Nieuws
image

Ook Windows 7 makkelijk doelwit voor virusschrijvers

dinsdag 5 mei 2009, 17:04 door Redactie, 14 reacties

In Windows NT, 2000, XP en Vista, staat de optie "Verberg extensies voor bekende bestandstypen" standaard in Windows Verkenner Explorer aan, waardoor een virusschrijver een *.exe bestand op een foto- of tekstbestand kan laten lijken.

Deze truc werd dan ook regelmatig toegepast door virusontwerpers door bijvoorbeeld een virus genaamd valentijn.exe te hernoemen naar valentijn.jpg.exe, waardoor de echte extensie, dus de *.exe, verborgen werd door Explorer. Daarnaast werd ook nog eens het icoontje veranderd, waardoor het een legitiem bestand leek.

De hoop dat Microsoft deze makkelijke "open deur" voor amateur virusschrijvers in Windows 7 eindelijk gesloten heeft, blijkt tevergeefs.

Reacties (14)
05-05-2009, 18:20 door Anoniem
Ja inderdaad maar als het bestand focus heeft staat er wel duidelijk onderdaan (en dat toont F-secure niet) dat het een applicatie is. En bij het uitvoeren heb je UAC die in werking treedt. En hoe de file "magisch" in de map "sucks" geraakt vertellen ze ook niet er bij. Dit is helemaal geen open deur. Dit is F-secure die zenuwachtig wordt.
05-05-2009, 20:37 door Anoniem
Door Anoniem: Ja inderdaad maar als het bestand focus heeft staat er wel duidelijk onderdaan (en dat toont F-secure niet) dat het een applicatie is. En bij het uitvoeren heb je UAC die in werking treedt. En hoe de file "magisch" in de map "sucks" geraakt vertellen ze ook niet er bij. Dit is helemaal geen open deur. Dit is F-secure die zenuwachtig wordt.

Niemand heeft gezegd dat Explorer niet toont dat het een applicatie is. Dat kun je aflezen, ongeacht de focus. Dat is dus niet het probleem.

Het gaat om hoe het bestand getoont wordt, als tekstbestand, compleet met icoon, zonder extensie. Het is zinloos te argumenteren dat dit geen probleem is.

Hoe het bestand op de schijf komt is niet van belang.

Werk je soms voor Microsoft?
05-05-2009, 21:59 door Anoniem
Het artikel is een en hele duidelijke, logische en terechte onderbouwing voor de titel van het artikel... NOT
05-05-2009, 22:11 door [Account Verwijderd]
[Verwijderd]
05-05-2009, 22:52 door Anoniem
idem hier, standaard uit....
05-05-2009, 23:37 door Anoniem
@Peter V: dan heb je zeker je installingen gecopieerd naar het basisaccount nadat je dat uitgezet hebt. Heb ik ook gedaan. Maar na een clean install staat het standaard aan.
05-05-2009, 23:43 door Mameomowskwooz
Door Peter V:
In Windows NT, 2000, XP en Vista, staat de optie "Verberg extensies voor bekende bestandstypen" standaard in Windows Verkenner Explorer aan, waardoor een virusschrijver een *.exe bestand op een foto- of tekstbestand kan laten lijken.

Ik weet niet waar F-Secure deze onzin vandaan haalt, maar bij controle van mijn eigen systeem Vista stond dit vakje helemaal niet standaard aan, maar standaard uit. Enige controle over wat men beweert zou F-Secure niet misstaan.

Dan vergis je je volgens mij Peter, volgens mij doe jij dat zelf standaard en heb je 't (zoals ikzelf) amper nog in de gaten dat je die handeling verricht. ;-) Ik heb zojuist Windows 7 geinstalleerd en zoals altijd heb ikzelf deze "feature" weer uitgezet.

Zo op 't eerste gezicht zie ik weinig veranderingen tov Vista (maar heb em er net een uurtje opstaan). 't Enige dat me echt in 't oog sprong is dat UAC nu met een slider aan te passen is en effectief kun je 't ook helemaal uitzetten.
06-05-2009, 08:05 door SirDice
Door Anoniem: En bij het uitvoeren heb je UAC die in werking treedt.
Alleen als de applicatie admin rechten nodig heeft, wat niet altijd het geval hoeft te zijn. Je kunt een prima werkende worm maken die geen admin rechten nodig heeft.
06-05-2009, 09:08 door Obi1r
Stond in mijn XP ook gewoon nog (standaard) aangevinkt
06-05-2009, 09:44 door Anoniem
Door SirDice:
Door Anoniem: En bij het uitvoeren heb je UAC die in werking treedt.
Alleen als de applicatie admin rechten nodig heeft, wat niet altijd het geval hoeft te zijn. Je kunt een prima werkende worm maken die geen admin rechten nodig heeft.

Als het geen admin rechten nodig heeft , kan het zich niet permanent op het systeem installeren. Of vertel me dan hoe de malware zich dan nestelt in \windows\system32 of \program files en dan magisch de machtigingen op de registry wijzigt.

Overigens als je dubbel-klikt op een bestand.txt die een eigenlijk een bestand.txt.exe is, krijgt je al voor UAC een pop-up dat het bestand van een externe source komt ( lees internet). De bestandsnaam in dat venster toont wel degelijk de volledige bestandsnaam. En probeer eens het bestand.txt.exe als bijlage te versturen met bv Windows Mail. Dit lukt ook al niet
.
06-05-2009, 10:28 door Anoniem
Door Anoniem:
Door SirDice:
Door Anoniem: En bij het uitvoeren heb je UAC die in werking treedt.
Alleen als de applicatie admin rechten nodig heeft, wat niet altijd het geval hoeft te zijn. Je kunt een prima werkende worm maken die geen admin rechten nodig heeft.
... probeer eens het bestand.txt.exe als bijlage te versturen met bv Windows Mail. Dit lukt ook al niet.

Dat is dus nog een gebrek !
06-05-2009, 10:46 door SirDice
Door Anoniem:
Door SirDice:
Door Anoniem: En bij het uitvoeren heb je UAC die in werking treedt.
Alleen als de applicatie admin rechten nodig heeft, wat niet altijd het geval hoeft te zijn. Je kunt een prima werkende worm maken die geen admin rechten nodig heeft.

Als het geen admin rechten nodig heeft , kan het zich niet permanent op het systeem installeren. Of vertel me dan hoe de malware zich dan nestelt in \windows\system32 of \program files en dan magisch de machtigingen op de registry wijzigt.
Er zijn ook andere plekken waar de ingelogde gebruiker wel degelijk schrijfrechten heeft (%TEMP% of %APPDATA% bijvoorbeeld). HKEY_CURRENT_USER (waar de ingelogde gebruiker schrijfrechten toe heeft) is net zo effectief als HKEY_LOCAL_MACHINE (waar admin rechten voor nodig zijn). Bedenk namelijk dat de meeste machines altijd met hetzelfde account (automatisch) inloggen.

De reikwijdte is inderdaad wat korter, er kunnen geen BHO's of rootkits geinstalleerd worden. Maar wormen zoals Netsky of MyDoom (mits iets aangepast) werken prima zonder admin rechten.

En probeer eens het bestand.txt.exe als bijlage te versturen met bv Windows Mail. Dit lukt ook al niet
Er waren wormen die in een password beveiligd rar bestand rond werden gestuurd. Vreemd genoeg typte hele volksstammen het wachtwoord in om vervolgens de executable te starten. Deze wormen hebben weken lang in de top 10 gestaan. Hoezo niet mogelijk? En waarom zou een worm Windows Mail gebruiken? Ze gebruiken al sinds jaar en dag eigen routines om mail te verzenden.

Windows 7 zal het niet makkelijker maken maar zolang er aan het klikgeile gedrag van de gemiddelde gebruiker niets veranderd, wordt het ook niet moeilijker. Ook niet als diezelfde gebruiker verhuist naar OS-X of Linux.
06-05-2009, 12:52 door [Account Verwijderd]
[Verwijderd]
08-05-2009, 07:32 door Anoniem
Door SirDice:
Er zijn ook andere plekken waar de ingelogde gebruiker wel degelijk schrijfrechten heeft (%TEMP% of %APPDATA% bijvoorbeeld). HKEY_CURRENT_USER (waar de ingelogde gebruiker schrijfrechten toe heeft) is net zo effectief als HKEY_LOCAL_MACHINE (waar admin rechten voor nodig zijn). Bedenk namelijk dat de meeste machines altijd met hetzelfde account (automatisch) inloggen.
De reikwijdte is inderdaad wat korter, er kunnen geen BHO's of rootkits geinstalleerd worden. Maar wormen zoals Netsky of MyDoom (mits iets aangepast) werken prima zonder admin rechten.
Zowel IE8 en Chrome ( FF3 niet) hebben de low integrity mappen voor hun cache. Dit wil zeggen dat gedownloade malware sowieso - ongeacht de nodige rechten - niet voorbij UAC kan. Ik heb het over "normale" malware. Bij lekken geraakt een getalenteerde hacker door alles..( bv . Charlie Miller's Safari's hack op Pwn2own in maart).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search