[virus] Welchia.b/Nachi.b virus delete het MyDoom virus - Privacy en beveiliging

donderdag 12 februari 2004 16:09

Acties:

Verwijderd

Topicstarter

'Robin Hood' virus on the loose
By Iain Thomson [12-02-2004]
Nachi worm adds another string to its bow

A new variant of the Nachi worm is patching PCs that are vulnerable to MyDoom.A.
Nachi B, also known as Welchi, copies itself onto systems using the same flaw as MyDoom.A, as a file named 'Svchost.exe'.

It then attempts to delete MyDoom and downloads patches to fix the security hole.

Carole Theriault, security consultant at Sophos, said: "It's an interesting case - some kind of Robin Hood virus.

"We're seeing some spreading but it's not going too fast. We're hoping everyone with MyDoom would have stripped it out by now. If IT managers haven't updated by now they are way behind the curve."

Viruses to deal with viruses are nothing new. In the mid 1990s a boot sector virus called Chinese Fish attempted something similar by removing a virus called Stoned.

Nachi's first incarnation emerged last year as an attempt to patch the security hole exploited by the Blaster worm.

David Emm, product marketing manager at McAfee Security, explained that such code is a bad idea.

"I see code like this as a little bit of a blind; a ruse to calm people's fears," he said.

"Nachi A did not do a particularly good job at patching systems and this one doesn't look much better. At the end of the day it's still self-replicating code and that's a bad medium."

Infection rates are low so far, but an antivirus signature is under development.

Bron: http://www.vnunet.com/News/1152735

Interessante ontwikkeling, zullen AV bedrijven dit systeem ook in gaan zetten? Behalve het ontwikkelen van Dat files ook een anti-virus ontwikkelen (en dat op zeer grote schaal verspreiden) dat er voor zorgt dat indien iemand het echte virus ontvangt hij daar immuum voor is?

In principe is het natuurlijk het beste als iedere wereldburger netjes zijn PC beveiligd met een up-to-date virusscanner, maar de praktijk leert dat dit niet mogelijk is. Of zou je er juist alleen maar meer hoax berichten van krijgen waardoor de virusmakers we hoax-antivirussen gaan maken? Lastige kwestie, naar welke situatie gaan we toe?

donderdag 12 februari 2004 16:12

Acties:

DeMoN

Pastafari

Bij blaster was dit ook al het geval.

Ik krijg er een beetje de indruk van dat dit best eens door mensen van bijv. Microsoft gemaakt zou kunnen zijn

Gamertag: Cosmicv0id
"Het woord Gods is voor mij niets meer dan een expressie en het product van menselijke zwakheid. De Bijbel is een verzamelwerk van legendes die achtenswaardig zijn maar ook primitief en kinderachtig.'' - Albert Einstein

donderdag 12 februari 2004 16:12

Acties:

Oogje

Ik ben van mening: virus = virus
of er nou goede of slecht bedoelingen achter zitten. Zometeen een virus wat een lek in IE repareert maar stiekem toch een keylogger installeert...dat soort meuk.

Any errors in spelling, tact, or fact are transmission errors.

donderdag 12 februari 2004 16:13

Acties:

CmdrKeen

Krentenboltosti

Is al eens een lange discussie hier over geweest, waarvan de uitkomst ongeveer was dat ALS je dit wilt gaan inzetten, je het op een legale manier moet doen zodat je het kan testen en beveiligen e.d., maar je kan het eigenlijk niet maken en een dergelijk systeem is gevoelig voor exploits.

Bloed, zweet & koffie

donderdag 12 februari 2004 16:15

Acties:

AngelDust

D'r mat mear n**kt wurde!

Is Svchost.exe nou altijd een virus dan?
want op mijn pc hier " stage draait dat proces 4 keer, en bij mij thuis ook zoiets=

[ Voor 4% gewijzigd door AngelDust op 12-02-2004 16:15 ]

(Mede-)Eigenaar van Brouwerij Diggelfjoer
Bier fan Fryske grûn!

donderdag 12 februari 2004 16:16

Acties:

Flard

AngelDust schreef op 12 februari 2004 @ 16:15:
Is Svchost.exe nou altijd een virus dan?
want op mijn pc hier " stage draait dat proces 4 keer, en bij mij thuis ook zoiets=

Neej svchost.exe is óók de Service Host, dus een programma dat verschillende windows-services host.

donderdag 12 februari 2004 16:17

Acties:

Verwijderd

AngelDust schreef op 12 februari 2004 @ 16:15:
Is Svchost.exe nou altijd een virus dan?
want op mijn pc hier " stage draait dat proces 4 keer, en bij mij thuis ook zoiets=

welneeeeee

http://www.liutilities.co...o/processlibrary/svchost/

donderdag 12 februari 2004 16:19

Acties:

Sluuut

Deadeye schreef op 12 februari 2004 @ 16:12:
Ik ben van mening: virus = virus
of er nou goede of slecht bedoelingen achter zitten. Zometeen een virus wat een lek in IE repareert maar stiekem toch een keylogger installeert...dat soort meuk.

Totaal niet met je eens. Als het DDossed naar bijvoorbeeld SCO of MS, dan heb je er hunder van omdat je internet verbinding ermee naar de maan gaat. Als je een "Robin Hood" virus hebt heb je er geen hinder van. Het lek word automatisch voor je gedicht, als je MS automatic updates niet aan had staan.

Ik vind virussen zowiezo meestal niet erg omdat ze de laatste tijd echt niet meer schadelijk voor een systeem zijn, zoals Win95.CIH vroeger bijvoorbeeld wel was

Bepaalde virussen maakte sectors van je HDD zo defect dat ze nergens meer mee te maken waren. Daar heb ik wel een hekel aan, virussen die bestanden aanpassen of hardware aanpassen. Als ze er iets bijschrijven en zichzelf willen uitbreiden, ga je gang zou ik zeggen, zoalsng ik er geen hinder van heb vind ik het best.

SVCHOST.exe is absoluut geen virus, mensen noemen het alleen zo omdat het dan minder tot niet opvalt omdat het een process is wat standaard draait. (Waar blijft de optie om te zien vanuit welke dir een process draait, Microsoft ???). Bij mijn weten draait het 3x.. 1x als system service, 1x network en 1x user. (correct me if i'm wrong)...

[ Voor 15% gewijzigd door Sluuut op 12-02-2004 16:22 ]

57696520646974206c65657374206973206e657264

donderdag 12 februari 2004 16:23

Acties:

_the_crow_

Rare vogel

Sluuut schreef op 12 februari 2004 @ 16:19:
Totaal niet met je eens. Als het DDossed naar bijvoorbeeld SCO of MS, dan heb je er hinder van omdat je internet verbinding ermee naar de maan gaat. Als je een "Robin Hood" virus hebt heb je er geen hinder van. Het lek word automatisch voor je gedicht, als je MS automatic updates niet aan had staan.

En wie zegt jou dat het een virus is, wat alleen goeie dingen doet? Hoe wil jij dat controleren? Zoals Deadeye al zegt, zou het een soort dekmantel kunnen zijn voor iets heel schadelijks.

Laat mij maar gewoon patches downloaden.

Schrödingers cat: In this case there are three determinate states the cat could be in: these being Alive, Dead, and Bloody Furious.

donderdag 12 februari 2004 16:26

Acties:

RaZ

Funky Cold Medina

Als er verder geen adder onder het gras zit. Dus idd een cure, en dat'ie je complete addressbook langs gaat, heb ik er geen problemen mee.
Gebeurd bij mij eigenlijk bijna nooit dat er een virus in sluipt.
McAfee 4.5.1sp1 en checkt elk uur voor updates.

Ey!! Macarena \o/

donderdag 12 februari 2004 16:26

Acties:

Verwijderd

Sluuut schreef op 12 februari 2004 @ 16:19:
[...]

Totaal niet met je eens. Als het DDossed naar bijvoorbeeld SCO of MS, dan heb je er hunder van omdat je internet verbinding ermee naar de maan gaat. Als je een "Robin Hood" virus hebt heb je er geen hinder van. Het lek word automatisch voor je gedicht, als je MS automatic updates niet aan had staan.

De traffic/overlast die hierdoor gegenereerd wordt is nihil wilde je zeggen?
Het is gewoonweg illegaal.

Ik vind virussen zowiezo meestal niet erg omdat ze de laatste tijd echt niet meer schadelijk voor een systeem zijn

Even denken hoor..
Wereldwijde kosten veroorzaakt door Mydoom: $30+ miljard.
Dat geld had naar iets nuttigers gekund.
Ik weet niet of je het weet, maar Mydoom installeert een backdoor.
Dus het is(indirect)wel destructive.

Als ze er iets bijschrijven en zichzelf willen uitbreiden, ga je gang zou ik zeggen, zoalsng ik er geen hinder van heb vind ik het best.

That's the spirit.

donderdag 12 februari 2004 16:27

Acties:

Sluuut

_the_crow_ schreef op 12 februari 2004 @ 16:23:
[...]
En wie zegt jou dat het een virus is, wat alleen goeie dingen doet? Hoe wil jij dat controleren? Zoals Deadeye al zegt, zou het een soort dekmantel kunnen zijn voor iets heel schadelijks.
Laat mij maar gewoon patches downloaden.

Zijn er virussen die goeie dingen doen dan ???

Ze maken altijd gebruik van een security gaps en dat kan ik niet als iets goeds zien. Maar ik kijk persoonlijk verder dan m'n neus lang is

De traffic/overlast die hierdoor gegenereerd wordt is nihil wilde je zeggen?
Het is gewoonweg illegaal.

Juist niet, je internet verbinding trekt het niet bepaald fijn.

Ik vind virussen zowiezo meestal niet erg omdat ze de laatste tijd echt niet meer schadelijk voor een systeem zijn

Foutje, dat moest niet "een systeem" maar "mijn systeem" zijn.

Wereldwijde kosten veroorzaakt door Mydoom: $30+ miljard.

En waar is dat op gebaseerd? Zeker net zo'n conclusie als wanneer er geen illegale software was, de economie nu op 500% van de huidige zou lopen en er geen 3de wereld landen meer zouden bestaan?

Ik ben van mening: virus = virus
of er nou goede of slecht bedoelingen achter zitten. Zometeen een virus wat een lek in IE repareert maar stiekem toch een keylogger installeert...dat soort meuk.

Daar zijn antivirus bedrijven voor he, die onderzoeken wat een virus precies doet

[ Voor 56% gewijzigd door Sluuut op 12-02-2004 16:47 ]

57696520646974206c65657374206973206e657264

donderdag 12 februari 2004 16:29

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

offtopic:
Kleine titeledit

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

donderdag 12 februari 2004 16:49

Acties:

Verwijderd

Juist niet, je internet verbinding trekt het niet bepaald fijn.

Ik was sarcastisch.

En waar is dat op gebaseerd? Zeker net zo'n conclusie als wanneer er geen illegale software was, de economie nu op 500% van de huidige zou lopen en er geen 3de wereld landen meer zouden bestaan?

Heerlijke vergelijking.
Ok, die $38.5 miljard wordt betwijfeld, maar we mogen wel over een aantal miljarden dollars praten.

NVC noemt het dingetje trouwens W32/DoomHunter.A
Lekker lomp, ze zijn een van de laatste met detectie en het nog nalaten om gewoon dezelfde naam als de andere vendors te geven..

donderdag 12 februari 2004 16:51

Acties:

0xDEADBEEF

Verwijderd schreef op 12 februari 2004 @ 16:49:Lekker lomp, ze zijn een van de laatste met detectie en het nog nalaten om gewoon dezelfde naam als de andere vendors te geven..

Virusnamen zouden IETF gestandaardiseerd moeten worden

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

donderdag 12 februari 2004 16:52

Acties:

-Skyhawk-

Snap dan nog steeds niet waarom die grote bedragen? Waar wordt er dan zoveel tijd / geld in gestoken? Zou graag die berekeningen willen zien.

donderdag 12 februari 2004 17:01

Acties:

Verwijderd

Virusnamen zouden IETF gestandaardiseerd moeten worden

Ik zie het nog niet snel gebeuren..

Snap dan nog steeds niet waarom die grote bedragen? Waar wordt er dan zoveel tijd / geld in gestoken? Zou graag die berekeningen willen zien.

Lost productivity e.d.
Als een groot bedrijf helemaal plat moet door een virusinfectie, kost dat al heel snel, heel veel centjes.

donderdag 12 februari 2004 17:12

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 12 februari 2004 @ 17:01:
[...]

Ik zie het nog niet snel gebeuren..

[...]

Lost productivity e.d.
Als een groot bedrijf helemaal plat moet door een virusinfectie, kost dat al heel snel, heel veel centjes.

Onder kosten wordt ook verstaan het installeren van een virusscanner etc. etc. Verder worden de werkzaamheden van een systeembeheerder er ook bij op geteld. Ik denk dat de grootste kosten niet zitten bij de grote bedrijven, die gaan echt niet plat van zo'n simpel virusje, maar meer bij de kleinere MKB kantoren met minder bescherming en kennis.

donderdag 12 februari 2004 17:15

Acties:

Verwijderd

Verwijderd schreef op 12 februari 2004 @ 17:12:
[...]

Onder kosten wordt ook verstaan het installeren van een virusscanner etc. etc. Verder worden de werkzaamheden van een systeembeheerder er ook bij op geteld. Ik denk dat de grootste kosten niet zitten bij de grote bedrijven, die gaan echt niet plat van zo'n simpel virusje, maar meer bij de kleinere MKB kantoren met minder bescherming en kennis.

Some European corporations using AV's with slower reaction times were hit very hard. One insurance company sent more than 350,000 infected e-mails this morning, thanks to one careless click of a mouse.

donderdag 12 februari 2004 17:19

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 12 februari 2004 @ 17:15:
[...]

De uitzondering die de regel bevestigd

Maar over het algemeen denk ik toch dat vooral de kleinere bedrijven zijn getroffen, die dan weer een externe systeembeheerder moeten bellen. Dan dat de multinationals helemaal plat gaan.

donderdag 12 februari 2004 17:22

Acties:

Verwijderd

Verwijderd schreef op 12 februari 2004 @ 17:19:
[...]

De uitzondering die de regel bevestigd

Juist ja..

Het was maar de snelst/meest verspreide mailworm tot nu toe.

Maar over het algemeen denk ik toch dat vooral de kleinere bedrijven zijn getroffen, die dan weer een externe systeembeheerder moeten bellen. Dan dat de multinationals helemaal plat gaan.

Define klein.
En je lijkt wat te vergeten, Mydoom brak hier laat in de avond/nacht uit.
In USA was het middag, daar was het toch een stuk erger.

donderdag 12 februari 2004 17:35

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 12 februari 2004 @ 17:22:
[...]

Juist ja..
Het was maar de snelst/meest verspreide mailworm tot nu toe.

[...]

Define klein.
En je lijkt wat te vergeten, Mydoom brak hier laat in de avond/nacht uit.
In USA was het middag, daar was het toch een stuk erger.

Klein: 10-20 medewerkers

In Amerika is het 6 uur eerder, de eerste Avert Alert kwam om 23.08 dus dat was al zeer aan het eind van de middag. Overigens worden er in Amerika veel meer dan hier gebeurd Attachments geblokt

donderdag 12 februari 2004 17:42

Acties:

Verwijderd

Verwijderd schreef op 12 februari 2004 @ 17:35:
[...]

Klein: 10-20 medewerkers

In Amerika is het 6 uur eerder, de eerste Avert Alert kwam om 23.08 dus dat was al zeer aan het eind van de middag. Overigens worden er in Amerika veel meer dan hier gebeurd Attachments geblokt

Je doet imho Mydoom af als een miezerig ding wat niet veel heeft bereikt.
Ja, de Avert Alert was er, volgens mij al wat eerder, het duurde echter nog enkele uren eerdat weeklies released waren.
Nogmaals: meest/snelst verspreide worm tot nu toe.
Dat gebeurt ook niet vanzelf, zonder dat er grote bedrijven aan meewerken.
En ik heb genoeg reports gezien van bedrijven die besmet waren, en die bedrijven waren allemaal minstens 5k workstations.

donderdag 12 februari 2004 17:59

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 12 februari 2004 @ 17:42:
[...]

Je doet imho Mydoom af als een miezerig ding wat niet veel heeft bereikt.

Nee helemaal niet, maar we moeten het ook niet zo groot opblazen dat het hele wereldeconomie een dag plat heeft gelegen. Natuurlijk zullen er binnen grote bedrijven ook slachtoffers gevallen zijn, maar ik hoop toch wel dat bedrijven met 5k clients niet een dag offline gaan door een virus, dan moeten ze namelijk gewoon andere systeembeheerders nemen

donderdag 12 februari 2004 19:06

Acties:

Verwijderd

Virus = virus, helemaal mee eens - het is een programma dat, wanneer ik m'n computer er niet tegen bescherm, ongevraagd en ongecontroleerd code uitvoert op mijn compu.

Bedenk a.j.b dat het grootste deel van de computergebruikers niet bijster goed weet waar ze mee bezig zijn (als dat wel zo was, hadden virussen geen kans).

Als dit gebruikelijk zou worden, denk ik dat hele volksstammen in het vervolg elke executable die ze per mail krijgen, ook runnen... want het zou wel eens een anti-virus virus kunnen zijn

vrijdag 13 februari 2004 00:00

Acties:

Verwijderd

Verwijderd schreef op 12 februari 2004 @ 16:49:
[...]
NVC noemt het dingetje trouwens W32/DoomHunter.A
Lekker lomp, ze zijn een van de laatste met detectie en het nog nalaten om gewoon dezelfde naam als de andere vendors te geven..

Correctie:
Doomhunter is andere worm, met een mooie rant @ RIAA in de file