert (ipv alleen de US).

BIOS vanuit het OS opnieuw flashen zal in elk geval een enorme opgave zijn voor een virus, ik zie maar enkele manieren:

- je moet voor elk merk en model een vanuit het OS op te starten flashprogramma laten starten, merk/model autodetectie hebben en dan nog voor elk merk/model een valse ROM/CAP schrijven die je BIOS corrupt laat worden.
- het is mogelijk om via DMI tools instellingen te veranderen, maar deze zijn niet systeemkritisch en is middels een CMOS reset terug te zetten. Hooguit dat mogelijk je VGA kaart word uitgeschakeld, maar systeem slopen is op die manier niet mogelijk.
- Of je bent zelf halfidioot en je hebt de no-execute/execute disable bit uitgeschakeld die standaard in elke BIOS aanstaat, hierdoor word code in de BIOS uitvoeren mogelijk.

Alleen de eerste optie lijkt me werkelijk haalbaar, maar dan moet je al snel een virus van zo'n 50/100MB groot hebben.

Verder moet je je gijzelaar niet omleggen voordat je het losgeld binnenhebt, waarom een systeem slopen als je via dat systeem je ransom moet binnenhalen?

Lijkt me alleen hierom al reden genoeg om aan te nemen dat dit een hoax is.

vlaaing peerd schreef op dinsdag 02 juli 2013 @ 12:49:
BIOS vanuit het OS opnieuw flashen zal in elk geval een enorme opgave zijn voor een virus, ik zie maar enkele manieren:
[...]
Alleen de eerste optie lijkt me werkelijk haalbaar, maar dan moet je al snel een virus van zo'n 50/100MB groot hebben.

Fire69 schreef op maandag 01 juli 2013 @ 22:34:
[...]
Maar ivm die vele verschillende bios-versies. 99% van de pc's heeft internet-toegang. Het kan natuurlijk dat het virus checkt welk MB er in de pc zit en toegang heeft tot een database van downloadbare aangepaste bios-files die naargelang het model dan geflasht worden.
Technisch zou zoiets wel mogelijk zijn volgens mij...

Verder moet je je gijzelaar niet omleggen voordat je het losgeld binnenhebt, waarom een systeem slopen als je via dat systeem je ransom moet binnenhalen?

Lijkt me alleen hierom al reden genoeg om aan te nemen dat dit een hoax is.

Waarom moet alles ransomware zijn tegewoordig, gewoon een good ol' virus zoals vroeger is ook goed toch

Nu de storm een beetje is gaan liggen lijkt het me nuttig een paar al veel vaker geplaatste opmerkingen nog eens de revue te laten passeren. Ooit verschijnt er heeeeel misschien een virus dat door de antivirussoftware wat moeilijker is te bestrijden, maar tot nu toe is er altijd direct uit die hoek een antwoord op geweest.

Maar bijna altijd bevatten berichten over deze ongein gemeenschappelijke elementen zoals ook hier "Nieuw soort virus" of "tot nu toe door geen enkel antivirusprogramma te detecteren en te verwijderen" etc. etc.

Ook e-mailberichten vallen hieronder, die doorgaans gepaard gaan met enorme koeienletters en een heleboel uitroeptekens geschreven teksten: "Let op! Stuur dit aan iedereen die je kent". Hiermee verraden ze zich zelf onmiddellijk. Zo beleef ik althans die berichten wel.

hier staat het ook op een ander forum : http://www.pcwebplus.nl/p...ewtopic.php?f=213&t=10242

Moderne Asus bordjes zijn in bezit van een bios flashback switch op het moederbor.
Pc uit, USB stickje met bios erin, knopje inhouden en hij wordt geflashed!

Zeer handig..

you steal music i lock your pc virus hoax

storm in flash bios

Techneut schreef op dinsdag 02 juli 2013 @ 15:24:
Nu de storm een beetje is gaan liggen lijkt het me nuttig een paar al veel vaker geplaatste opmerkingen nog eens de revue te laten passeren. Ooit verschijnt er heeeeel misschien een virus dat door de antivirussoftware wat moeilijker is te bestrijden, maar tot nu toe is er altijd direct uit die hoek een antwoord op geweest.

Maar bijna altijd bevatten berichten over deze ongein gemeenschappelijke elementen zoals ook hier "Nieuw soort virus" of "tot nu toe door geen enkel antivirusprogramma te detecteren en te verwijderen" etc. etc.

Volgens mij was dat virus wat een jaar geleden via nu.nl verspreid werd via de ads er zo een.
In eerste instantie kon geen enkele AV tool het verwijderen, omdat het op meerdere plekken een soort backup had geplaatst.
Een van de AV bedrijven heeft toen express een virituele pc geïnfecteerd om zo achter een bepaald bestand te komen (wat zichzelf vernietigde na installatie), die info is vervolgens weer gedeeld met iig een paar andere bedrijven, waardoor het makkelijker te verwijderen werd.

(Ben niet echt thuis in de virus wereld, maar volgens mij hete dat bestand een smoker oid?)

Ik meen begrepen te hebben dat die "nu.nl-affaire" wel een echte bedreiging was. Althans dat deze wel terdege iets installeerde. Dat is met wat ik beschrijf niet het geval, dat is alleen maar voor de gein paniek zaaien (jongens wat een lol).. Maar het verricht hoegenaamd geen verdere activiteiten. Helemaal niets, ook geen onschuldige rommel en dus hoeft bij die categorie ook niets te worden verwijderd. Een hoax dus, oftewel alleen maar een gerucht en dat was "nu.nl" niet.

[ Voor 7% gewijzigd door Techneut op 03-07-2013 12:54 ]

Lijkt mij een naar virusje om te hebben. Zeker voor de mensen die niet zo bekend zijn met computers.

als het uberhaupt een werkelijk virus zijn geworden dan hadden e muziek industries heel wat problemen kunnen verwachten aan schade claims

ga maar na een nummer op het internet kopen bv met itunes kost 99 eurocent
totaal nieuwe computer moeten kopen door dit soort onzin schiet al ver boven de 600 euro voor de meeste mensen.
buiten dat dit een mogelijkheid zo kunnen zijn is geen enkel bedrijf bij wet machtig om dit soort fratsen uit te mogen halen, en het komt er dus op neer dat diegene die schade aanricht zichtzelf alleen in de voeten schiet.

Als je de rest van het fok forum leest blijkt dit gewoon een dikke hoax te zijn.
De username word elke keer aangemaakt met een ander getal erachter.

Dj Neo Ziggy schreef op donderdag 04 juli 2013 @ 10:23:
Als je de rest van het fok forum leest blijkt dit gewoon een dikke hoax te zijn.
De username word elke keer aangemaakt met een ander getal erachter.

Klopt!

Nu vraag ik me toch af of dat filmpje op Youtube (dat reclame maakt voor YooSecurity) er op wijst dat net zij er achter zitten.

In elk geval zonde, wat als het volgende keer echt prijs is.. wordt die persoon gewoon uitgelache -.-

Mooi! Klpd/Bumra virus heeft mij ool al honderden euro's opgeleverd.
Hoop dat dit een heel vervelend virus word.

* kijkt al hoopvol naar z'n telefoontje
Verdikkie een hoax

[ Voor 8% gewijzigd door osmosis op 05-07-2013 12:53 ]

Anoniem: 518135 schreef op donderdag 04 juli 2013 @ 23:24:
[...]


Klopt!

Nu vraag ik me toch af of dat filmpje op Youtube (dat reclame maakt voor YooSecurity) er op wijst dat net zij er achter zitten.

In elk geval zonde, wat als het volgende keer echt prijs is.. wordt die persoon gewoon uitgelache -.-

wat info over Yoosecurity:
YooSecurity is a legit company but whatthey do is actually install files on your computer when they run their scans that pop as malware thus making them needed by you to run their service. There's a ton of these companies that make a ton of money exploiting peoples lack of PC security.
I've been doing network security for over 24 years for DoD so trust me, you do not EVER want to let someone remotely manage your PC security. NEVER. Ok really. They don't do anything you can't do yourself and its relatively easy.

Lekker schandalig, door zoon mense gaat de reputatie van mensen die dus echt wel willen helpe helemaal naar de maan -.-

Klein beetje offtopic (ander virus? ) maar; Knip. Topic-kaping is niet aardig

[ Voor 66% gewijzigd door F_J_K op 08-07-2013 14:25 ]

434365 schreef op maandag 08 juli 2013 @ 13:20:
Klein beetje offtopic (ander virus? ) maar; ik heb sinds een paar dagen opeens een nieuw gebruikersprofiel in Windows met een random string als naam, gooi ik deze weg is ie de volgende dag weer terug... ESET Smart Security vind niets..? tijd voor een schone windows installatie

Niet alleen is je post te off-topic, het is al eerder gevraagd: Ongewenst extra standaard account Windows 7. Komt juist van ESET .