Mededeling

Collapse
No announcement yet.

Kwaadaardige MP3 besmet 450.000 Windows PC's

Collapse
X
  •  
  • Filter
  • Tijd
  • Show
Clear All
new posts

  • Kwaadaardige MP3 besmet 450.000 Windows PC's

    Kwaadaardige MP3 besmet 450.000 Windows PC's

    De afgelopen 24 uur zijn honderdduizenden Windows gebruikers besmet geraakt omdat ze MP3 en MPG bestanden wilden openen die in werkelijkheid Trojan downloaders waren. Het gaat om bestandsnamen zoals "preview-t-3545425-adult.mp" en "preview-t-3545425-jij bent zo jeroen van den.mp3". Wie de bestanden opent krijgt geen beeld of geluid, maar het bestand PLAY_MP3.exe aangeboden. Dit is een zogenaamde speler voor het afspelen van muziek- en videobestanden.

    De "Wimpy MP3 Flash player" is voorzien van een gebruikersovereenkomst en laat gebruikers een beperkt aantal nummers beluisteren. In werkelijkheid is het een adware programma dat allerlei pop-ups op het systeem toont. In de afgelopen zeven dagen zijn al meer dan 450.000 Windows machines met de Trojan download geïnfecteerd geraakt, een kwart van alle computers die McAfee online scande. De kwaadaardige MP3 en MPG bestanden worden voornamelijk via P2P-software verspreid.

    Security.nl

  • #2
    Oorspronkelijk geplaatst door metriod Bekijk Berichten
    [B][SIZE="3"]De afgelopen 24 uur zijn honderdduizenden Windows gebruikers besmet geraakt omdat ze MP3 en MPG bestanden wilden openen die in werkelijkheid Trojan downloaders waren. Het gaat om bestandsnamen zoals "preview-t-3545425-adult.mp" en "preview-t-3545425-jij bent zo jeroen van den.mp3".
    Tja, wie moet je daar nu de schuld van geven?
    De makers van die bestanden?
    Of de sukkels die blijkbaar nog steeds zo stom zijn dit soort bestanden te openen?
    Als ik niet een beetje gek was zou ik stapelgek worden.

    Comment


    • #3
      Sukkelaar? Stom?
      Niet zo hard oordelen. Er zijn zat mensen die geen flauw benul hebben van de gevaren en allang blij zijn dat ze hun e-mail kunnen lezen. Mocht de afzender bekend voorkomen of op een andere manier het vertrouwen gewerkt worden dan is het al snel gebeurd.

      Zo gaat het nu eenmaal helaas.


      Het rapaille dat per Przewalskipaard arriveerde bij het feeëriek gesitueerde etablissement - komma -

      "Verwar de waarheid niet met de mening van de meerderheid"

      Comment


      • #4
        Oorspronkelijk geplaatst door Eagle Creek Bekijk Berichten
        Er zijn zat mensen die geen flauw benul hebben van de gevaren en allang blij zijn dat ze hun e-mail kunnen lezen. Mocht de afzender bekend voorkomen of op een andere manier het vertrouwen gewerkt worden dan is het al snel gebeurd.
        Ben ik met je eens, maar dan hebben we het over e-mail-bijlagen.
        Oorspronkelijk geplaatst door metriod Bekijk Berichten
        De kwaadaardige MP3 en MPG bestanden worden voornamelijk via P2P-software verspreid.
        Dat je via P2P gedownloade mp3's en mpg's even apart moet scannen als je ze ook maar even niet vertrouwt, is toch ondertussen ook wel bekend, dacht ik. En namen als "preview-t-3545425-adult.mp" en "preview-t-3545425-jij bent zo jeroen van den.mp3" zijn toch echt wel reden om je even af te vragen of die bestanden wel helemaal koosjer zijn. Ik zou dat soort dingen om te beginnen al niet eens downloaden.

        EDIT: Ik heb me trouwens sufgezocht, maar ik heb via LimeWire geen enkel soortgelijk bestand kunnen vinden. Ik zie nooit previews in de zoekresultaten eigenlijk. Alleen het feit dat die ineens verschijnen zou al genoeg reden zijn om ze niet te vertrouwen.
        Last edited by Guus abc; 07-05-08, 21:20.
        Als ik niet een beetje gek was zou ik stapelgek worden.

        Comment


        • #5
          Oorspronkelijk geplaatst door Guus abc Bekijk Berichten
          Dat je via P2P gedownloade mp3's en mpg's even apart moet scannen als je ze ook maar even niet vertrouwt, is toch ondertussen ook wel bekend, dacht ik. En namen als "preview-t-3545425-adult.mp" en "preview-t-3545425-jij bent zo jeroen van den.mp3" zijn toch echt wel reden om je even af te vragen of die bestanden wel helemaal koosjer zijn. Ik zou dat soort dingen om te beginnen al niet eens downloaden.
          Nou....k weet niet Guus! Ik vind dat je nu toch wel een beetje teveel vanachter je eigen bril praat.
          Natuurlijk ben ik t met je eens dat je met een grote boog om dat soort bestanden heen moet manoeuvreren, maar niet iedereen heeft dit inzicht helaas.

          Een hoop mensen die dit soort bestanden aanklikken wil ik geen 'sukkels' noemen. Het openen van zo'n 'mp3-tje' wordt vaak gedaan vanuit onwetendheid en dat is toch wat anders dan dommigheid.
          Je hebt mensen die niet eens weten dat er een harddisk in een computer zit. Er wordt door die 'handige' kennis, buurman, vriend, neef, nicht, broer of zus een p2p-programma geïnstalleerd en daar gaan ze dan mee aan de slag. Waar ze feitelijk mee bezig zijn hebben ze geen flauw benul van en weten gewoon niet wat er gebeurt. Dit soort mensen beseffen niet eens dat er een bestand op de harde schijf wordt opgeslagen. Sterker nog: ze weten niet eens wat een bestand is.
          Wij wéten dat het levensgevaarlijk is om dit soort bestandjes aan te klikken. En hoe weten we dat? Doordat we dagelijks met onze hobby bezig zijn en daardoor een hoop lezen en leren. Maar niet iedereen heet Guus abc of 'ikself'.

          Hoe je t ook wendt of keert: dit soort naieve en onwetende computergebruikers zullen er altijd blijven. En daar varen die ellendelingen die malware maken wel bij.




          Mijn website: Sape van der Ploeg fotografie Laatste update: vrijdag 14 maart 2014

          Comment


          • #6
            Dat je via P2P gedownloade mp3's en mpg's even apart moet scannen als je ze ook maar even niet vertrouwt, is toch ondertussen ook wel bekend
            Dat is bekend hier op Nucia en dat is bekend bij de mensen die 'via een kennis' dit te horen hebben gekregen. Ik denk dat het gros van de mensen echt geen flauw benul heeft van wat er aan risico's open ligt..


            Het rapaille dat per Przewalskipaard arriveerde bij het feeëriek gesitueerde etablissement - komma -

            "Verwar de waarheid niet met de mening van de meerderheid"

            Comment


            • #7
              Oorspronkelijk geplaatst door Eagle Creek Bekijk Berichten
              Dat is bekend hier op Nucia en dat is bekend bij de mensen die 'via een kennis' dit te horen hebben gekregen. Ik denk dat het gros van de mensen echt geen flauw benul heeft van wat er aan risico's open ligt..
              En dat is ook mijn ervaring.
              A.H.
              Niet alleen is belangrijk de weg, die je gaat,
              maar ook het spoor, dat je achterlaat.

              Comment


              • #8
                Oorspronkelijk geplaatst door ikself
                k weet niet Guus! Ik vind dat je nu toch wel een beetje teveel vanachter je eigen bril praat.
                Daar heb je wel een beetje gelijk in.
                Oorspronkelijk geplaatst door ikself
                Waar ze feitelijk mee bezig zijn hebben ze geen flauw benul van en weten gewoon niet wat er gebeurt. Dit soort mensen beseffen niet eens dat er een bestand op de harde schijf wordt opgeslagen. Sterker nog: ze weten niet eens wat een bestand is.
                Die mensen horen naar mijn idee ook helemaal niet met pc's te werken zoals die nu verkocht worden.

                Omdat het instellen van een soort 'computerrijbewijs' niet haalbaar is, zou ik er erg voor zijn als er voor deze 'absolute beginners' pc's op de markt kwamen waar het OS alleen virtueel op kan draaien. Van dat virtuele OS zouden verschillende backups opgeslagen moeten worden: in ieder geval één waarmee alles naar de defaults teruggezet kan worden, één van voor de laatste sessie en één met de wijzigingen die tijdens de laatste sessie gemaakt zijn. Meerdere backups is nog beter, zodat je verschillende herstelpunten hebt. In ieder geval zou je bij problemen terug moeten kunnen naar een goed werkend, onbesmet virtueel OS (dat zou zelfs automatisch kunnen gebeuren, zodra de beveiligingssoftware problemen signaleert). Je gooit de besmette kopie daarna gewoon weg (of laat dat automatisch doen tijdens het terugzetten) en het systeem is weer ok. Dit soort herstelpunten zijn ook echte herstelpunten: het systeem wordt voor 100% teruggebracht in een vorige staat. En de besmetting is voor 100% weg omdat je de complete kopie die besmet is weggooit.

                Beveiligingstechnisch is het niet waterdicht. Als de pc een tijdje besmet is geweest, kunnen er vertrouwelijke gegevens in verkeerde handen zijn gevallen. Om te voorkomen dat die misbruikt worden, zou het terugzetten van een onbesmette kopie van het virtuele OS bijvoorbeeld gepaard kunnen gaan met de verplichting je wachtwoorden te wijzigen. Doe je dat niet, dan kom je er niet meer in.

                Je kunt het allemaal een beetje vergelijken met autorijden in een computerspel: kinderen en mensen zonder rijbewijs kun je rustig virtueel laten autorijden in zo'n simulatie. Al gaan ze zes keer over de kop om vervolgens in een ravijn te donderen, dan is er nog niets aan de hand: je start het programma daarna gewoon opnieuw op en je begint weer met een onbeschadigde auto.

                Ik besef wel dat hier ook nog heel wat haken en ogen aan zitten, maar iets beters kan ik op het ogenblik niet bedenken.
                Last edited by Guus abc; 08-05-08, 14:58.
                Als ik niet een beetje gek was zou ik stapelgek worden.

                Comment


                • #9
                  nog enkele namen van besmette bestanden :
                  preview-t-3545425-adult.mpg
                  preview-t-3545425-changing times earth wind .mp3
                  preview-t-3545425-girls aloud st trinnians.mp3
                  preview-t-3545425-heartbroken fast t2 ft jodie.mp3
                  preview-t-3545425-jij bent zo jeroen van den.mp3
                  preview-t-3545425-meet bambi in kings harem.mp3
                  preview-t-3545425-middle eastern chick.mpg
                  preview-t-3545425-paint me bunmingham.mp3
                  preview-t-3545425-paralyized by you.mp3
                  preview-t-3545425-pull over levert.mp3
                  preview-t-3545425-say it right remix.mp3
                  preview-t-3545425-st trinnians girls aloud.mp3
                  preview-t-3545425-theme godfather.mp3
                  t-3545425-bentley bizzle.mp3
                  t-3545425-dx vs randi orton 2007.mpg
                  t-3545425-haloween special.mp3
                  t-3545425-just got lucky.mp3
                  t-3545425-lion king portugues.mpg
                  t-3545425-los padres de ella.mpg
                  t-3545425-para sayo freestyle.mp3
                  t-3545425-peanut butter jelly amende.mp3
                  t-3545425-stare at sun thrice.mp3
                  t-3545425-suicide bride dana.mp3
                  t-3545425-wayne and jane.mp3

                  Comment


                  • #10
                    Steeds meer mp3-adware

                    McAfee heeft een flinke stijging geconstateerd in de versprijding van ad-ware in mp3-bestanden. Deze versprijding gaat voornamelijk via filesharing-applicaties zoals BitTorrent.

                    In eerste instantie lijken de bestanden normale audiobestanden. Maar in werkelijkheid zijn het Trojans die voor veel ad-ware op computers zorgen. Craig Schumager, werkzaam bij McAfee heeft er het volgende over te zeggen:

                    "Zodra je de mp3-bestanden opent, blijkt dat er helemaal geen muzikale inhoud is. Je wordt dan omgeleid naar een website die je aanraadt een nieuwe mediaspeler te installeren om het bestand af te kunnen spelen. In werkelijkheid heb je die speler helemaal niet nodig en is het een bron van adware".

                    Voorbeelden van bestandsnamen zijn bijvoorbeeld "preview-t-3545425-theme godfather.mp3" of "preview-t-3545425-jij bent zo jeroen van den.mp3". Een volledige lijst is te vinden op de blog-site van McAfee.

                    Tijdens de installatie van de mediaspeler worden de gebruikers gevraagd om een gebruikersovereenkomst te accepteren. Hierna worden twee trojans geinstalleerd. NetCucleus en Mirar. Opvallend is dat er tijdens de installatie wordt gezegd dat er geen reclame geïnstalleerd zal worden, maar dat gebeurt dus wel.

                    Schumgar is niet gelukkig met deze werkwijze, gebruikers worden op deze manier voor de gek gehouden: "Er verschijnt een scherm dat je vertelt dat er geen pop-ups zijn. Direct achter dit scherm bevindt zich vervolgens een pop-up!"

                    Techzine.nl
                    Ben je blij met de hulp die we gegeven hebben? Jouw bijdrage wordt zeer op prijs gesteld om ons werk te kunnen voortzetten. Uiteraard is dit volledig vrijblijvend en vrijwillig.

                    Comment


                    • #11
                      Voor de duidelijkheid

                      Het gaat hier inderdaad om *.mp3 en *.mpg bestanden. Dus aan de bestandsextensie is niets vreemds te zien, iedereen kan erin trappen. Natuurlijk zijn de bestandsnamen nu wel wat verdacht. Maar men kan ook bestanden met een normale naam en bestandsgrootte aanbieden die hetzelfde resultaat hebben.

                      Bijvoorbeeld een bestand als ploplied - kabouter plop.mp3 van 3,76 Mb kan exact hetzelfde effect hebben!!


                      Hoe werkt het?

                      Men heeft *.asf bestanden hernoemd naar *.mp3 en *.mpg bestanden.
                      Dus eigenlijk download je een *.asf bestand waarvan de extensie niet klopt.

                      Windows Mediaplayer zal echter aan de informatie (header) in het bestand zien dat het een *.asf bestand is en daar ook naar handelen.
                      In *.asf bestanden is een mogelijkheid aanwezig om scripts te gebruiken die bepaalde dingen uitvoeren. In dit geval staat er in het script een bepaalde link die geopend wordt. Die link verwijst weer naar PLAY_MP3.exe op een server.

                      Dus wanneer je het zogenaamde filmpje of mp3'tje gaat afspelen opent je browser met de vraag of je het bestand PLAY_MP3.exe wilt downloaden.

                      Net even eentje getest en het bestand werd op Virustotal door 23 van de 32 scanners herkend. Hier 't resultaat van de scan op Virustotal, je ziet ook direct dat zowat elke scanner er weer een andere naam voor heeft.


                      Het is dus niet zo dat je direct besmet bent wanneer je zo'n *.mp3 of *.mpg bestand download. Daar zit eigenlijk helemaal geen malware in, alleen een link naar malware.
                      Er zijn wel wat manieren om het script te blokkeren maar ik durf hier geen registerdingetjes te posten. Dan krijg ik weer de schuld als iemand zijn of haar register in de war heeft.


                      Samengevat is dit dus gewoon een andere manier dan de bekende "Je mist een codec, klik hier om de juiste codec te downloaden" om je een trojandownloader te laten downloaden.


                      Opmerking: Ik noem hier alléén Windows Mediaplayer, heb namelijk geen flauw idee welke andere mediaplayers ook het script zullen uitvoeren.
                      Last edited by ctrlaltdelete; 09-05-08, 02:25. Reden: voor de duidelijkheid

                      Comment


                      • #12
                        Hoort Media Player (de nieuwere versies) niet te waarschuwen wanneer de inhoud van het bestand niet correspondeerd met de extensie?
                        Je kunt dan in de meeste gevallen nog gewoon afbreken.

                        Overigens kun je over valse codecs (want daar gaat het om) meer informatie vinden in Jahewi's weblog. Die is daar mee bezig:


                        Het rapaille dat per Przewalskipaard arriveerde bij het feeëriek gesitueerde etablissement - komma -

                        "Verwar de waarheid niet met de mening van de meerderheid"

                        Comment


                        • #13
                          Het feit dat de extenties ongevaarlijk lijken (mensen zijn bang voor .exe of onbekende extenties) worden ze verleid om dan toch te bekijken wat het is, het is toch maar een Mp3'tje, wat kan daarmee mis zijn
                          zo wordt er dus gedacht (of gewoon totale ontwetendheid natuurlijk)


                          Comment


                          • #14
                            Oorspronkelijk geplaatst door EotT Bekijk Berichten
                            nog enkele namen van besmette bestanden :
                            preview-t-3545425-adult.mpg
                            preview-t-3545425-changing times earth wind .mp3
                            ...
                            t-3545425-bentley bizzle.mp3
                            ...
                            Even toevoegen aan het filter sleutelwoorden dus.



                            Oorspronkelijk geplaatst door Eagle Creek Bekijk Berichten
                            Hoort Media Player (de nieuwere versies) niet te waarschuwen wanneer de inhoud van het bestand niet correspondeerd met de extensie?
                            Als ie dat niet doet, moet je even terug naar WMP versie 9. Die waarschuwt al zodra je je muisaanwijzer op zo'n bestand zet - je krijgt niet eens de kans het aan te klikken:

                            Als ik niet een beetje gek was zou ik stapelgek worden.

                            Comment


                            • #15
                              Dat balkje daar links is volgens mij uniek voor Windows 2000. In XP(+) kun je Wmplayer niet vanuit verkenner starten op die manier.

                              Maar die waarschuwing bedoel ik dus .


                              Het rapaille dat per Przewalskipaard arriveerde bij het feeëriek gesitueerde etablissement - komma -

                              "Verwar de waarheid niet met de mening van de meerderheid"

                              Comment

                              Sorry, you are not authorized to view this page
                              Working...
                              X