Worm met netwerksniffer zoekt naar wachtwoorden

TrendMicro waarschuwt voor de Worm Sdbot.UH. Dit stukje malware verspreidt zichzelf over netwerken door misbruik te maken van lekken in de RPC-service van Windows, een Buffer Overflow in SQL Server 2000, een IIS5/Webdav-lek en een LSASS-exploit. Met behulp van NetBEUI-functies en een ingebouwde sniffer speurt deze worm naar gebruikersnamen en wachtwoorden om zichzelf vervolgens in zoveel mogelijk gedeelde mappen te nestelen.

Computer / Worm / Virus Zodra een computer geïnfecteerd is, voorziet de worm in een open toegangspoort tot het systeem zodat kwaadwilligen toegang kunnen krijgen tot de computer. Bovendien lanceert deze malware een DoS-aanval op willekeurige ip-adressen en speurt hij naar cd-keys van verschillende games. Het is echter vooral de sniffing-mogelijkheid die onderzoekers zorgen baart.

IT-banen

Reacties (58)

Verwijderd 16 september 2004 08:58

Dit is wel weer een vervelende worm. Alleen vind ik de titel een beetje misleidend.

Wat ik eruit kan opmaken is dat de worm naar un/pw combinatie zoekt om zichzelf te verspreiden in shares, zodat nog meer mensen besmet kunnen raken.

Maar het belangrijkste is volgens mij de DoS (Denial of Service, correct me if im wrong) attack en vooral de speurtocht naar cd keys

.

Maar is het niet zo dat de poorten voor NetBEUI standaard dichtstaan, mits je een router hebt? Tenminste dat vertelde me leraar van datacommunicatie.

Fairy @Verwijderd • 16 september 2004 09:10

Is dus onzin, als het op een pc standaard dichtzit dan kan een router dit nooit openzetten.

Daarnaast, mijn router laat het soieso niet door, behalve als je dit expliciet configureert of je pc in een DMZ hangt.

Verwijderd @Fairy • 16 september 2004 09:34

dan heb je niet begrepen wat ie zei. als je een router hebt kunnen anderen nooit van buitenaf op jouw pc komen, omdat je router niet weet waar traffic heen moet die niet door je eigen pc is opgestart, tenzij je handmatig poorten forward.
DMZ is zowiezo niet aan te raden, dan vraag je om virussen, wormen, hackers en andere problemen.

Verwijderd @Verwijderd • 16 september 2004 09:42

Ik mag toch aannemen dat wanneer je een PC in een DMZ hangt,
je tenminste een goede softwarematige firewall op het ding hebt draaien.
Heb ik wel tenminste, nooit problemen gehad met hackers/wormen etc...

Verwijderd @Verwijderd • 16 september 2004 09:44

mephisto1982 gaat er vanuit dat iedere router een NAT router is en alleen gebruikt wordt voor het delen van internet. Er zijn veel meer configuraties mogelijk en de DMZ functionaliteit zit er ook niet voor niets op, dat is gewoon een andere netwerk structuur. Mensen die dat gebruiken zetten meestal ook wel een firewall op die computer.

Verwijderd @Verwijderd • 16 september 2004 09:47

@KillahRay:

DMZ forward *alle* poorten naar jouw pc. dit is dus hetzelfde als je pc direct zonder router aan internet hangen. als je dan geen firewall draait *of* niet alle nieuwe patches hebt, ben je dus gewoon de lul. als je al een virus scanner heb draait ie overuren, omdat er minstens iedere minuut wel ergens iets of iemand een poortscan op jouw ip doet. als ie dan een open NetBIOS of RPC poort vind ben je een makkelijk slachtoffer.

Verwijderd @Verwijderd • 16 september 2004 09:53

Ahh, dan weet je dus niet hoe een DMZ behoord te werken. PC's in de DMZ dienen aanvragen etc voor b.v. Citrix, exchange op te vangen en door te sturen naar de Server(s) in je netwerk. Dit netwerk staat dan potdicht voor attacks van buiten.De server(s) in je DMZ moet je natuurlijk wel beveiligen met b.v. een firewall etc..

Verwijderd @Verwijderd • 16 september 2004 10:09

Hoewel een DMZ niet echt vragen is om virussen e.d. is een DMZ wel een risico. Alle data op alle poorten wordt naar de DMZ geleid dus ook de data op poorten waar de gebruiker geen rekening heeft gehouden. Je router biedt dan geen bescherming meer en alles moet op de computer(s) in de DMZ zelf beveiligd worden.

Zeker bij particulieren wordt dat vaak niet goed geregeld waardoor bijv. RPC attacks meer kans op succes hebben dan als er NAT gebruikt wordt.
Dus een DMZ is handig als je weet wat je aan het doen bent en om de één of andere reden NAT niet gebruikt kan worden. In alle andere gevallen verhoogt het gebruik van een DMZ het risico op virussen.

Edit @JanVerweij:
De servers in de DMZ handelen meestal zelf hun taken af (web en mail servers) en gebruiken zo min mogelijk verbindingen met het interne netwerk. Echter als de Webserver de (interne) SQL server met voorraadgegevens wil benaderen is er nog steeds een (indirecte) route mogelijk naar het interne netwerk. Potdicht zou ik het interne netwerk dus niet noemen, wel is het wat lastiger om het interne netwerk te hacken doordat je dus twee systemen moet hacken om erin te komen. Daar staat tegenover dat de computers in de DMZ niet meer door de router beschemd worden.

Ook ga je er vanuit dat iedereen de DMZ correct gebruikt

Bij particulieren wordt de DMZ vaak gebruikt omdat het anders zo lastig is dat netwerkspel te spelen, Kazaa niet lekker werkt enz enz. De computer in de DMZ is dan de computer waar de gebruiker zelf het meest op werkt.

Verwijderd @Verwijderd • 16 september 2004 09:41

Hoe kom je er in godsnaam bij dat je met een DMZ vraagt om virussen ed? Leg dat eens uit

Gepetto @Verwijderd • 16 september 2004 10:08

Beetje tegenstrijdig. Als je een DMZ beveiligt met een firewall, is het per definitie geen DMZ meer.

Verwijderd @Verwijderd • 16 september 2004 09:13

Even off-topic, maar belangrijke educatie:

Een router kan alles open en alles dicht hebben staan, hangt van de instellingen af. In principe zijn routers nooit gemaakt om als firewall te dienen, maar als "doorgeefluik" en "vertaaalmachine". Tegenwoordig wordt een firewallfunctie wel vaak in de routersoftware toegevoegd.

Gouden regel: ga er nooit van uit dat een poort dicht staat totdat je het zeker weet.

Om te checken: http://www.grc.com/default.htm
Ga naar "Shields up!" en kijk maar eens wat er zoal open staat. Netbeui maakt (voor zover ik weet) gebruik van 137, 138 en 139.

Verwijderd @Verwijderd • 16 september 2004 09:36

alleen is de standaard configuratie om alles dicht te zetten. routers zijn wel nooit uitgevonden om als firewall te dienen, maar zijn door hun werking wel een natuurlijke hardware firewall geworden. die hoef je er niet eens aan toe te voegen.

Verwijderd @Verwijderd • 16 september 2004 09:36

Volgens mij worden hier twee dingen door elkaar gehaald. NetBEUI en SMB. NetBEUI is een netwerk protocol op hetzelfde niveau als TCP/IP, NetBEUI gaat helemaal niet over TCP/IP (en dus niet over het internet) en het protocol bevat geen mogelijkheden om te routen. Het is ook alleen geschikt voor kleine netwerken.
Microsoft Networking kan zowel over NetBEUI als over TCP/IP. Ik weet niet of ze in het artikel bedoelen dat het virus NetBEUI gebruikt of SMB.

KO 16 september 2004 08:54

Het zijn toch geen scriptkiddies die deze "dingen" maken.

[quote]
misbruik te maken van lekken in de RPC-service van Windows, een Buffer Overflow in SQL Server 2000, een IIS5/Webdav-lek en een LSASS-exploit

Verwijderd @KO • 16 september 2004 08:55

Toch wel.
De vx-scene is een beetje om zeep, allerhande twaalfjarige vinden het leuk om eens iemand anders code te kopieren en er een wormpje van te maken.

vanDee898 @Verwijderd • 16 september 2004 09:49

Feit blijft toch dat er altijd een 'echte hacker' blijft die de code maakt die gecopieerd moet worden door een scriptkiddie.

Olaf van der Spek @vanDee898 • 16 september 2004 11:05

Nee, het is een neppe hacker en een echte cracker.

Mental @vanDee898 • 16 september 2004 17:26

idd, een cracker die een exploit in elkaar heeft gehackt

justice strike @vanDee898 • 17 september 2004 00:57

geen crackheads?

crackers waren toch gasten die codes kraken (spellen etc...)

en hackers breken in.

dan maak je nog verschil tussen whitehat hackers and blackhat hackers.

L0g0ff

@Verwijderd • 17 september 2004 09:25

Dat geloof je zelf toch niet dat een 12 jarige kid verstand heeft van SQL, IIS5 en LSASS. Om daarnaast nog eens code te schrijven om keys van diverse games uit het register te vissen en poorten open zetten voor dos en spam doeleinden.

Daar is iemand mee bezig geweest die echt wel verstand heeft van een beetje programmeren. Want zelfs al heb je de source dan valt het niet mee die stukkenaan elkaar te knopen om een goed werkende worm te maken.

Verwijderd 16 september 2004 13:40

Begrijp ik het goed dat je (in theorie) ook geïnfecteerd kunt raken als je zelf je updates wel op orde hebt? Als ik de tekst lees, lijkt me dat die worm het volgende kan doen:

1) het infecteert een niet-gepatchte computer via één van een aantal oude exploits
2) vanaf daar gaat het netwerk sniffen, op zoek naar shares, zowel beveiligd als onbeveiligd.
3) het verspreid zich daarna via de gevonden shares.

Lijkt me dus dat, wanneer je zelf een computer hebt met alle patches, je toch besmet kunt raken vanuit je lokale netwerk (bedrijfjes?) als je zelf ergens een share open hebt staan. Je wordt dus indirect slachtoffer van de luiheid van een ander...???

GrooV @Verwijderd • 16 september 2004 16:36

Maar dan staat er alleen maar een .exe bestandje in een shared folder. Dus dan moet je nog steeds zelf openen, dus dat is niet echt iets om je zorgen over te maken! Maarja je hebt mensen die alles openen

Verwijderd @Verwijderd • 16 september 2004 14:57

Ja, als iemand zijn hele HD openzet is het een ander vrij om in de startup-map een progje te plaatsen. En voila.

GrooV @Verwijderd • 16 september 2004 16:40

Meestal blokkeert windows de windows folders. En je vraagt er ook om als je geen virus scanner hebt. De meeste virus scanners pakken alle *bot varianten

frickY 16 september 2004 09:05

Nee, het is andersom. Je NetBEUI poorten (137-139) staan wagenwijd open als je NetBEUI als protocol hebt geinstalleerd. Maar aangezien je dit protocol tegenwoordig vrijwel nergens meer voor nodig hebt kun je hem er net zo goed uitgooien.

Op GRC.com kan je een poortscan draaien om te zien of deze poorten bij je openstaan. Elke ftatsoenlijke router gooit deze dicht mits ze open configt;

Overigens staat in XP de service "Remote Registry" volgens mij standaard aan. Dergelijke dingen kun je ook beter uit zetten als je er geen gebruik van maakt. Dit geld ook voor de RPC-services...

veldmuis @frickY • 16 september 2004 12:47

NetBEUI is een protocol dat voor kleine werkgroepjes gebruikt wordt.
Poort 137-139 zijn de NetBIOS poorten. En die staan ook open als je een normaal pc'tje hebt zonder firewall en gewoon TCP/IP als enige netwerkprotocol geinstalleerd hebt staan.

SchizoDuckie 16 september 2004 09:28

wat ik me nou afvraag aan deze worm:

Waarom zou je in godesnaam DoS attacks willen uitvoeren op willekeurige IP Adressen?

ILUsion @SchizoDuckie • 16 september 2004 13:58

lijkt mij nogal grooteidswaanzin, en zonder goed doordacht algoritme totaal nutteloos. Stel dat alle computers met een IP geïnfecteerd zijn, heb je maar weinig kans dat er ook maar eentje stilvalt omdat er gewoon te veel computers nodig zijn om eentje neer te leggen.

Verwijderd @SchizoDuckie • 16 september 2004 13:17

"Willekeirig" is in dit geval IP-nummers van h@xx0r-vriendjes

Verwijderd 16 september 2004 09:47

NetBEUi is idd niet routable, dat weet ik zelfs

En de poorten staan daarvan staan standaard dicht. Deze gaan alleen open zodra er een verbinding van binnen uit geactiveerd wordt. Dus eigenlijk alleen mensen die NetBEUi aan hebben staan zonder dat ze het gebruiken moeten zich een beetje zorgen maken. Verder kan je NetBEUi ook helemaal uitschakelen. Dus niet zo druk maken

Verwijderd @Verwijderd • 16 september 2004 10:38

En waarom zou NetBEUI routeerbaar moeten zijn voordat deze functionaliteit misbruikt kan worden.

Vergeet niet: Er is al een geinfecteerd systeem op het lokale netwerk. Dat systeem kan door een externe partij worden overgenomen. Die externe partij heeft dan niet alleen toegang tot de geinfecteerde computer maar ook tot alle ntwerkshares waarvan het wachtwoord bekend is geworden.
Dit betekend dat je je server nog zo goed kan beveiligen maar een hacker kan op deze manier nog steeds bij de data

Verwijderd @Verwijderd • 16 september 2004 18:50

Eh, als het goed is is het aangevallen worden vanuit je eigne LAN over NetBEUI pas een risico als je a) NetBEUI draait (wtfrudoing?) en b) al een lekke PC hebt. Dit nieuwe virus komt toch écht ergens een keer binnen, en doet dat volgens mij redelijk aaibaar over TCP/IP. Dát moet door je router, in een PC, en als die eenmaal had is, dán kun je stellen dat je genaaid bent als je NetBEUI draait. NetBEUI krijg je niet via internet bij iemand anders aan z'n PC, zie bovenstaande mensen die écht weten wat NetBEUI doet... unrouted == niet geschikt voor via de router.

Natuurlijk heeft NetBEUI bij een weldenkend tweaker of bedrijf geen zak meer op het netwerk te zoeken in deze moderne tijden.

Overigens is het allemaal geweldig leuk, babbelen over NEtBEUI, maar het artikel en de bron zijn gewoon fout want er moest NetBIOS staan. Da's wa anders.

Verwijderd 16 september 2004 09:10

RPC-service van Windows, een Buffer Overflow in SQL Server 2000, een IIS5/Webdav-lek en een LSASS-exploit

ik neem aan dat bedoeld wordt dan 1 van deze lekken gebruikt wordt voor de verspreiding, anders is de kans op infectie niet zo groot als je al deze services niet in je netwerk hebt zitten.

Verwijderd @Verwijderd • 16 september 2004 09:40

ik neem aan dat ie ze allemaal afscant om te kijken welke er beschikbaar is. ik neem ook aan dat er weinig mensen zijn die thuis MS SQL Server hebben draaien. *Als* je al een DB nodig heb, als tweaker, kun je er beter een open source DB op zetten, aangezien daar vaker bugs in worden gevonden omdat iedereen de code kan lezen. Die buffer overflow zou in OSS gister al gefixed zijn als ie vandaag pas als nieuw bekend zou worden.
al die anderen zitten in een default install van XP pro (geen idee over home, maar ik denk niet dat daar IIS bij zit), ook al staat IIS volgens mij niet standaard aan.

MaZeS @Verwijderd • 16 september 2004 16:27

...Maar aan de andere kant kan een hacker ook gemakkelijker de bugs vinden bij een opensource DB en daar misbruik van maken.Het mes snijdt dus aan twee kanten.

SirBlade 16 september 2004 11:32

Zo te zien waren er voor alle zaken waar de worm gebruik van maakt al heel lang patches. Alleen de patch voor de neteui probleem is redelijk recent (april 2004). De rest is al jaren oud. Geen medelijden dus met degenen die geinfecteerd worden.

Rudolfus @SirBlade • 16 september 2004 11:47

De rest is al jaren oud. Geen medelijden dus met degenen die geinfecteerd worden.

Inderdaad geen medelijden, want dit is 8 september al ontdekt. Dan moet je jezelf al beschermd hebben ondertussen.

Verwijderd 16 september 2004 09:31

Dit soort wormen kun je heel makkelijk van af komen door gewoon "windows file and printer sharing" te deinstalleren en netbios te disablen in je netwerk settings. had ik ook gedaan op de pc's van me broers voodat we naar een lan party gingen en ze hebben nergens last van gehad.
wat je ook beter uit kan zetten zijn remote registry en upnp. bij me bro's pcs stond alleen poort 135 nog open, maar die kan volgens mij niet dicht.
helaas kun je RPC zelf niet uitschakelen, want dan werken sommige windows onderdelen niet meer, en ik heb ook wel es gehoord dat dan je hele OS niet meer op kan starten.

VAnTurenhout 16 september 2004 11:32

Wat voor gevaar levert het openstaan van poorten sowieso op als je geen geinfecteerd systeem hebt ??

sparidem @VAnTurenhout • 16 september 2004 13:01

Stel je hebt IIS draaien omdat je zelf ASP knutsels aan het maken bent. Als je dan poort 80 niet dicht zet naar buiten toe, kunnen buitenstaanders misbruik maken van bugs in IIS om jouw systeem te infecteren.

edit:
Er zijn heel veel bekende bugs in IIS. Als je dus niet zorgt voor een compleet geupdate IIS, dan bezit deze veel mogelijkheden om jouw systeem te hacken.

VAnTurenhout @sparidem • 16 september 2004 13:52

Hmmm, eens even een voorbeeldje opsnorren....kan me er niets bij voorstellen eerlijk gezegd.

Verwijderd @VAnTurenhout • 16 september 2004 18:58

easy as pie.
Als jij IIS hebt draaien, één patch vergeten bent, en Frontpage extensions draait, kun je met legio simpele scriptjes even VNC op je PC knallen, poortje ervoor op 80 zetten, en hop, total control over je werkstation.
Als je een voorbeeld wilt moet je IIS installeren, frotpage extensions, poortje openen, en op een willekeurig techneuten-forum gaan flamen en treiteren en melden wat je IP is. binnen een week heb je gegarandeerd een nieuw opstartprobleem.
Basiskennis beveiliging toch wel, dit.

Verwijderd @VAnTurenhout • 16 september 2004 18:56

Lees de FAQ in GoT-B&V eens dan? Open poorten hebben is net zoiets als je voordeur niet op slot doen. Zolang je rottweiler flink vals is gaat het wel maar één keer de hond uitlaten en je loopt het risico dat je TV pleite is. Een open poort lijkt ongevaarlijk. Er hoeft maar net effe iemand een bugje in Windows of een ander bij jou draaiend netwerk-aware programma te ontdekken en je loopt kans dat je thuis komt en je muis zonder jouw input vrolijk je hele C schijf richting recycle bin aan het sleuren is, of iets van vergelijkbare wensbare waarde.

Op dit item kan niet meer gereageerd worden.

Worm met netwerksniffer zoekt naar wachtwoorden

Lees meer

IT-banen

Reacties (58)

Sorteer op:

Weergave: