image

Windows gewapend tegen geniepige USB-worm

woensdag 13 maart 2013, 11:54 door Redactie, 10 reacties

Tijdens de patchcyclus van maart heeft Microsoft Windows voorzien van extra bescherming tegen een geniepige worm die zich via USB-apparaten verspreidt. Het gaat om de Wecykler-worm waarvan de detectie aan de in Windows ingebouwde Malicious Software Removal Tool (MSRT) is toegevoegd. Wecykler gebruikt onder andere USB-sticks om Windows-computers te besmetten.

Zodra een USB-stick op een besmette computer wordt aangesloten, kopieert de worm zich naar de USB-stick. Vervolgens verbergt de malware bestaande mappen en bestanden en vervangt die door uitvoerbare bestanden met dezelfde of een aanlokkelijke naam.

Aangezien Windows standaard de bestandsextensie niet toont, hebben gebruikers niet door dat het om uitvoerbare bestanden gaat, tenzij ze de Detailweergave hebben ingeschakeld.

Dan blijkt dat de bestanden die van een Directory icoon zijn voorzien, in werkelijkheid een applicatie zijn. Verder bewaart de Wecykler malware-componenten in de prullenbak, schakelt het virusscanners en firewalls uit en slaat het toetsaanslagen op. Vanwege de activiteit van Wecykler besloot Microsoft die aan de MSRT-lijst toe te voegen.

Reacties (10)
13-03-2013, 12:54 door Bitwiper
Kan iemand alsjeblieft Steve Ballmer patchen?!?!

Het -by default- niet tonen van bestandsextensies is al jaren een enorm security risico (dat bij herhaling met succes misbruikt is), maar dat willen ze maar niet snappen in Redmond.

In plaats van het probleem bij de wortel te bestrijden, doen ze ons een "plezier" door er een steeds dikkere MSRT tegenaan te gooien zodra duidelijk is dat enorme aantallen gebruikers zijn besmet met een specifieke malware variant.

Waardoor updaten weer langer duurt en gebruikers steeds meer update-moe worden (ik in elk geval wel).

Hoe naïef kun je zijn???
13-03-2013, 13:05 door Anoniem
Update-moe, wen daar maar aan, dat zal voor elk OS en applicatie in de toekomst alleen maar vaker worden.

Verder wel mee eens dat misschien de extentie standaard zichtbaar moet zijn.
13-03-2013, 15:54 door Anoniem
Waarschijnlijk dat je moe wordt van het updaten!!
13-03-2013, 16:24 door Martijn2
Door Bitwiper: Kan iemand alsjeblieft Steve Ballmer patchen?!?!

Het -by default- niet tonen van bestandsextensies is al jaren een enorm security risico (dat bij herhaling met succes misbruikt is), maar dat willen ze maar niet snappen in Redmond.

In plaats van het probleem bij de wortel te bestrijden, doen ze ons een "plezier" door er een steeds dikkere MSRT tegenaan te gooien zodra duidelijk is dat enorme aantallen gebruikers zijn besmet met een specifieke malware variant.

Waardoor updaten weer langer duurt en gebruikers steeds meer update-moe worden (ik in elk geval wel).

Hoe naïef kun je zijn???
Een gemiddelde computergebruiker weet niet wat een extensie is en zal er gewoon op klikken. Maar default bestandsextensies aanzetten lijkt mij inderdaad toch nog handig voor ervaren gebruikers.
13-03-2013, 20:12 door Mysterio
Door Bitwiper: Kan iemand alsjeblieft Steve Ballmer patchen?!?!

Het -by default- niet tonen van bestandsextensies is al jaren een enorm security risico (dat bij herhaling met succes misbruikt is), maar dat willen ze maar niet snappen in Redmond.

In plaats van het probleem bij de wortel te bestrijden, doen ze ons een "plezier" door er een steeds dikkere MSRT tegenaan te gooien zodra duidelijk is dat enorme aantallen gebruikers zijn besmet met een specifieke malware variant.

Waardoor updaten weer langer duurt en gebruikers steeds meer update-moe worden (ik in elk geval wel).

Hoe naïef kun je zijn???
Ik sla de MSRT altijd over. Duurt veel te lang en is niet relevant.

Het wel of niet tonen van bestandsextenties is een kwestie van bewust met je computer bezig zijn of simpelweg een apparaat willen gebruiken. Ik vind het wel prettig om de extenties te zien, maar ik kan me goed voorstellen dat wanneer je de computer gebruikt voor simpele zaken, je niet zit te wachten op al het exotische op extentiegebied. Daarnaast zegt het de gemiddelde computeraar niets.

Het is overigens zo dat de UAC begint te toeteren bij dit soort fratsen. Maar ja, als je dat ook uitzet dan is er weinig meer wat de onnozele kan beschermen.
14-03-2013, 00:10 door bollie
Ik heb groot respect voor Microsoft. Een operating systeem dat door zóveel verschillende categorieën gebruikers wordt gebruikt, van digibeet tot IT-specialist en dat vanwege zijn enorme aantallen gebruikers door zóveel malware wordt belaagd tóch nog in de lucht houden is geen geringe prestatie. Er is altijd wel wat op aan te merken. Dat de MSRT wat dikker is geworden vind ik alleen maar van goede inzet getuigen de boel schoon te houden in een omgeving waar letterlijk miljoenen virussen circuleren. Petje af!
14-03-2013, 08:14 door svenvandewege
"verder bewaart de wecykler malware-componenten in de vuilnisbak, schakelt het virusscanners en firewalls uit en slaat
het toetsaanslagen op."


Hoezo schakelt het virusscanners uit? Die zouden dit wormpje nu toch wel mogen detecteren inmiddels? En wanneer je geen av gebruikt, valt die ook niet uit te schakelen.
14-03-2013, 08:44 door Anoniem
Welke idioot ooit die extensions uit gezet heeft...
Maar ja, het waarom vraag je je bij wel meer keuzes af. Het zal wel in de 'elke sukkel moet het kunnen' hoek zitten. En er zijn (zeker in IT-land) heel erg veel sukkels...
14-03-2013, 09:59 door Anoniem
Sorry, maar dit is gewoon zo'n standaard worm die werkt met behulp van de achterlijke en al jaren uitgeschakelde autorun feature en de achterlijke maar helaas nog niet standaard uitgeschakelde 'hide extensions' feature. Dat is dus niet waar de updates van maart over gaan.

Voor wat 'hide extensions' betreft vertrouw ik er op dat Microsoft er over een jaar of 5 wel achter is dat dat een dom idee is.
14-03-2013, 10:56 door Anoniem
Waarom is toch die goeie ouwe 'lock'-switch op USB sticks verdwenen? Op SD cards is ie er gelukkig nog wel.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.