Nieuws
image

Professionele Stuxnet-worm verrast virusbestrijder

dinsdag 20 juli 2010, 11:27 door Redactie, 8 reacties

De Stuxnet-worm die zich via een nieuw lek in Windows verspreidt, gebruikt naast een certificaat van Realtek ook een certificaat van JMicron Technology Corp. Volgens het Slowaakse anti-virusbedrijf ESET, toont dit aan dat het om een bijzonder professionele operatie gaat. De nieuw ontdekte driver vervangt daarmee de drivers die met het Realtek certificaat waren gesigneerd. Dit certificaat is inmiddels door Microsoft ingetrokken.

"Het is opmerkelijk dat beide bedrijven van wie de signing certificaten zijn gebruikt, kantoren in het Taiwanese Hsinchu Science Park hebben", zegt onderzoeker Pierre-Marc Bureau. Het kwaadaardige bestand imidebs.sys, heeft ongeveer dezelfde functies als de systeemdrivers die Stuxnet eerst gebruikte. De driver is verantwoordelijk voor het identificeren en injecteren van code in de processen die op een besmette machine draaien. De geïnjecteerde code steelt vervolgens de informatie. Dit laatste bestand zou op 14 juli zijn gecompileerd, een dag voordat bekend werd dat er mogelijk een nieuw lek in Windows zat.

Certificaten
"Deze nieuwe informatie is belangrijk, omdat het ons meer informatie over de mensen achter Stuxnet geeft", zegt Bureau. "We zien zelden zulke professionele operaties." De gebruikte certificaten zijn door de malware-auteurs gestolen of gekocht van iemand anders.

"Op dit moment is het nog niet duidelijk of de aanvallers hun certificaat veranderen omdat de eerste is ontdekt of dat ze verschillende certificaten voor verschillende aanvallen gebruiken, maar het laat zien dat ze over behoorlijk wat middelen beschikken."

Aanvallers
De manier waarop de worm zich verspreidt is opmerkelijk. Zeker omdat het een gerichte aanval betreft. "Voor een echte gerichte aanval, zou de malware zo geprogrammeerd zijn, dat het controleert dat het alleen op de systemen draait waar het moet draaien en zich niet verspreidt. Verspreiding vergroot de kans op detectie. Als de aanval alleen op Amerikaanse systemen was gericht, dan zou de aanvaller niet willen dat de code overal in de wereld opduikt. Dit is mogelijk een indicatie dat het om meerdere aanvallers gaat", aldus Randy Abrams.

Reacties (8)
20-07-2010, 11:38 door Anoniem
"Aanvallers" (lees: spionnen) werken in gescheiden cellen. Het is dus goed mogelijk dat dezelfde soort lek door verschillende cellen wordt toegepast, zelfs in relatie tot hetzelfde doelwit, onafhankelijk van elkaar.
20-07-2010, 13:20 door Skizmo
Door Anoniem: "Aanvallers" (lees: spionnen) werken in gescheiden cellen. Het is dus goed mogelijk dat dezelfde soort lek door verschillende cellen wordt toegepast, zelfs in relatie tot hetzelfde doelwit, onafhankelijk van elkaar.
Waar haal je deze onzin nou weer vandaan ?
20-07-2010, 13:51 door Anoniem
Door Skizmo:
Door Anoniem: "Aanvallers" (lees: spionnen) werken in gescheiden cellen. Het is dus goed mogelijk dat dezelfde soort lek door verschillende cellen wordt toegepast, zelfs in relatie tot hetzelfde doelwit, onafhankelijk van elkaar.
Waar haal je deze onzin nou weer vandaan ?

Waarom wil je dat weten waar onzin vandaan komt?
20-07-2010, 23:30 door Anoniem
Het zal inderdaad gescheiden gebeurt zijn, maar niet geheel onafhankelijk. Waarschijnlijk een professioneel experiment om te kijken welke besmetting het eerste zou domineren.

De werkelijke ellende moet nog komen.

Het Orakel
04-06-2011, 03:30 door Anoniem
Tja nu is het niet zo leuk meer. Lees JOB, Mattheus 24 en Openbaring 13...

The END is near,

Maar hier is het lekker weer!!!

The www.daemonkiller.nl

Greetz,

Skywalker, Lord iDUR, 666, the devils own etc etc

Met Japan en Duistland hadden we nog een appeltje (of komkommer hahaha) te schillen.

YHWH God is groot!!!

(R)
04-06-2011, 03:55 door Anoniem
Stuk(isHet)Net(s) is de bacterie waarover ik sprak. Zowel ViRtueel als (R)eeel.

Nu gaat de Bacterie over de hele wereld en symultaan over het WWW (world wide web (sippnen web oftewel valkuil)...

Hack the Planet, lees het laatste Hoodstuk van Openba(R)ing (R)e(V)elation maar!

Oeps time is op,

See Ya in Paradise unless U have the Mark Of The Beast (666) op je Hand (de Mammon) of je (V)oo(R)hoofd!

The (R)est can go to HELL!

The Mother of Hackers,

AKA Skywalker, 666, The Devils Own, Michael and Lord iDur (=Rudi)!!!

Greetings,

IDK= Immortal Demon Killer...Aufwiedersehen, Sayonara, Goodbye, Au Revoir, Farewell.
04-06-2011, 10:58 door Anoniem
En dat kakkelt maar door...Hebben jullie niets beters te doen!

Get a Job damn twitter facebook etc It's all CIA even GOOGLE. Toen ze zogenaamd door alle straten reden voor een Virtuele trip maar intussen alle wifi informatie opsloegen die ze pakken konden!!!

FUCK THE USA!!!

STAY AWAY!!!!!!!
04-06-2011, 11:02 door Anoniem
Die 3de WW komt er toch wel dat staat vast dus neem net als Ikke een HHHtje en een glaasje rode wijn, laat ie fijn zijn!

Ik zit op het Leidseplein, kheb geen cent meer te makken dus ik drink gewoon de glazen leeg die mensen laten staan of ik verkoop een paar daklozen krantjes, soms krijg je wel 5 Pleuro's...

Garcon een Rondje voor de Bierbrouwerij!

It's EASY taking it DAY BY DAY,

Enjoy your stay,

(R)udi (V)eldkamp
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search