image

"5000 computers is voldoende voor een zombie netwerk"

donderdag 26 mei 2005, 10:59 door Redactie, 4 reacties

"Heb ik een miljoen computers nodig om spam te versturen? Nee. Om een DDoS-aanval uit te voeren, zijn 5000 a 10.000 computers meer dan genoeg. Daarom hebben virusschrijvers hun tactiek gewijzigd, en infecteren ze niet meer op een globale schaal" zegt anti-virusproducent Kaspersky Lab. Als een virusschrijver 5000 geinfecteerde machines nodig heeft, plaatst hij een Trojaans paard op een website en wachten ze totdat er 5000 geinfecteerd zijn. Daarna verwijderen ze de Trojan omdat ze voldoende machines hebben. Als ze een nieuwe aanvraag voor een ander zombie netwerk krijgen, schrijven ze een nieuwe Trojan, zo ging de Russische virusbestrijder tijdens de AusCERT conferentie verder.

Een techniek die veel meer oplevert dan het massaal infecteren van computers. Ten eerste plaatst men zich niet in de schijnwerpers en doordat de code onbekend blijft, is de kans klein dat anti-virusproducenten er bescherming voor schrijven. "Voordat de nieuwe geinfecteerde code verspreid wordt, testen ze het via anti-virusscanners. Wordt de worm herkend, dan zullen ze die niet verspreiden. Ik denk dat als slechts 1000 machines besmet worden, anti-virusaanbieders nooit het besmette bestand ontvangen. Daarom moeten deze bedrijven reactief en zo snel mogelijk exemplaren verzamelen" aldus Kaspersky.

Reacties (4)
26-05-2005, 11:34 door awesselius
Het zou dus een goed iets zijn als de anti-virusbedrijven
bepaalde sites in de gaten houden. Er zijn al genoeg
blacklists die bepaalde subnetten listen waarvan bekend is
dat daar verdachte content zoals spy- en andere malware op
staat.

Als men deze dan bewust bezoekt en kijkt of er verdachte
activiteiten plaats vinden op de client-PC dan kan men dat
nader onderzoeken.

Ja, dat is veel werk ja.... Maar wil je in de strijd
bijblijven, dan zul je toch het kat en muis spelletje moeten
blijven spelen.

Voor mensen die Firefox gebruiken en AdBlock hebben
geinstalleerd (dat doe je natuurlijk meteen....;-), dan kun
je ook een reguliere expressie toevoegen die bepaalde
extensies sowieso niet downloadt van welke server dan ook.
Mocht je een bepaald bestand toch bewust willen downloaden,
zet je AdBlock even uit, download je het bestand en zet je
het daarna weer aan.

Denk dan aan extensies zoals:

hta,com,pif,vbs,vbe,js,jse,exe,bat,cmd,vxd,scr,shm,dll,doc enz.

Je kunt dan ook op een site zien welke "blockable elements"
(Tools->AdBlock->List All Blockable Elements) er
gedetecteerd zijn, mocht je een site al niet vertrouwen, dan
kun je dat meteen checken.

- Unomi -
26-05-2005, 15:34 door bustersnyvel
Het blokkeren van extenties heeft weinig zin als mensen dom
genoeg zijn om een ZIP file uit te pakken en de executable
die er in zit uit te voeren. Als je ze maar een goede reden
voorschotelt zullen er heus wel 5000 mensen zijn die er op
klikken. En ZIP files zullen mensen waarschijnlijk niet
blokkeren...
30-05-2005, 09:21 door awesselius
Door bustersnyvel
Het blokkeren van extenties heeft weinig zin als mensen dom
genoeg zijn om een ZIP file uit te pakken en de executable
die er in zit uit te voeren. Als je ze maar een goede reden
voorschotelt zullen er heus wel 5000 mensen zijn die er op
klikken. En ZIP files zullen mensen waarschijnlijk niet
blokkeren...

Ja, je blijft van die mensen houden die 'zomaar' bestandjes
openen en laten uitvoeren van onbekenden of van vreemde
sites voor onnuttige dingen met de meest onlogische redenen.

Straks krijgen we nog een computerziekenfonds, zodat we met
zijn allen de last kunnen dragen van alle geinfecteerde PC's
door onbenullen die zo naief en onwetend of onwillend zijn. ;-)

- Unomi -
09-01-2006, 16:25 door Anoniem
je kunt ofwel the businesplan gebruiken (naar de pc
handelaar gaan en het probleem laten oplossen ) of
stel je virusscanner toch gewoon in dat elke extensie wordt
gescand ;:
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.