[ALG] het hoe schrijf je een virus topic - Softwareontwikkeling

dinsdag 5 maart 2002 10:49

Acties:

0 Henk 'm!

Verwijderd

Kijk hier eens:
http://www.webgurru.com/viruses/viruses.htm

Dit is volgens mij een leuk startpunt. Vragen moet je me niet stellen, want ik heb een pesthekel aan programmeren (en aan virussen).

dinsdag 5 maart 2002 10:49

Acties:

0 Henk 'm!

Fatamorgana

Fietsen is gezond.

Ik had eens een virus in DOS en die heb ik compleet gedebugged en daarna, na er veel van geleerd te hebben heb ik 'm opnieuw gemaakt zonder de 'fouten' die er in zaten.

Het resultaat was:
1. Hij kon COM en EXE files infecten van iedere grootte.
2. Hij checkte of een file al geinfect was.
3. Hij verstopte zichzelf in memory als onderdeel van OS, dus onzichtbaar.
4. Bij mem opvragen gaf ie teruf wat je terug zou verwachten, dus denk je dat alles ok is.
5. Bij write protect floppies, geen error enzo.
6. Hij maakte dus niks stuk, was alleen een infecter en is nooit in het 'wild' los gelaten. Was dus een studie object geworden en ik heb er zeer veel van geleerd.

dinsdag 5 maart 2002 10:51

Acties:

0 Henk 'm!

Marc

ja okee maar hoe deed je dat dan, dat "infecten"?

dinsdag 5 maart 2002 10:52

Acties:

0 Henk 'm!

Nielsz

Basiskennis mode on:

Een virus opent een bestand, en schrijft in het begin een stuk code, of een link naar het einde, en zet de code daar.

Hoe kan je nu opzoeken of een bestand besmet is?
Als de gehele viruscode vooraan staat, is het simpel. Je opent een bestandje, en de flag zit ALTIJD op dezelfde plek. (aka een bepaalde keyword matched) In het andere geval, moet je het bestand openen, en moet je naar een combinatie kijken: staat in het begin een link & matchen de eerste 10 regels van het einde van de code. Zoja: hij is al besmet.

basiskennis mode off

dinsdag 5 maart 2002 10:53

Acties:

0 Henk 'm!

Verwijderd

De mooiste virussen vond ik die van de Commodore Amiga. Deze virussen nestelden zich in de bootsector. Zodra je een flop in de drive stak werd automatisch de disk gevalideerd en dus je virus ingelezen - en uitgevoerd.
Deze virussen waren zo slim dat ze zich verspreiden. Door zichzelf weer in de bootsector te nestelen.

Ook heel aardig zijn de virussen welke zich inlijven in .exe en .com bestanden zodat bij het starten van deze applicaties eerst het virus wordt gestart zodat deze zich weer kan verspreiden in andere .exe's.

Waarschijnlijk zijn deze krengen in C(++)/assembler geschreven en plakken zichzelf eenvoudigweg VOOR een executable. Na het uitvoeren van het virus geeft het virus opdracht om het aanhangsel (de originele EXE) te starten zodat de gebruiker aanvankelijk niet in de gaten heeft dat deze een virus heeft.

dinsdag 5 maart 2002 10:53

Acties:

0 Henk 'm!

Dash2in1

Op dinsdag 05 maart 2002 10:49 schreef Ghoster het volgende:
Kijk hier eens:
http://www.webgurru.com/viruses/viruses.htm

Dit is volgens mij een leuk startpunt. Vragen moet je me niet stellen, want ik heb een pesthekel aan programmeren (en aan virussen).

Virii are wondrous creations written for the sole purpose of spreading and destroying the systems of unsuspecting fools. This eliminates the systems of simpletons who can't tell that there is a problem when a 100 byte file suddenly blossoms into a 1,000 byte file. Duh. These low-lifes do not deserve to exist, so it is our sacred duty to wipe their hard drives off the face of the Earth.

Vriendelijke jongens daar

dinsdag 5 maart 2002 10:56

Acties:

0 Henk 'm!

Fatamorgana

Fietsen is gezond.

Op dinsdag 05 maart 2002 10:51 schreef Sanchez het volgende:
ja okee maar hoe deed je dat dan, dat "infecten"?

Bij COM files was dat simpel, die beginnen altijd bij $0100 als ik het me goed herinner. Dat was dus kwestie van een paar bytes op adres $0100 saven achter in de file en er dan een jump naar je eigen code die je achter de file plakte.

Als die file dan execute dan laadt jouw stukkie code resident en zet ie de oude code weer op $0100 en jump je daar naartoe zodat het programma normaal werkt en er dus geen argwaan is.

Nu is je code resident en kun je alle file open acties onderscheppen en dan als dit een COM of EXE file is, deze file al dan niet infecten and so on and so on.

EXE files infecten is iets anders, ook je code er achter plaken en dan met wat pointers in de header gaan goochelen. Het is veel gereken met pointers allemaal, maar wel leuk en leerzaam.

dinsdag 5 maart 2002 10:58

Acties:

0 Henk 'm!

Rexomnium

Vincam aut moriar

Sorry, maar kan dit topic eigenlijk wel? Eigenlijk zet je users aan tot het doen van illegale dingen volgens mij

Zijn virussen überhaupt illegaal? Als dat zo is, mag je het ook niet hebben over hoe je ze maakt volgens mij.

Dan mag je namelijk ook het maken van cracks en hacks hier beschrijven.

Imho hè

We zijn allemaal vaandeldrager in een optocht van gekwetsten.

dinsdag 5 maart 2002 11:00

Acties:

0 Henk 'm!

Fatamorgana

Fietsen is gezond.

Op dinsdag 05 maart 2002 10:58 schreef RexomniuM het volgende:
Zijn virussen überhaupt illegaal? Als dat zo is, mag je het ook niet hebben over hoe je ze maakt volgens mij.

Dan mag je namelijk ook het maken van cracks en hacks hier beschrijven.

Volgens mij is de kennis tot maken van deze dingen helemaal niet illegaal. Het gebruik ervan misschien ook niet eens als je het gewoon voor je zelf houdt enzo. Maar zodra je het gaat misbruiken, dan wordt het wat anders.

O ja, en kennis tot het schrijven is ook erg handig om te snappen hoe ze werken en dat is weer handig voor schrijven van anti virus software.

dinsdag 5 maart 2002 11:03

Acties:

0 Henk 'm!

Marc

ja daar ben ik het mee eens, het is gewoon erg leerzaam om een virus te maken en volgens mij heeft elke beginnende programmeur er wel eens 1 gemaakt...

dinsdag 5 maart 2002 11:07

Acties:

0 Henk 'm!

Verwijderd

Kunnen de moraal ridders svp in LA een draadje starten en ons met rust laten?

Op dinsdag 05 maart 2002 10:51 schreef Sanchez het volgende:
ja okee maar hoe deed je dat dan, dat "infecten"?

't was eigenlijk helemaal niet zo lastig, iedere exe heeft 'n header waar in staat waar de 1e instructie van het programma staat, dus wat je eigenlijk deed is je eigen code aan de exe plakken, die pointer omzetten dat je eigen code als 1e uitgevoerd werd en aan het eind van de code de orginele code starten zodat het lijkt alsof er niets aan de hand is..

Goed maar dat waren de good old dos days, en met windows zijn ze overgestapt op een iets aangepast executable formaat, ik heb de specs vast op gezocht, happy reading

http://www.microsoft.com/hwdev/download/hardware/PECOFF.pdf

dinsdag 5 maart 2002 11:09

Acties:

0 Henk 'm!

Fatamorgana

Fietsen is gezond.

Op dinsdag 05 maart 2002 11:03 schreef Sanchez het volgende:
ja daar ben ik het mee eens, het is gewoon erg leerzaam om een virus te maken en volgens mij heeft elke beginnende programmeur er wel eens 1 gemaakt...

Precies, DAT je er 1 maakt wil nog niet zeggen dat je er ook anderen mee dwars gaat zitten enzo. Gewoon lekker bezig, veel debuggen en ook wat crashes enzo. Heel leerzaam, je leert er net de dingen mee die je normaal vaak niet leert, maar wat wel erg handig is om te weten.

dinsdag 5 maart 2002 11:10

Acties:

0 Henk 'm!

Infinitive

_{[quote]

Dan mag je namelijk ook het maken van cracks en hacks hier beschrijven.

[/quote]

Dat mag toch ook

Alleen het distributeren of opgeven van downloadlocaties mag niet.}

Ook wat kennis van ASM zal hierbij helpen. Voor een anderig startpunt moet je maar eens naar "Art of ASM" (pdfje) zoeken.

putStr $ map (x -> chr $ round $ 21/2 * x^3 - 92 * x^2 + 503/2 * x - 105) [1..4]

dinsdag 5 maart 2002 11:13

Acties:

0 Henk 'm!

efan

Op dinsdag 05 maart 2002 10:42 schreef daniel_hoenderdos het volgende:
Kheb ooit een virusje geschreven...
Heel futiel in QBasic. Plakte een heele zooi A chars in je system.ini file totdat je harde schijf vol zat.
1 keer uitgeprobeerd, toen was mijn vader boos

In ieder geval moet je je afvragen wat je wilt met je virus.
En dan hoe je dat wilt doen.

Maar dat wist je natuurlijk al lang

kan simpeler met batch files hoor:
-maak een file genaamd x.txt
-vul dit bestand met 1 regel vol x'jes(80 zijn dat er toch?)
-maak een x.bat
-zet in x.bat het volgende:
-@echo off
-:START
-type x.txt >> x.txt
-goto start
en wat krijg je dan????? juist een hdfiller. gewoon even laten draaien en zie hoe het zich steeds sneller vermenigvuldigd in grootte

dinsdag 5 maart 2002 11:15

Acties:

0 Henk 'm!

Fatamorgana

Fietsen is gezond.

Op dinsdag 05 maart 2002 11:10 schreef Infinitive het volgende:
Ook wat kennis van ASM zal hierbij helpen. Voor een anderig startpunt moet je maar eens naar "Art of ASM" (pdfje) zoeken.

Iedere programmeur begint toch met ASM???

Nu misschien niet meer, maar ik ben echt begonnen met ASM en dat was best wel erg cool, en vooral snel en klein. Later werd het ook C samen met ASM, ging ook erg cool.

Al m'n trainers en loaders en intro's voor games deed ik in ASM, ook m'n lieve virusje.

dinsdag 5 maart 2002 11:53

Acties:

0 Henk 'm!

Disciplus-Simplex

altijd wakker....

Een effectief virus voldoet aan de volgende drie eisen (vergelijk the real world):
-lange incubatietijd (bijv: AIDS)
-zeer makkelijk overdraagbaar (bijv: Ebola)
-niet geneesbaar (bijv: AIDS, Ebola (geloof ik))

Gelukkig bestaat er op dit moment niet een virus dat aan alle eisen voldoet, want dan zou het snel gedaan zijn met de wereldbevolking.
Degene die een computervirus kan schrijven dat aan alle eisen voldoet, is cyberheerser.
Eens moet het gebeuren, zowel in het echt als op de PC! Ben alleen benieuwd wanneer

.

Ik dien de wetenschap en put daar vreugde uit.......

dinsdag 5 maart 2002 12:00

Acties:

0 Henk 'm!

Basszje

Reisvaap!]

Op dinsdag 05 maart 2002 11:53 schreef Disciplus-Simplex het volgende:
Een effectief virus voldoet aan de volgende drie eisen

Tja, maar geneesbaar zal het op een pc altijd wel blijven omdat je de Harde schijf natuurlijk weer makkelijk kan formateren en dan de hele zooi met het virus wegkiepert. Dat kan bij een mens natuurlijk niet

.

Een krachtig virus is trouwens ook een virus dat zich gigantisch snel verspreid en waar je weinig verweer tegen hebt. Echter dit zal ook niet altijd makkelijk gaan en bijvoorbeeld een firewall zou dit al snel gaan tegenhouden

.

Viri in de praktijk dus treffen in de regel grote organisaties die niet constant al hun pc's kunnen nakijken en vooral beginnende computergebruikers die op alles klikken wat mogelijk verdacht zou kunnen zijn

Beware of listening to the imposter; you are undone if you once forget that the fruits of the earth belong to us all, and the earth itself to nobody.

dinsdag 5 maart 2002 12:00

Acties:

0 Henk 'm!

wasigh

wasigh.blogspot.com

Topicstarter

tegenwoordig is het zo dat virusscanners matchen op een patroon wat in je code zit. Je zult dus moeten voorkomen dat je virus een vast patroon geeft..(hoe?)

Verder is het nogal raar als een file ineens in grootte wint. Ook hier wordt vaak op gescand. (door dure programma's die veel geheugenruimte nodig hebben

)

Hoe kun je in bijvoorbeeld windows zorgen dat je elk proces dat gestart wordt over kunt nemen?
Of scannen virusses de harde file af naar exe's?

Hoe zorg je ervoor dat je virus zo onzichtbaar mogelijk is en toch werkt?

dinsdag 5 maart 2002 12:05

Acties:

0 Henk 'm!

im_ik

dat ben ik dus

Op dinsdag 05 maart 2002 10:28 schreef wasigh het volgende:
Hoe schrijf je zelf muteerende code?

Hier heb ik toevallig een jaartje geleden eens over nagedacht

Ik kwam op deze pseude voorbeeld nep code uit:

code:

fu_table:
equ messup      fu_messup
equ fileopen    fu_fileopen
equ filewrite   fu_filewrite
equ fileclose   fu_fileclose
equ add2        fu_add2
equ sub2        fu_sub2
equ checkcrc    fu_checkcrc
equ hookbios    fu_hookbios
etc,etc...
    DB  0,0,0,0

fu_fileopen:
    open(file$)
    ret
fu_filewrite:
    write(file$)
    ret
fu_fileclose:
    close(file$)
fu_add2:
    add     R1,R2
    ret
fu_sub2:
    sub     R1,R2
    ret
fu_checkcrc:
    xor     R1,(R2)
    ret  c
    add2
    jp      nz,checkcrc
    ret
fu_hookbios:
    ld      R1,$01FF
    push    R2
    ld      R1,(R2)
    pop     R2
    ret

fu_messup:
    ld      R1,fu_table
fu_messup_loop: 

    laad_pionter_naar_code_in
    cp_code_naar_ander_stuk_memory
    wijzig_pointer
    
    ld      R3,$4   //4bytes verder naar volgende pionter
    fu_add2
    jp      nz,fu_messup_loop
    ret

Wat het doet is je run af en toe de messup() deze husselt alle code en de pionters naar de code toe.
als je code in allemaal helekleine functies schrijft heb je een enorm aantal verschillende combinaties

Aangezien de meeste visus scanners op een "footprint" basis werken,omzijl je dit hiermee.

PS: is gewoon een hersenspinsel nooit uitgetest

Atari Terminator AI - LegoBlockX3 = ᒢᐩᐩ.ᒡᒢᑊᒻᒻᓫᔿ.ᣳᣝᐤᣜᣳ.ᐪᓫᣗᔿᑊᣕᣔᐪᐤᣗ.T008ᖟ

dinsdag 5 maart 2002 12:07

Acties:

0 Henk 'm!

Verwijderd

Op dinsdag 05 maart 2002 12:00 schreef wasigh het volgende:
Hoe kun je in bijvoorbeeld windows zorgen dat je elk proces dat gestart wordt over kunt nemen?
Of scannen virusses de harde file af naar exe's?

In de good old dosdays hookte je gewoon de call die werd gebruikt om een file te openen, dan keek je of het bestand een com/exe was, en of ie al geinfecteerd was, zoniet dan deed je dat even, hoe het tegenwordig in de windows viri gedaan wordt is mij niet geheel bekend, de 1e generatie windows virussen infecteerde gewoon door een directory af te scannen op exe's maarja de virus schrijvers zitten ook niet stil

dinsdag 5 maart 2002 12:08

Acties:

0 Henk 'm!

wasigh

wasigh.blogspot.com

Topicstarter

Op dinsdag 05 maart 2002 12:07 schreef Yarvieh het volgende:

[..]

In de good old dosdays hookte je gewoon de call die werd gebruikt om een file te openen, dan keek je of het bestand een com/exe was, en of ie al geinfecteerd was, zoniet dan deed je dat even, hoe het tegenwordig in de windows viri gedaan wordt is mij niet geheel bekend, de 1e generatie windows virussen infecteerde gewoon door een directory af te scannen op exe's maarja de virus schrijvers zitten ook niet stil

in windows kun je toch ook call's hooken?

dinsdag 5 maart 2002 12:11

Acties:

0 Henk 'm!

LuCarD

Certified BUFH

Op dinsdag 05 maart 2002 11:13 schreef ido het volgende:

[..]

kan simpeler met batch files hoor:
-maak een file genaamd x.txt
-vul dit bestand met 1 regel vol x'jes(80 zijn dat er toch?)
-maak een x.bat
-zet in x.bat het volgende:
-@echo off
-:START
-type x.txt >> x.txt
-goto start
en wat krijg je dan????? juist een hdfiller. gewoon even laten draaien en zie hoe het zich steeds sneller vermenigvuldigd in grootte

Ik heb oooooooit... Lees een aantal jaren geleden, het school netwerk lopen verneuken...

( Leraar zei dat het niet kon, ik wel.)

We hadden allemaal een 100 kb (

) schijfruimte op de server. En die heb ik helemaal volg gezet met 0 byte grootte bestandjes. Op een gegeven moment werd de server heeeeeeeeeeel traag en zij toen poef

daar ging Novell op zijn bek. Kon kennelijk geen 200.000 files aan verdeeld over verschillende directories.

Gemaakt in qbasic

gelukkig geen schade. alleen een hoop gezeik.

Programmer - an organism that turns coffee into software.

dinsdag 5 maart 2002 12:11

Acties:

0 Henk 'm!

Verwijderd

is er geen Virus API voor JAVA Wasigh ??

dinsdag 5 maart 2002 12:12

Acties:

0 Henk 'm!

wasigh

wasigh.blogspot.com

Topicstarter

Op dinsdag 05 maart 2002 12:11 schreef cartman3380 het volgende:
is er geen Virus API voor JAVA Wasigh ??

Java heeft een degelijk security model he

dinsdag 5 maart 2002 12:24

Acties:

0 Henk 'm!

Mir

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

^{Dit zal alleen je virusscanner TESTEN..zo heb ik gekeken of mijn webservertje zonder in te loggen werkte}

dinsdag 5 maart 2002 12:25

Acties:

0 Henk 'm!

raptorix

Een GSM virus dat alle ringtones wist zou een goeie zijn, kan ik tenminste es normaal de krant lezen in de trein.

dinsdag 5 maart 2002 12:26

Acties:

0 Henk 'm!

Mir

Op dinsdag 05 maart 2002 12:25 schreef raptorix het volgende:
Een GSM virus dat alle ringtones wist zou een goeie zijn, kan ik tenminste es normaal de krant lezen in de trein.

of hem op het traject huis-werk/school gewoon even op non-actief steld totdat jij weer het 'tegengif' "belt"

dinsdag 5 maart 2002 12:35

Acties:

0 Henk 'm!

Marc

hehe, ik heb wel es van een soort sms flooder gehoord, als je dan een smsje vulde met alleen maar puntjes liep een bepaald soort gsm vast.

of je kan natuurlijk 50000 smsjes sturen met zo'n internet service

dinsdag 5 maart 2002 12:39

Acties:

0 Henk 'm!

Verwijderd

Misschien geen echt virus, maar dit is de "moeder van alle back-doors", bedacht (en geimplementeerd) door guru Ken Thompson:

Stap 1: Schrijf een compiler die een virus/backdoor implanteert in alle sources die hij compiled.
Stap 2: Recompile de originele compiler op de nieuwe "gehackte" compiler.
Stap 3: Distibueer de gehackte compiler met de originele source.

Resultaat: elk programma dat met deze compiler gecompiled is, is voorzien van een backdoor, maar deze backdoor is nergens in de sourcecode terug te vinden, ook niet in de source van de compiler zelf...

De originele hack werkte door het programma "login" aan te passen wanneer het gerecompiled werd, zie hier

Wat mij betreft nogsteeds de meest geniale manier om massaal complete systemen over te nemen...

dinsdag 5 maart 2002 12:39

Acties:

0 Henk 'm!

Verwijderd

grrrrrrr ze ergeren zich over mijn topics dit slaat alles tsssssss hmmzz maaru waarom wil jij in een m8tpositie zijn om virussen te schtijfen wat heeft het nou voor nut je moet een computer heel houden niet slopen hmzzz

dinsdag 5 maart 2002 12:41

Acties:

0 Henk 'm!

wasigh

wasigh.blogspot.com

Topicstarter

Op dinsdag 05 maart 2002 12:39 schreef Pretorians het volgende:
grrrrrrr ze ergeren zich over mijn topics dit slaat alles tsssssss hmmzz maaru waarom wil jij in een m8tpositie zijn om virussen te schtijfen wat heeft het nou voor nut je moet een computer heel houden niet slopen hmzzz

Schrijf aub normaal, en als je wilt discussieren ga je maar naar LA.

zie: [topic=429867/1/25]

dinsdag 5 maart 2002 12:41

Acties:

0 Henk 'm!

Marc

pfoei dies wel heel diep

maar hij zal zeker wel goed werken, alleen je weet dan niet wie nu allemaal een backdoor hebben...

edit:
dit is dus een reactie op mietje

dinsdag 5 maart 2002 12:45

Acties:

0 Henk 'm!

Disciplus-Simplex

altijd wakker....

Op dinsdag 05 maart 2002 12:00 schreef Basszje het volgende:

[..]

Een krachtig virus is trouwens ook een virus dat zich gigantisch snel verspreid en waar je weinig verweer tegen hebt. Echter dit zal ook niet altijd makkelijk gaan en bijvoorbeeld een firewall zou dit al snel gaan tegenhouden .

Dit bedoelde ik met makkelijk overdraagbaar

Kortom, je moet een zeer goed stealth virus schrijven met zeer besmettelijke eigenschappen en deze moet pas over 1 jaar uitbreken.
Niemand die ze ziet en iedereen is besmet en dan vanuit het grote niets op 1 jan 2003 worden alle PC's geformat die aangaan of aanstaan.
Er rest nog een probleem: Het virus moet absoluut anoniem verspreid worden. GSM (pre paid oid)/laptop enz. enz. moet de truc comletiseren.

Ik dien de wetenschap en put daar vreugde uit.......

dinsdag 5 maart 2002 12:50

Acties:

0 Henk 'm!

Verwijderd

Kunnen we de discussie over de payloads ergens anders voeren? de payload is in technish opzicht het minst intresantste onderdeel van een virus, sterker nog als je je virus niet voorziet van 'n payload is de kans dat ie langer onopgemerkt in 'n systeem te gast kan zijn vele malen groter.

dinsdag 5 maart 2002 12:53

Acties:

0 Henk 'm!

Nielsz

Op dinsdag 05 maart 2002 12:11 schreef LuCarD het volgende:

[..]

Ik heb oooooooit... Lees een aantal jaren geleden, het school netwerk lopen verneuken... ( Leraar zei dat het niet kon, ik wel.)

We hadden allemaal een 100 kb ( ) schijfruimte op de server. En die heb ik helemaal volg gezet met 0 byte grootte bestandjes. Op een gegeven moment werd de server heeeeeeeeeeel traag en zij toen poef daar ging Novell op zijn bek. Kon kennelijk geen 200.000 files aan verdeeld over verschillende directories.

Gemaakt in qbasic

gelukkig geen schade. alleen een hoop gezeik.

Dat was bij ons op school ook gebeurt (TCE), daar was iemand z'n account gehacked, en daarna op dat account 'wat' bestandjes gemaakt...
Hij werd bijna geschorst wegens het niet veilig houden van zijn account. Hoe werd zijn account gehacked? Ons linuxsysteem werd gehacked, en hij had toevallig hetzelfde password..

dinsdag 5 maart 2002 12:55

Acties:

0 Henk 'm!

wasigh

wasigh.blogspot.com

Topicstarter

Je virus moet binnen kunnen komen in een Systeem, en daarvoor bekende veiligheidsgaten misbruiken.

Het bekendste veiligheidsgat blijft de gerbuiker

Als je virus code eenmaal op de pc staat moet je zorgen dat het uitgevoerd wordt en andere bestanden kan besmetten
En dat zonder op te vallen (geen wijziging in bestandsgrootte, geen vaste footprint, geen processen op de achtergrond)

En dan de payload... (mooie melding op 12 - augustus: wasigh is jarig

)

dinsdag 5 maart 2002 12:58

Acties:

0 Henk 'm!

LuCarD

Certified BUFH

Op dinsdag 05 maart 2002 12:53 schreef Nielsz het volgende:

[..]

Dat was bij ons op school ook gebeurt (TCE), daar was iemand z'n account gehacked, en daarna op dat account 'wat' bestandjes gemaakt...
Hij werd bijna geschorst wegens het niet veilig houden van zijn account. Hoe werd zijn account gehacked? Ons linuxsysteem werd gehacked, en hij had toevallig hetzelfde password..

Das helemaal lullig voor die gast.....

Bij mij was ik zelf verantwoordelijk en ik had beter moeten weten....

Maar hoe bedoel je hij had het zelfde wachtwoord?

Programmer - an organism that turns coffee into software.

dinsdag 5 maart 2002 13:04

Acties:

0 Henk 'm!

Nielsz

Op dinsdag 05 maart 2002 12:58 schreef LuCarD het volgende:

[..]

Das helemaal lullig voor die gast.....

Bij mij was ik zelf verantwoordelijk en ik had beter moeten weten....

Maar hoe bedoel je hij had het zelfde wachtwoord?

eentje voor NT, een ook nog een linuxback voor het vak linux

dinsdag 5 maart 2002 13:09

Acties:

0 Henk 'm!

Marc

het vak linux? jezus hoe heet jullie school, "hemel"?

dinsdag 5 maart 2002 13:09

Acties:

0 Henk 'm!

LuCarD

Certified BUFH

Mensen moeten eens leren dat je niet overal hetzelfde wachtwoord mag gebruiken!

Programmer - an organism that turns coffee into software.

dinsdag 5 maart 2002 13:11

Acties:

0 Henk 'm!

Neophyte

it's back....

Extra voorwaarden voor een echt goed virus :

Als het gebruik maakt van nog niet ontdekte security holes.
(denk aan dingen als automatisch geopend worden door een fout in outlook ofzo, zodat iemand niet eens meer zo stom hoeft te zijn om het virus te openen.)

Als het virus de MD5 signature van de infected applicaties niet veranderd (ik weet niet of dit mogelijk is)

Senri no michi mo ippo kara

dinsdag 5 maart 2002 13:14

Acties:

0 Henk 'm!

wasigh

wasigh.blogspot.com

Topicstarter

Op dinsdag 05 maart 2002 13:11 schreef Neophyte het volgende:
Extra voorwaarden voor een echt goed virus :

Als het gebruik maakt van nog niet ontdekte security holes.
(denk aan dingen als automatisch geopend worden door een fout in outlook ofzo, zodat iemand niet eens meer zo stom hoeft te zijn om het virus te openen.)

Als het virus de MD5 signature van de infected applicaties niet veranderd (ik weet niet of dit mogelijk is)

Er zijn virussen die dat kunnen, lege bytes in een applicatie zoeken en daar de virusfiles inzetten...

Maar als je nu niet wilt dat je virus een vast footprint heeft, hoe kun je dan zorgen dat het virus wel ziet dat hij een bepaalde file al geinfecteerd heeft?

dinsdag 5 maart 2002 13:18

Acties:

0 Henk 'm!

Tom-my

w03iz0rz

De drie meest gebruikte wachtwoorden (ik quote even uit een zeer interessant film met angelina jolie)

1. God
2. Sex
3. Love

Hehehehe, blijft een steengoede film

.

Tja de oude dos virussen waren echt dingen waar je flink wat van asm af moest weten. Tegenwoordig pak je gewoon de API van windows, je scanned het adresboek af met wat ole objectjes, en voila mailtjes sturen.

Leuk is het zeker wel, maar moeilijk, nope. Owjah overigens kijken outlook XP en outlook 2000 sp2 tegenwoordig of mensen door je adresboek zitten te neuzen en/of mailtjes sturen. Om daar omheen te werken, er bestaat code (ik weet het alleen vanuit delphi) om outlook express bestanden te openen maar dan dmv de hex te bewerken. Wat doe je dus? Je laat dus die bestanden openen en je kiekt door de from/to adressen, voila.

Mgoed email virussen zouden nu maar eens moeten afgelopen zijn, het is weer tijd voor wat flinke rag shit. En dan idd geen netbus/sub7 kloontjes.

Ik zou best wel iets willen maken wat niets anders doet dan de gebruiker een beetje te pesten. Niets desastreus, maar gewoon meldingen dat zijn systeem een beetje 'lek' is

.

Dus nja hoe haal je dat geintje uit wat in dos ging, dmv die pointers en payload achter aan de standaard code? Iemand een ideetje?

(lees voorbeeld code hehe)

"Then there was the man who drowned crossing a stream with an average depth of six inches."

dinsdag 5 maart 2002 13:24

Acties:

0 Henk 'm!

Neophyte

it's back....

Op dinsdag 05 maart 2002 13:14 schreef wasigh het volgende:

[..]

Maar als je nu niet wilt dat je virus een vast footprint heeft, hoe kun je dan zorgen dat het virus wel ziet dat hij een bepaalde file al geinfecteerd heeft?

Misschien zou het een idee zijn als je een virus maakt die van code veranderd.
Dus eerst een infecting virus dat bepaalde applicaties infect. Dan zichzelf verwijderd en dat de infected applicaties dan weer een infecting virus kunnen versturen naar andere pc's

Senri no michi mo ippo kara

dinsdag 5 maart 2002 13:26

Acties:

0 Henk 'm!

D2k

voor de geintresseerden: http://www.ummah.net/mhc/virus_tut.html daar staan ook nog wat tutorials
(let op hou het legaal dit topic

deze url is al een beetje op de grens(zeg maar helemaal))

Doet iets met Cloud (MS/IBM)

dinsdag 5 maart 2002 13:27

Acties:

0 Henk 'm!

Tom-my

w03iz0rz

Op dinsdag 05 maart 2002 13:23 schreef Yarvieh het volgende:

[..]

Das nou weer jammer, ik post de specs van het PE formaat, en en niet genoeg zelf initatief om ze te gaan lezen en je eigen infector te maken...

Ho ho ik zit die ondertussen ook te lezen. Alleen ben ik niet de king van hex filetjes editten

, laat staan dat ik ene zak van asm ken.

"Then there was the man who drowned crossing a stream with an average depth of six inches."

dinsdag 5 maart 2002 13:32

Acties:

0 Henk 'm!

Marc

Op dinsdag 05 maart 2002 13:27 schreef FanToom het volgende:

[..]

...., laat staan dat ik ene zak van asm ken.

zouk toch maar es gaan leren als je een virus wilt maken

dinsdag 5 maart 2002 13:33

Acties:

0 Henk 'm!

JumpStart

thinking of stardust

Op dinsdag 05 maart 2002 13:18 schreef FanToom het volgende:
[...]

Ik zou best wel iets willen maken wat niets anders doet dan de gebruiker een beetje te pesten. Niets desastreus, maar gewoon meldingen dat zijn systeem een beetje 'lek' is .

Dus nja hoe haal je dat geintje uit wat in dos ging, dmv die pointers en payload achter aan de standaard code? Iemand een ideetje? (lees voorbeeld code hehe)

Het beruchte IIS nimda virus was toch door iemand aangepast? Hierdoor begon de gemuteerde variant ook naar kwetsbare systemen te zoeken, waarna het zichzelf vervolgens éérst, daarna automatisch de patch ophaalde en installerde, en daarna zichzelf van de schijf verwijderde, maar in het geheugen resident bleef om als 'infected server' zichtbaar te zijn tot aan reboot (om zo nieuwe infectie met het originele kwaadwillende virus te voorkomen).

Na de reboot, zodra die eindelijk kwam, was het anti-virus virus weg èn de IIS server gepatched.

ALL-CAPS WITH NO PUNCTUATION IS SO MUCH TRUER TO THE WAY THOUGHTS HURTLE OUT OF THE HUMAN BRAIN THAN CAREFULLY MANICURED AND PUNCTUATED SENTENCES COULD EVER BE

dinsdag 5 maart 2002 13:35

Acties:

0 Henk 'm!

Verwijderd

Op dinsdag 05 maart 2002 10:28 schreef wasigh het volgende:
Een aantal jaar geleden, toen ik nog niet met mijn opleiding tot programmeur begonnen was keek ik erg op tegen virusschrijvers en hackers.

Het is mij een raadsel waarom je deze twee tegenpolen in een en dezelfde zin noemt

dinsdag 5 maart 2002 13:35

Acties:

0 Henk 'm!

MSalters

Op dinsdag 05 maart 2002 13:14 schreef wasigh het volgende:

Er zijn virussen die dat kunnen, lege bytes in een applicatie zoeken en daar de virusfiles inzetten...

Maar als je nu niet wilt dat je virus een vast footprint heeft, hoe kun je dan zorgen dat het virus wel ziet dat hij een bepaalde file al geinfecteerd heeft?

Je zit met het probleem dat * JIJ * wel zien dat de file veranderd is, maar niemand anders. Dat moet dus door het OS te hooken, zodat ieder ander die de file leest het origineel krijgt.
Er zijn nl. geen lege bytes ( welke waarde 0<=x<=255 zou zo'n byte hebben ? )

Waar je op kunt gokken is dat sommige scanners sommige bytes negeren ( na officieel einde van file, in secondary streams, etc. ) en je virus daarin stoppen.

Man hopes. Genius creates. Ralph Waldo Emerson
Never worry about theory as long as the machinery does what it's supposed to do. R. A. Heinlein

dinsdag 5 maart 2002 13:36

Acties:

0 Henk 'm!

D2k

Op dinsdag 05 maart 2002 13:35 schreef beelzebubu het volgende:
Het is mij een raadsel waarom je deze twee tegenpolen in een en dezelfde zin noemt

beide bezitten een vrij grote kennis van asm en programmeren imho

Doet iets met Cloud (MS/IBM)

dinsdag 5 maart 2002 16:30

Acties:

0 Henk 'm!

JayTaph

Portability is for canoes.

Ik heb vroeger wat virussjes geschreven voor huishoudelijke taken. Eentje die al mijn BAK-filetjes verwijderde bijvoorbeeld. Erg ideaal

. Kenmerk van mijn virussen was dat ze altijd keken naar het serial nummer van mijn harddisks (die veranderde ik altijd handmatig). Was deze niet meer gelijk, dan haalde hij zichzelf altijd netjes weg. Werkte "meestal" goed

Maar goed... ik heb ook akeligere geschreven

. Ik heb ze nooit losgelaten (serial protection weer), maar het ging er mij meer om de toegepaste technieken die er bij komen kijken.

>Tegenwoordig is het zo dat virusscanners matchen op een
>patroon wat in je code zit. Je zult dus moeten voorkomen dat
>je virus een vast patroon geeft..(hoe?)
Polymorphing.

De meest gebruikte manier is om je code te encrypten en gebruik te maken van elke keer een andere encryptie (dan weer een xor meer of minder, dan weer wat constantes aanpassen etc). Hierdoor is de encrypte code elke keer anders en kan je patronen vergeten. Het enige wat nog overblijft, is de decompressie-routine. Deze moet ook elke keer aangepast worden (want je encryptie veranderd), maar ook kun je simpel NOPjes toevoegen, of wat random code gekopieerd uit een ander deel van de geinfecteerde COM/EXE die je daarna gewoon keihard overslaat.. Als je een beetje creatief hiermee omgaat, dan is er echt geen scanner meer die kan zien of het een virus is of niet.

>Verder is het nogal raar als een file ineens in grootte wint.
>Ook hier wordt vaak op gescand. (door dure programma's die
>veel geheugenruimte nodig hebben
Stealth. Als jij aan (windows/dos/whatever) vraagt naar de groote van een file, dan praat je in weze tegen een "proxy". Deze kijkt of de file die je nodig hebt, geinfecteerd is. Zo ja, telt hij er (virusgrootte) bytes er vanaf, anders laat hij de normale groote zien. Haak zo'n routine aan elke service-request (int 21h een hoop services, int 13h kan je nog wat creatieve dingen doen), dan heb je daar ook niet zo veel meer aan.

Stealths zie je vooral bij bootsectors. Da's namelijk het makkelijkste voor de meeste virussen

Markeer een willekeure sector als bad, plaats daar de originiele bootsector in, en zodra int 13h rechtstreeks van schijf wil lezen (sector 1), dan modify je je registers (cx,dx voornamelijk) zodanig dat deze wijst naar de originele bootsector in de bad sector. Zet daarna je registers zodanig terug zodat het lijkt dat deze net sector 1 hebben gelezen, en geen hond die ziet of de bootsector gewijzigd is

(keihard zelf van schijf lezen blijft de beste oplossing, maar ook hier zijn virussjes die daar zich niets van aantrekken).

>Hoe kun je in bijvoorbeeld windows zorgen dat je elk
>proces dat gestart wordt over kunt nemen?
Door voor de code van windows te gaan zitten die een process (of programma) start lijkt me een goeie oplossing. Infecteer de boel en start daarna de oorspronkelijke code op en niemand die wat merkt op dat moment.

>Of scannen virusses de harde file af naar exe's?
Meestal infecteren ze maar een paar filetjes in de huidige directory, en misschien 1 of 2 in een andere directory. Anders zou het runnen van een programma zo lang duren en argwaan wekken.

Yo dawg, I heard you like posts so I posted below your post so you can post again.

dinsdag 5 maart 2002 18:03

Acties:

0 Henk 'm!

Verwijderd

Op security focus heb ik een tijdje terug een column gelezen waarin een link stond naar berkeley.edu site.
Dit nav van code red. Ze hadden simulatie modellen gemaakt en vroegen zich af hoe je tussen een kwartier en een uur alle kwetsbare severs ter wereld kon besmetten.

Het antwoord :
Je hebt een nog niet bekende vunerability ontdekt.
Je vindt 10.000 servers die kwetsbaar zijn, die stop je in een lijst.
Je suurt je worm naar eentje toe en die besmet de volgende en krijgt de helft van de lijst mee. Dat gaat zo door totdat geen enkel exemplaar nog een lijst heeft.

Het gaat om het snel krijgen van een installed base om echt snelheid te maken.
Verder kenden de wormen ahw hun buren.
Ik kan dat artikel niet zo snel vinden.

Wat me trouwens opvalt als je de sites van virus groepen bezoekt en hun zines bekijkt dat de echt goede tegen het maken van kwaadaardige payload zijn.
Spanska is een topcoder die oa de zwartwitte spiraal gemaakt heeft voor de hybris worm.
Op de site van 4Q staat een link naar een artikel warin Spanska de jeugd toespreekt en zegt dat ze wat minder vaak stoer moeten gaan doen op de chat en wat meer tijd besteden aan coden. :
http://fourq.host.sk (NB er staan daar geen links naar VX sites)
Je zou op de homepage van 29A eens de laastse zine moeten lezen, goals en een artikel van Qwerty. Ook de verhalen van Benny zijn schitterend bv over een meerdaagse meeting van 29A leden en Gigabyte in Brno.
Neem de hybris worm, eigenlijk is alles wat ie doet repareerbaar en dankzij de spiraal van Spanska weet iedereen na een tijdje dat ze besmet zijn met hybris.
Verder is die worm zelf uitbreidbaar en zelf updating, knap gebruik van component design. Werkelijk een briljante architektuur en dat bedacht door iemand (Vecna) die geen enkele hll taal kent. Hij kan alleen maar ASM en dat dan heel erg goed.

dinsdag 5 maart 2002 18:04

Acties:

0 Henk 'm!

oogapp0ltje

ok, ik heb aardige ervaring met C, verder niet echt met ASM of C++, maar stel ik wil achter iedere exe file mijn stukje code plaatsten dat uitgevoerd wordt tijdens het startten van de EXE file.
Hoe programmeer je zoiets?, en Hoe plaats je die code daar?
Als ik een EXE file open is het enige wat ik zie Gecompilde code met een header van Windows informatie, bijv. "This program cannot be run in MS-DOS mode."

Lijkt me zeer interessant hoe dit werkt, en je leert meteen meer over de EXE architectuur in Windows.

| To acknowledge what is known as known and what is not known as known is knowledge. |

dinsdag 5 maart 2002 18:51

Acties:

0 Henk 'm!

Netman768

Wat mij ook verbaast is, dat als je die tutorials leest ze het _allemaal_ over assembly hebben. En dat terwijl elke keer dat iemand, die wat over het onderwerp weet, hoort dat ik in Visual Basic aan het proggen ben onmiddelijk aan virussen denkt.

Het interresantste vindt ik hoe die virussen zich verspreiden. Ik heb inmiddels geprobeerd een zelf-mailend proggie te maken, maar das niet goed gelukt, windows geeft een waarschuwing.

dinsdag 5 maart 2002 20:04

Acties:

0 Henk 'm!

Verwijderd

batch-files werken niet met getallen, maar met strings, 1+1=11, en dus niet 2.

dinsdag 5 maart 2002 20:15

Acties:

0 Henk 'm!

Mithrandir

Op dinsdag 05 maart 2002 20:04 schreef deur het volgende:
batch-files werken niet met getallen, maar met strings, 1+1=11, en dus niet 2.

Kan je in een batch niet instellen dat 'ie 1+1 als integer moet zien, en niet als string?

Verbouwing

dinsdag 5 maart 2002 20:21

Acties:

0 Henk 'm!

Zerveza

DoS porfavor

Op dinsdag 05 maart 2002 20:15 schreef DinoRaptor het volgende:

[..]

Kan je in een batch niet instellen dat 'ie 1+1 als integer moet zien, en niet als string?

Hoe kan ik dat dan doen?? moet ik dan aanhet "set" commando iets toevoegen??

Waar kan ik hier iets over terugvinden.. nu ben ik nieuwsgierig geworden?

dinsdag 5 maart 2002 20:31

Acties:

0 Henk 'm!

Verwijderd

set /? voor help

dinsdag 5 maart 2002 20:31

Acties:

0 Henk 'm!

Nielsz

Dit lijkt me dan weer net over het randje..

dinsdag 5 maart 2002 21:01

Acties:

0 Henk 'm!

Verwijderd

En bovendien gaat het niet over virussen.
Een virus telt pas als ie andere files zodanig infecteerd dat het starten van de geïnfecteerde file leidt tot een nieuwe infectie.
Dat is de definitie van de VB virus test, een live virus telt pas als ie twee keer kan infecteren.

dinsdag 5 maart 2002 21:08

Acties:

0 Henk 'm!

Verwijderd

laten we het AUB bij de volgende vragen uit het topic houden ipv code's uit te gaan wisellen voor van die lame discflooders:

Hoe zorg je dat je virus onzichtbaar blijft?
hoe markeer je files die je al besmet hebt?
Hoe schrijf je zelf muteerende code?

dinsdag 5 maart 2002 21:14

Acties:

0 Henk 'm!

chem

Reist de wereld rond

Op dinsdag 05 maart 2002 12:39 schreef mietje het volgende:
Misschien geen echt virus, maar dit is de "moeder van alle back-doors", bedacht (en geimplementeerd) door guru Ken Thompson:

dat komt min of meer op hetzelfde idee neer als mijn idee om header en source files te patchen die automatisch geimporteerd worden.

Je kan dan nl. ook je eigen source files ergens anders plaatsen, en door die header weer een andere (lees: jouw echte) header importeren + extra code toevoegen.

Het verspreiden van code is dan vrij simpel: als bv. iemand een PHP binary downloadt die (ongemerkt) geinfecteerd is, bv. phpdev) dan heb je binnen no-time tientallen windows bakken bereikt.

Dergelijke code zou dan toch zeker een jaar slaped moeten zijn, al is het vrij onwaarschijnlijk dat het zolang onopgemerkt blijft, om echt een flinke doelgroep te pakken te hebben.

Klaar voor een nieuwe uitdaging.

dinsdag 5 maart 2002 21:22

Acties:

0 Henk 'm!

ACM

Software Architect

Werkt hier

* ACM heeft wat stukken code weggehaald...
<H3>
Daar is het topic nou weer net _niet_ voor bedoeld.
</h3>

dinsdag 5 maart 2002 23:15

Acties:

0 Henk 'm!

JayTaph

Portability is for canoes.

Op dinsdag 05 maart 2002 21:08 schreef Foxboy het volgende:
Hoe zorg je dat je virus onzichtbaar blijft?

Uitgelegd.

hoe markeer je files die je al besmet hebt?

Dat kan vanalles zijn. In exe-headers heb je meestal wel wat reserve-bytes zitten die daarvoor kunnen dienen. Of bij com-filetjes zet je wat extra info achter je initiele jump, of aan het einde van de file.

Residente virussen schrijven vaak specifieke data naar een bepaald adres, die dan makkelijk uitgelezen kan worden, of doen dat door een aparte int-hook te installeren (ralf brown's interrupt list heeft heeeel veel virus-hooks)

Hoe schrijf je zelf muteerende code?

Uitgelegd.

Yo dawg, I heard you like posts so I posted below your post so you can post again.

dinsdag 5 maart 2002 23:24

Acties:

0 Henk 'm!

nhimf

Lekker belangrijk allemaal

Virussen van tegenwoordig vind ik helemaal geen meesterwerk meer. De ouwe virussen dat waren pas meesterwerken. Die hard coden in assembler. Geen registry van windows oid.
Ooit heb ik zelf is in asm een proggie geschreven dat de interrupt 14h (gloof ik, is lang gelede) afving en telkuns rechtsbovenin het scherm liet zien als er een schijf werd benaderd.
Met dit soort technieken kon je hele kleine maar toch krachtige virussen maken.

Ik stink niet, ik ruik gewoon anders

woensdag 6 maart 2002 09:41

Acties:

0 Henk 'm!

Infinitive

Het verspreiden van code is dan vrij simpel: als bv. iemand een PHP binary downloadt...

Hebben jullie trouwens die vulnerability melding op php.net gezien? Als je daar misbruik van kan maken kan je een code red 4 linux schrijven...

en een dergelijke script-code infectie techniek toepassen.

Heeft er trouwens wel eens iemand een virus geschreven als device driver? Zoiets als /sbin/insmod virus... of via MSWin apparaatbeheer je virus updaten...

putStr $ map (x -> chr $ round $ 21/2 * x^3 - 92 * x^2 + 503/2 * x - 105) [1..4]

woensdag 6 maart 2002 10:23

Acties:

0 Henk 'm!

Verwijderd

Vroeger was virussen schrijven veel leuker. Toen kon je via poort 70hex en 71hex zo je hele CMOS-tabel leeggooien

woensdag 6 maart 2002 11:01

Acties:

0 Henk 'm!

joepP

Op dinsdag 05 maart 2002 23:15 schreef JayTaph het volgende:
Hoe markeer je files die al besmet zijn?

Dat kan vanalles zijn. In exe-headers heb je meestal wel wat reserve-bytes zitten die daarvoor kunnen dienen. Of bij com-filetjes zet je wat extra info achter je initiele jump, of aan het einde van de file.

Residente virussen schrijven vaak specifieke data naar een bepaald adres, die dan makkelijk uitgelezen kan worden, of doen dat door een aparte int-hook te installeren (ralf brown's interrupt list heeft heeeel veel virus-hooks)

Dan zijn je virussen niet meer zo stealth. Als het virus een besmetting kan detecteren, kan een scanner het ook...

woensdag 6 maart 2002 11:30

Acties:

0 Henk 'm!

Verwijderd

Hoi,

Een jongen waar ik mee omging heeft destijds voor zijn opleiding. een bestaand virus genomen en deze helemaal aangepast!

Het ging om het beruchte IloveYou virus.
Dit virus had hij destijds herschreven en er een .dll worm.

Aanvullend een analyse van de verwachte schade!

Hiervoor kreeg hij danook een heel goed cijfer.
En gelukkig is zijn versie nooit uitgebracht!

Het is maar een idee, volgens mij heb ik de VB-source van IloveYou nog wel ergens. Ik was gelukkig op tijd met onderscheppen!

Succes!

woensdag 6 maart 2002 12:21

Acties:

0 Henk 'm!

Janoz

Moderator Devschuur®

!litemod

Het is NIET de bedoeling om hier c/p code voor virussen neer te zetten Ronald_stage..

Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'

woensdag 6 maart 2002 12:24

Acties:

0 Henk 'm!

Verwijderd

Het lijkt me ook dat je een leuke jurist nodig hebt bij het opzettelijk vervaardigen & verspreiden van virii.

Zie de artt. 350a & 350b van het wetboek van strafrecht.
Art. 350b is de 'schuld' variant van 350a.

Voor de gein zal ik 350a quoten, dan weten jullie een beetje waar je aan toe bent

Let vooral op lid 3.

Art. 350a.
1. Hij die opzettelijk en wederrechtelijk gegevens die door middel van een geautomatiseerd werk zijn opgeslagen, worden verwerkt of overgedragen, verandert, wist, onbruikbaar of ontoegankelijk maakt, dan wel andere gegevens daaraan toevoegt, wordt gestraft met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie.

2. Hij die het feit, bedoeld in het eerste lid, pleegt na door tussenkomst van de telecommunicatie-infrastructuur of van een telecommunicatie-inrichting die wordt aangewend voor dienstverlening aan het publiek, wederrechtelijk in een geautomatiseerd werk te zijn binnengedrongen en daar ernstige schade met betrekking tot die gegevens veroorzaakt, wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie.

3. Hij die opzettelijk en wederrechtelijk gegevens ter beschikking stelt of verspreidt die bedoeld zijn om schade aan te richten door zichzelf te vermenigvuldigen in een geautomatiseerd werk, wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.

4. Niet strafbaar is degene die het feit, bedoeld in het derde lid, pleegt met het oogmerk om schade als gevolg van deze gegevens te beperken.

woensdag 6 maart 2002 12:25

Acties:

0 Henk 'm!

Ronald_stage

wat kan je hier nog zeggen

het was geen volledige,
het was maar een opzet.
de stukjes code waren ter verduidelijking.

maar K, ik bedoel jullie forum, jullie regels
ik pas me wel aan.

woensdag 6 maart 2002 12:28

Acties:

0 Henk 'm!

Janoz

Moderator Devschuur®

!litemod

Op woensdag 06 maart 2002 12:25 schreef Ronald_stage het volgende:
het was geen volledige,
het was maar een opzet.
de stukjes code waren ter verduidelijking.

maar K, ik bedoel jullie forum, jullie regels
ik pas me wel aan.

In dit topic heb ik liever dat je gewoon 'psuedo code' praat. In jouw geval zou het dan een bericht zijn van

"Met outlook kun je het hele adresboek opvragen en simpel door het script gegenererde berichten naar die adressen sturen. Waneer je dit bestand automatisch laat starten bij het opstarten en het virus zelf onzichtbaar maakt heb je al een behoorlijk gevaarlijk virus"

Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'

woensdag 6 maart 2002 13:34

Acties:

0 Henk 'm!

BrZ

Op woensdag 06 maart 2002 11:30 schreef loaded het volgende:
Hoi,

Een jongen waar ik mee omging heeft destijds voor zijn opleiding. een bestaand virus genomen en deze helemaal aangepast!

Het ging om het beruchte IloveYou virus.
Dit virus had hij destijds herschreven en er een .dll worm.

Aanvullend een analyse van de verwachte schade!

Hiervoor kreeg hij danook een heel goed cijfer.
En gelukkig is zijn versie nooit uitgebracht!

Het is maar een idee, volgens mij heb ik de VB-source van IloveYou nog wel ergens. Ik was gelukkig op tijd met onderscheppen!

Succes!

Die source heb ik hier wel ja...

Maar ik vind het geen echt virus eerlijk gezegd... het is gewoon een programma wat rondgemailt word en dan gestart word... imho niet echt indrukwekkend...

woensdag 6 maart 2002 13:44

Acties:

0 Henk 'm!

Ronald_stage

wat kan je hier nog zeggen

Virus
Een virus is een programma dat ongemerkt uw pc binnendringt (vermomd als e-mail attachment, bijvoorbeeld) en gastprogrammas gebruikt om zich te kopiëren. Wat richt zon virus, eenmaal actief, aan in uw pc? Dat hangt af van de payload van het virus: een reeks ingebouwde instructies. Je zou kunnen zeggen dat ieder actief virus een opdracht uitvoert van degene die zijn programma schreef. Als die opdracht kwaadaardig is, kan een virus in uw pc veel schade aanrichten. Mogelijke gevolgen: uw besturingssysteem functioneert niet meer naar behoren, applicaties crashen, et cetera. Dergelijke virussen zijn helaas allesbehalve uitzonderlijk. De meeste virussen kunnen uw programmas en documenten zo aantasten dat u ze niet meer met een gerust hart kunt gebruiken. In het ergste geval moet u de bestanden weggooien en alle programmatuur op uw pc opnieuw installeren.Belangrijk is ook het onderscheid tussen virussen die binnen één pc actief blijven en virussen die ongemerkt worden doorgegeven aan andere pcs op een netwerk - het Internet, bijvoorbeeld. Macro-virussen als Melissa behoren tot deze laatste categorie

woensdag 6 maart 2002 19:25

Acties:

0 Henk 'm!

JayTaph

Portability is for canoes.

Op woensdag 06 maart 2002 11:01 schreef joepP het volgende:

[..]

Dan zijn je virussen niet meer zo stealth. Als het virus een besmetting kan detecteren, kan een scanner het ook...

Een 100% stealth virus bestaat daarom ook niet..

Yo dawg, I heard you like posts so I posted below your post so you can post again.

woensdag 6 maart 2002 19:29

Acties:

0 Henk 'm!

LuCarD

Certified BUFH

Op woensdag 06 maart 2002 11:01 schreef joepP het volgende:

[..]

Dan zijn je virussen niet meer zo stealth. Als het virus een besmetting kan detecteren, kan een scanner het ook...

Zet op plaats X in het het bestand een 1 neer.
Besmet alle bestanden die op plaats X geen 1 heeft.

Dan besmet je wel niet alle bestanden maar wel veel. En daarop een detectie maken is wel heel fout gevoelig.

Programmer - an organism that turns coffee into software.

woensdag 6 maart 2002 19:33

Acties:

0 Henk 'm!

Verwijderd

Ik ben toch benieuwd of Wasigh geen last van z'n geweten krijgt als er in de credits van het volgende mega-destruction-virus dat de halve wereld lamlegt staat:

Thank you /14, for inspiring me and giving me such great tips for optimal damage-doing!

woensdag 6 maart 2002 19:56

Acties:

0 Henk 'm!

drm

f0pc0dert

Ronald_stage: maar K, ik bedoel jullie forum, jullie regels
ik pas me wel aan.

* hugs Ronald_stage * <font color="Roze"><font color="#D211C7">Ons</font></font> forum

^</offtopic>

<font color=red>

;)</font>

Music is the pleasure the human mind experiences from counting without being aware that it is counting
~ Gottfried Leibniz

woensdag 6 maart 2002 22:03

Acties:

0 Henk 'm!

chris

Als je een goed virus maakt moet je zorgen dat het eeerst heel veel kan infecteren met telkens wijziginde source, en het moet pas na 1 of 2 jaar toeslaan, zodat het zich eerst massaal kan verspeiden.
Dit topic is megainteressant, alleen kweet niet of de gevolgen altijd even goed zijn....

woensdag 6 maart 2002 23:51

Acties:

0 Henk 'm!

kvdveer

Z.O.Z.

[droom-modus]
Schrijf een programma dat 'random virussen' schrijft.
Maak van dat programma een worm (PHP-bug

) in de vorm can code red, dat vervolgens een andere server met dezelfde bug aanvalt, en zichzelf uploadt/installeert.
De twee wormen kunnen contact met elkaar houden, en zo een wereldwijd netwerk maken, dat aan distributed processing doet in het verbeteren van de worm. De wormen maken gebruik van kennis die gepubliceerd wordt over nieuwe bugs (of zoeken misschien zelf naar bugs). Het virus bouwt dan zichzelf, en is vrijwel onuitroeibaar...
[/droom-modus]

Ik hoop dat deze droom nooit uitkomt.

Localhost, sweet localhost

donderdag 7 maart 2002 02:02

Acties:

0 Henk 'm!

BrZ

Op woensdag 06 maart 2002 13:44 schreef Ronald_stage het volgende:
blablabla

Ja ok, het is wel een virus, ik weet het maar ik bedoel ermee te zeggen dat ik zulke virussen niet indrukwekkend vind

donderdag 7 maart 2002 08:51

Acties:

0 Henk 'm!

Marc

Op woensdag 06 maart 2002 19:29 schreef LuCarD het volgende:

[..]

Zet op plaats X in het het bestand een 1 neer.
Besmet alle bestanden die op plaats X geen 1 heeft.

Dan besmet je wel niet alle bestanden maar wel veel. En daarop een detectie maken is wel heel fout gevoelig.

ja klinkt goed, maar dan moet je wel oppassen dat die programma's wel blijven werken met die 1 in de code.

donderdag 7 maart 2002 09:10

Acties:

0 Henk 'm!

Ronald_stage

wat kan je hier nog zeggen

maar wat vinden jullie nu een virus, technisch gezien is een trojan namelijk geen virus.
ik heb thuis nog een document over virussen,
wat ik voor school heb moeten maken.
het was best interesant.

* Ronald_stage wilt wel eens een discussie zien.

/off topic
bijna moet ik een nieuwe nick name verzinnen.
bijna het einde van mijn stage...
stage 40u per week --> School 10u per week

donderdag 7 maart 2002 10:05

Acties:

0 Henk 'm!

Verwijderd

Ik denk dat de hybris worm wel een goed voorbeeld is van een stealthy virus. Wat er binnen komt is alleen maar de dropper, 23 kB geschreven is ASM die winsock32.dll infecteerd en zo naar berichten verkeer luistert. Daarna gaat hij van internet zijn plugins ophalen en kijkt of er updates zijn. Die worden vervolgens geinstalleerd.
Dus tijdens de feitelijke besmetting is de payload nog niet eens aanwezig.

Wat ik in een codebreakers zine heb gezien, was een methode om een deel van de code te comprimeren en runtime te decomprimeren, runnen en weer comprimeren. De code daarvoor werd aangeboden compleet met gebruiks handleiding.

Kennis delen is onder VXers beter georganiseerd dan in menig IT bedrijf gebruikelijk is.

Waar ik nog niemand over gehoord heb is juist de nieuwe mogelijkheden van modernere OS-en. Bv in NTFS heb je ook nog streams waar je verwijzingen naar een ander programma in kwijt kan.In coderz zine#1 staat een artikel van de ratter waarin hij beschrijft hoe hij samen met benny van 29A zo'n virus geschreven heeft. Verder stond er alleen de code in die ze voor C++ van MSDN gehaald hadden en dat vertaald naar ASM.
Dit virus is trouwens nooit verspreid, alleen naar een AV vendor gestuurd als proof of concept.
Dat is wat er wel meer doen trouwens, het gaat ze dan meer om de analyse van hun werk te zien.

donderdag 25 april 2002 12:20

Acties:

0 Henk 'm!

Verwijderd

He jongens,

ik ben voor een beetje voor school en een beetje voor me zelf

ook op zoek naar dit onderwerp. Het klinkt vreemd maar kunnen jullie maybe ook een screenshot maken van de werkende virussen ???

Thanks

donderdag 25 april 2002 12:24

Acties:

0 Henk 'm!

Nielsz

Hoe wil je ze zien dan?
Afbeeldingslocatie: http://www.virology.net/Big_Virology/EM/virus.gif

donderdag 25 april 2002 12:26

Acties:

0 Henk 'm!

Verwijderd

Op donderdag 25 april 2002 12:24 schreef Nielsz het volgende:

Hoe wil je ze zien dan?
[afbeelding]

Nee meer met een digitale camara ... Ik heb gehoord van een oud virus wat je scherm een beetje heen en weer schut ...

donderdag 25 april 2002 12:29

Acties:

0 Henk 'm!

.oisyn

Moderator Devschuur®

Demotivational Speaker

oe, dan moet je eens zoeken naar het aloude PONG virus

Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.

donderdag 25 april 2002 12:32

Acties:

0 Henk 'm!

JayTaph

Portability is for canoes.

Hij doelt waarschijnlijk op de payloads...

maar dit is er een:

Your PC is now stoned

Schrijf een programma dat 'random virussen' schrijft.
Maak van dat programma een worm (PHP-bug ) in de vorm can code red, dat vervolgens een andere server met dezelfde bug aanvalt, en zichzelf uploadt/installeert.
De twee wormen kunnen contact met elkaar houden, en zo een wereldwijd netwerk maken, dat aan distributed processing doet in het verbeteren van de worm. De wormen maken gebruik van kennis die gepubliceerd wordt over nieuwe bugs (of zoeken misschien zelf naar bugs). Het virus bouwt dan zichzelf, en is vrijwel onuitroeibaar...

Reken maar van yes dat die bestaan. En ook wel programma's die iets hefterige virussjes uitpoepen dan code red of nimda.

* What is the name of your virus? Blaataapvirus2
* Does your virus infects files, bootrecord of both? both
* Does your virus formats the hardisk? Yes
* At which day you want to format (blank for every day)? 07
* At which month you want to format (blank for every month)?
* Does your virus need stealth features? Yes
* Does your virus need polymorpic features? Yes

Blaataapvirus2.asm generated. Assemble, link and spread!

VCK was evil

Yo dawg, I heard you like posts so I posted below your post so you can post again.

donderdag 25 april 2002 12:33

Acties:

0 Henk 'm!

veryip

Nikon D7000 + Glas

Eerst de website van microsoft hacken, een update voor WIN XP of mediaplayer oid "lichtelijk aanpassen" ... iedereen gaat 'm vervolgens downloaden etc. en volgens mij heb je dan wel een aardig verspreidingsgebied ;-)

Nikon D7000

vrijdag 26 april 2002 09:44

Acties:

0 Henk 'm!

Verwijderd

Lijkt me best wel een leuke verspreidings middel ...

Maar uhm ... beetje on topic blijven aub

vrijdag 26 april 2002 10:07

Acties:

0 Henk 'm!

morphje

let's all love lain

Aangezien die best oud is zal ik het nu maar eens posten. Tot ongeveer nu wisten alleen maar een paar mensen de volledige werking van deze hydra (multi headed worm)

Ik zal ook niet de volledige werking uitleggen aangezien het een best evil idee zeg maar

Maar je krijgt een idee.
----
Het een crossplatform worm. primaire besmettingsdoel linux en NT systemen. Hiervan bestaan er een hoop op de wereld.

Het systeem gaat volgens een goed besmettingsplan te werk en niet als code red scannen als een gek. Het geheel moet wat langsaampjes te werk gaan om minder op te vallen.

Virus heeft de volgende eigenschappen stealth (dus ipv bij 0x100 of andere bekende offset, gewoon midden in een exe, word vanzelf uitgevoerd en gaat dan z'n werk. Alleen goede afgestelde scanners zullen dan het geheel detecteren. Polymorphic zodat er geen vast patroon in zit.

Tot nu toe best standaard ontwerp. Maar nu voegt men een encrypted p2p netwerk toe wat al werkt op het internet om "updates" te kunnen uitvoeren. dwz nieuwe exploits en/of payload.

Vervolgens voegt men een p2p netwerk toe en installeerd men de masters op de snelle inet pipes volgens een ranking-systeem. Hierdoor krijgt men een hierarische manier van opbouw in het netwerk.

Nu het evil eraan. Wat als er 10.000 systemen geinfecteerd zijn en die krijgen dmv het update systeem de opdracht om de 4e hop in een traceroute naar www.mns.com te DoSsen. Zie je de catastrofe. Verder blijven de details lekker in mijn bezit op mijn harde schijf

)))

Ik zal ook nooit het idee uittesten in een eigen lab ivm verspreiding, ik kan niet het idee voorzien dat het ding uitbreekt op het internet

Het idee is leuk, de praktijk minder. Ook is het idee niet makkelijk te realiseren en klein zal het absoluut niet worden.

In andere woorden het komt neer op een hydra met nieuwe technieken, maar die ook de ouderwetse virustechnieken toepast als eerbetoon aan de virussen als "yankee doodle"