Te agressief virus om te stoppen ?

Er zijn geen allesvernietigende virussen zoals jij die beschrijft. Veruit de meeste virussen die vandaag de dag verschijnen kunnen je pc nooit helemaal lam leggen danwel kapot maken. Bovendien zijn er erg vel grote bedrijven zoals Symantec McAffee dagelijks bezig met het schrijven van virusoplossingen voor alle virussen die er uit komen. Kortom: geen enkele reden om je grote zorgen te maken.

Waarom zou je een virus niet kunnen stoppen? Het is niet iets levends ofzo, het is nogal afhankelijk van een computer om uitgevoerd te worden. Het kan een systeem slopen, okee. Het kan zich misschien via lekken kopiëren, okee. Maar lekken kunnen gedicht worden, en als niemand die pc opstart, maar de hd in een andere pc hangt en het virus van de hd ramt, krijg je het in principe natuurlijk áltijd weg.

Denk je niet, dat als het mogelijk was, het niet allang gedaan was om een alles slopend virus te maken?

Verwijderd schreef op 05 oktober 2004 @ 11:25:
Denk je niet, dat als het mogelijk was, het niet allang gedaan was om een alles slopend virus te maken?

Dat vraag ik me af; je kunt nu ook een virus schrijven die bijvoorbeeld in windows je hele schijf leeggooit, of je mijn documenten, wat voor veel mensen vrij rampzalig zou zijn.

Zijn die er veel? Nee, niet echt.

Waarom niet?

Ze vallen nogal op , dus de verspreiding is niet zo goed dan meestal. Maar je zou het virus natuurlijk pas na een bepaalde tijd kunnen laten werken, dan heb je dat probleem minder.

Toch zijn er weinig virussen die echt veel directe schade doen. De schade bestaat er meestal uit dat computers als zombies andere servers gaan dossen, of gewoon bezig zijn om het virus te verspreiden, en zo enorm veel dataverkeer genereren. Terwijl het geen cent moeilijker is om zo'n virus meteen even alle documentmappen te laten ledigen.

Als ik, als niet medicus, een computervirus met een biologisch virus vergelijk dan is er :
1 een besmetting (surfen,mail attachments openen)
2 een incubatietijd (tijd tot je computer besluit anderen te gaan besmetten)
3 een besmettingsperiode (je computer gaat anderen besmetten)
4 een eindsituatie (computer stort bijvoorbeeld af of virus wordt verwijderd)

De tijd tussen de start van periode 3 en periode 4 moet relatief lang zijn omdat er fysiek en langzaam dataverkeer tussen computers moet zijn. Als je computer gelijk afstort na besmetting is het virus ook niet effectief meer. Noem dit maar het ebola effect.

Tijdens die periode loopt het virus gevaar opgemerkt te worden. Stel echter dat een virus zo goed geschreven is dat het moeilijk of geheel niet te detecteren is dan lijkt het logisch dat er ook een hele grote populatie computers besmet raakt.

Het effect wat jij beschrijft lijkt dus een functie van communicatiesnelheid tussen de computers, detecteerbaarheid van het virus en robuustheid van de besmette systemen.
Mij lijkt het nu nog niet mogelijk zo´n virus te maken maar in de toekomst zal dat waarschijnlijk wel kunnen.

Er zijn nog steeds genoeg virussen en trojans in the wild die een destructive payload hebben.
Zeker een aantal jaren geleden waren die er veel.

Er zijn op het moment nogal wat HLLP virussen op de p2p networks die al je mediafiles deleten en door infectie van andere files je computer onwerkbaar maken, om maar eens een realistisch voorbeeld te noemen.
Verder hadden we de I-Worm.Roron reeks die nav. bepaalde events al je schijven leeg deed maken.

Er zal dus idd sprake moeten zijn van een zogenaamde logical bomb om een fatsoenlijke verspreiding te bewerkstelligen.

Er zijn nogal wat obstakels die overwonnen moeten worden om een 'onstopbaar' virus te maken.

Hoe wil je het op het systeem krijgen?
Achter h/w firewall wordt het redelijk lastig om de (exploit)code bij targetmachine te krijgen, mits de poorten dicht zijn of course.

Waarschijnlijk zal het een stuk makkelijker zijn om de code die voor de entry op het systeem zal moeten zorgen te detecteren en dat is dan al een eerste iets om het af te stoppen.

Tja, het ondetecteerbaar maken van samples, dit zal meestal mbv. (de)cryptingroutines moeten gaan.
Er komt van tijd tot tijd malware langs die technieken gebruikt waarvoor er niet (direct) de technologie is om deze te stoppen.

Bijvoorbeeld ADS malware die er al tijden is maar veel virusscanners nog steeds geen (fatsoenlijk) antwoord op hebben. (een voorbeeld waarbij geen crypting aan te pas komt)

Nog een voorbeeld: we hebben op het moment een bepaalde backdoor al zo'n 20 dagen in het Lab liggen, maar waar we nog steeds geen detectionroutine hebben, omdat de opbouw van het beestje nogal apart is.
Gelukkig is het ding extremely low-profile.
_{En dan te bedenken dat de Russen de beste decrypters in huis hebben...}

Van tijd tot tijd wordt er zelfs door vendors samengewerkt om tot een detectionroutine te komen, wat zeker weer zou gebeuren als er een uitbraak is van 'niet te detecteren' malware.

Dit is niet echt wetenschappelijk of levensbeschouwelijk en pas beter in Beveiliging en Virussen
W&L -> BV

Er was een aantal jaren geleden wel een virus dat niet alleen je harde schijf verklootte, maar ook nog eens je bios flashte met nullen. Dus dan kon je in de meeste gevallen gewoon je moederbord weggooien. Dat vind ik wel een behoorlijk aggressief virus.

maar dat virus zal zich daarna niet kunnen 'voortplanten' en dus een kort leven hebben, of het virus moet eerst verstuurd worden maar dan nog, hoe maakt je het zo dat het virus niet gedetecteerd word door antivirus software. als zoiets al zou kunnen in die context

EeuwigeDuister schreef op 05 oktober 2004 @ 13:01:
maar dat virus zal zich daarna niet kunnen 'voortplanten' en dus een kort leven hebben, of het virus moet eerst verstuurd worden maar dan nog, hoe maakt je het zo dat het virus niet gedetecteerd word door antivirus software. als zoiets al zou kunnen in die context

Daarna niet, maar daarvoor wel.

Ik neem aan dat Hantheman doelt op het Tsjernobyl-virus (aka CIH). Dat wist idd een BIOS op een bepaalde datum, maar het is ook een parasitic file-infector, m.a.w.: het besmet ook files en verspreid zich op die manier.

Je zal niet meteen merken dat je er mee besmet bent, omdat het op slechts enkele dagen pas jaar actief word...

Zie voor info over dat virus o.a. op http://vil.nai.com/vil/content/v_10300.htm

Dat was inderdaad het virus waar ik op doelde Als zoiets nu op grote schaal zich zou verspreiden en dan na een week ofzo zou toeslaan, is de schade waarschijnlijk echt enorm.

Wel interessant trouwens voor de moederbord fabrikanten bedenk ik me nu

hoe verhoog ik mijn omzet in 3 stappen

laten we maar hopen dat hte niet gebeurt

Wat ik niet begrijp is dat een effort van iemand die bijvoorbeeld Lunii schrijft zo onder de zoden wordt geschoffeld.

Voor de mensen die niet weten wat Lunii is, dat is een Worm (virussen bestaan vandaag de dag niet zo veel meer in het wild, worms en trojans 'installeer mij alstublieft ik ben betrouwbaar' zijn makkelijker te maken en makkelijker te distributeren) die welliswaar zich op een pc nestelt, maar daarbij een aantal virii als het die tegenkomt omzeep helpt en bovendien de pc patcht (ms updates). Het nadeel van de huidige versie is, dat hij ieder systeem dat hij 'infecteert' als uniek element beschouwt, dus download hij iedere sp en update voor windows op iedere pc opnieuw. Dat zorgt voor fronzende gezichten bij systeembeheerders, want de snelheid van het netwerk en de bandbreedte naar buiten gaat drastisch omlaag.

Het gaat mijn inziens om de poging (heb er zelf al jaren aangedacht om zoiets te bouwen, maar ik heb de kunde niet om dat 'even' te doen) en die wordt al als 'slecht' bestempeld.

Jammer.

hantheman.tk schreef op 05 oktober 2004 @ 13:40:
Dat was inderdaad het virus waar ik op doelde Als zoiets nu op grote schaal zich zou verspreiden en dan na een week ofzo zou toeslaan, is de schade waarschijnlijk echt enorm.

Wel interessant trouwens voor de moederbord fabrikanten bedenk ik me nu

Schade van CIH was ook erg groot geloof ik, op mijn oude school hadden ze er ook last van.

http://www.nationmaster.com/encyclopedia/CIH-virus

Toch wel een van de meest rotte virussen.

Guidance: Dat komt omdat dat soort worms/virussen VEEL meer overlast veroorzaakt dan degene die het probeert te verspreiden.

Voorbeeld: Nachi/Welchia was bedoeld om Blaster ongedaan te maken. Maar Nachi/Welchia heeft 100x MEER overlast bezorgd dan Blaster deed.

Daarnaast heeft niemand gevraagd om dit soort patches ongevraagd geinstalleerd te krijgen. Want op servers kan er soms een hele goede reden zijn om een specifieke patch niet te installeren, omdat hij 1) voor die server misschien niet nodig is en 2) hij problemen veroorzaakt met geinstalleerde software. En voor server kan je ook workstations lezen.

Als die makers dan iets willen doen tegen virussen dan zoek je de eigenaar van de besmette PC's op en bel of mail je ze.

Wat mij betreft horen de schoften die virussen/wormen schrijven in de cel, en wel heel lang. Ongeacht wat het virus of worm doet.

[ Voor 9% gewijzigd door wildhagen op 08-10-2004 10:01 ]

Verwijderd schreef op 05 oktober 2004 @ 11:25:
Denk je niet, dat als het mogelijk was, het niet allang gedaan was om een alles slopend virus te maken?

Het feit dat het mogelijk is betekend niet dat het ook al gebeurd moet zijn (anders hadden we allang kolonies op de maan).

In principe zou je met investeringen en technieken zoals AI een hoop kunnen doen. Bijvoorbeeld fysiek bij bedrijven inbreken om ze te infecteren, besmettingshaarden creeren, server parken die alleen maar encrypties staan te kraken zodat hele netwerken geinfecteerd kunnen worden, etc, etc. Er dus alles aan doen om het virus zo snel en ver mogelijk te verspreiden.

(Zou bij god niet weten waarom iemand dat zou willen, aangezien je nix meer van je investeringen terugziet, maar goed..)