Ik vraag me af of dit te vertrouwen is? De usb stick (die overigens in de verkenner niet te zien was) bevatte een link naar een website waar mijn vriendin naar naam en die van haar bedrijf op te zien was. Ik kan me niet voorstellen dat een hacker de moeite neemt om al zijn slachtoffers zo persoonlijk te benaderen.
Ik ga zometeen printcarrier mailen om te vragen wat dit voor crap is, maar wtf? Iemand hier meer ervaringen mee?
quote:je moest is weeeetenOp woensdag 6 oktober 2010 18:04 schreef vogeltjesdans het volgende:
Ik kan me niet voorstellen dat een hacker de moeite neemt om al zijn slachtoffers zo persoonlijk te benaderen.
----
Misschien alleen wel bij je vriendin
Het is niet in de verkenner te zien omdat het zich als een keyboard presenteert, en op die manier van alles aan commando's kan sturen naar je PC. De bedoeling hiervan is om toch automatisch dingen op te starten op PC's die ofwel niet automatisch USB-storage-devices mounten, ofwel de autorun vanaf storage-devices disabled hebben staan.
Dat kan ongevaarlijk zijn, goedbedoelde communicatie van een bedrijf, keiharde spam, maar als je even Google raadpleegt zie je dat er ook gevallen bekend zijn waarbij het onmiddelijk security-related bestanden van je PC over het internet probeert te versturen.
Dat dit ook maar een waarschuwing mag zijn voor iedereen die zo'n kreng van printcarrier ontvangt!
-laten we de google bait ff lekker achterwege laten-
edit: whehehe google indexeert snel
[ Bericht 12% gewijzigd door Jo0Lz op 08-10-2010 08:50:02 ]
quote:http://seclists.org/risks/2009/q4/3Date: Tue, 27 Oct 2009 01:14:59 -0400
From: David Lesher <wb8foz () panix com>
Subject: AMEX sends USB trojan keyboards in ads
A fellow user group member reported getting a USB-fob from American Express.
When he plugged in to a port, it attempted to send his xterm command line to
<HTTP://VCGW.NET/..../.....> {the dots were hex digits, it appears.... [and
PGN changed x to dot to avoid filtering]} but didn't succeed. [It may be
Windows and Mac compatible, but not Linux...]
That address redirects to an Amex URL: <https://www201.americanexpress.com/>;
It identified itself on the USB chain as:
Bus 003 Device 003: ID 05ac:020b Apple, Inc. Pro Keyboard
[Mitsumi, A1048/US layout]
Since it's clearly NOT an Apple Pro Keyboard; one wonders why the
manufacturer <http://www.ikyp.com> chose that false identity. The masquerade
as a keyboard might also have been to penetrate those machines that do not
blindly mount USB storage devices.
Risks:
While we now look for incoming malware on the TCP/IP connections, clearly we
need to similarly monitor the other ports as well; you can do just as much
damage (or more) with a insider keyboard attack, given some social
engineering. Is the power line next?
[I'm somewhat reminded of the DOS era story of a voice recognition product
demo where someone in the audience yelled "FORMAT C:" and "YES"....]
This is tangential:
<http://www.digitalsociety(...)ed-and-possessed/>;
quote:Het is dus een keyboard emulator en geen beschrijfbare stick.Op woensdag 6 oktober 2010 18:41 schreef drumstickNL het volgende:
Vol zetten met virussen en terug sturen is inderdaad de beste optie.
quote:De afzender heeft die link er toch op een of andere manier in gekregen...Op woensdag 6 oktober 2010 18:47 schreef vogeltjesdans het volgende:
[..]
Het is dus een keyboard emulator en geen beschrijfbare stick.
Ze zullen het wel niet kwaad bedoelen, maar om op deze manier je reclame rond te sturen vind ik niet echt netjes.
quote:Je snapt em nog steeds niet, zeker?Op donderdag 7 oktober 2010 16:40 schreef RiDo78 het volgende:
[..]
De afzender heeft die link er toch op een of andere manier in gekregen...
Het is een USB-apparaat met bepaalde functionaliteit, namelijk het nadoen van je keyboard met voorgeprogrammeerde toetsen en is dus geen USB-stick om dingen op te zetten.
quote:Oh jawel... maar de afzender heeft dat ding geprogrammeerd om die toetsen uit te sturen, wat betekent dat dat ding waarschijnlijk ook een mogelijkheid heeft om te herprogrammeren. Dus, websiteje bouwen met een virusje erin geëmbed en de link van de website terug in dat usb-gedrocht branden. Oké... je hebt misschien een UV-lampje nodig alvorens je kunt schrijven...
Je snapt em nog steeds niet, zeker?
Het is een USB-apparaat met bepaalde functionaliteit, namelijk het nadoen van je keyboard met voorgeprogrammeerde toetsen en is dus geen USB-stick om dingen op te zetten.
't is vast mogelijk om met een API call de username en registratie informatie van Windows uit te lezen, misschien zelfs simpel uit de Registry.
quote:Ja, ik ben ook wel benieuwd wat zo'n USB bij mij zou doen in ubuntuOp donderdag 7 oktober 2010 22:19 schreef Casino.Bob het volgende:
keiharde format met nieuwe partitie in ubuntu zou ik doen.
quote:Het probleem is dat dit ding programma's op je PC kan opstarten, zelfs als je al zo slim bent geweest om het automatisch mounten van USB-storage-devices, en het uitvoeren van autorun vanaf externe storage (USB, CD/DVD) te blokkeren.Op vrijdag 8 oktober 2010 07:39 schreef FredvZ het volgende:
Wat een drukte om een stukje promotie materiaal....
Hoewel het in dit geval vermoedelijk alleen gaat om spam, is het hele mechanisme bedoeld om een eventuele beveiliging zoals hierboven aangegeven te omzeilen, en het wordt dus al door hackers gebruikt. Het is ook niet uit te sluiten dat naast het zichtbare spam-gebeuren ook nog op de achtergrond minder onschuldige commando's worden uitgevoerd, bijv. het aanpassen van de firewall-rules van het betreffende systeem.
Deze constructie is dan ook "veiliger" dan en "normale"' USB stick waarop een autorun programma wel allerlei instructies op de achtergrond kan uitvoeren.
quote:Van veel gebruikers hoef je niet te verwachten dat ze begrijpen wat er gebeurt op het scherm. Als ze dan ook nog op een of andere manier van het OS hogere rechten krijgen is het toch een vrij link apparaatje.Op vrijdag 8 oktober 2010 14:23 schreef FredvZ het volgende:
De grap is dat zo'n ding niets ongemerkt kan doen omdat het zich voor doet als een toetsenbord. Elke actie zal je dan ook op het scherm kunnen volgen.
Deze constructie is dan ook "veiliger" dan en "normale"' USB stick waarop een autorun programma wel allerlei instructies op de achtergrond kan uitvoeren.
quote:O ja ?Op vrijdag 8 oktober 2010 14:23 schreef FredvZ het volgende:
De grap is dat zo'n ding niets ongemerkt kan doen omdat het zich voor doet als een toetsenbord. Elke actie zal je dan ook op het scherm kunnen volgen.
Lees de OP nog even.
Een run-venster wordt geopend, waarvanuit een browser-window wordt geopend.
Heb je zelfs voldoende tijd om weer naar het oorspronkelijke venster te switchen, te beoordelen of wat er verder nog gebeurt wenselijk is, en dat te verhinderen ? En beantwoord die vraag vanuit de denkwereld van een gemiddelde gebruiker.
't Is makkelijk om vanuit dat venster de firewall te disablen, een programmaatje te downloaden en te starten, en dan kan het venster zelfs gesloten worden, en weet niemand wat er gebeurd is. Ondertussen is de PC volkomen overgeleverd aan wat de leverancier van het speeltje ermee wilde.
quote:Je verhaal is wel gebaseerd op de aanname dat de gebruiker als beheerder is ingelogd. Maar bijvoorbeeld een keylogger is natuurlijk wel zo in userspace geinstalleerd.Op vrijdag 8 oktober 2010 14:49 schreef mvdejong het volgende:
[..]
O ja ?
Lees de OP nog even.
Een run-venster wordt geopend, waarvanuit een browser-window wordt geopend.
Heb je zelfs voldoende tijd om weer naar het oorspronkelijke venster te switchen, te beoordelen of wat er verder nog gebeurt wenselijk is, en dat te verhinderen ? En beantwoord die vraag vanuit de denkwereld van een gemiddelde gebruiker.
't Is makkelijk om vanuit dat venster de firewall te disablen, een programmaatje te downloaden en te starten, en dan kan het venster zelfs gesloten worden, en weet niemand wat er gebeurd is. Ondertussen is de PC volkomen overgeleverd aan wat de leverancier van het speeltje ermee wilde.
quote:Nee, want die info staat er niet op. Het was niet haar pc.Op donderdag 7 oktober 2010 22:04 schreef gebrokenglas het volgende:
Trouwens: die info van je vriendin kan ook gewoon letterlijk van je pc geplukt zijn.
't is vast mogelijk om met een API call de username en registratie informatie van Windows uit te lezen, misschien zelfs simpel uit de Registry.
quote:Dat promotiemateriaal zal me wordt zijn, wel dat er ongevraagd en automatisch een stukje code op mijn pc wordt uitgevoerd.Op vrijdag 8 oktober 2010 07:39 schreef FredvZ het volgende:
Wat een drukte om een stukje promotie materiaal....
quote:Hij stuurt je wel meteen naar een site met mogelijk malicious content.Op vrijdag 8 oktober 2010 14:23 schreef FredvZ het volgende:
De grap is dat zo'n ding niets ongemerkt kan doen omdat het zich voor doet als een toetsenbord. Elke actie zal je dan ook op het scherm kunnen volgen.
En een commando is snel gegeven hoor, zelfs al zie je wat er gebeurt. Dan ben je vaak niet niet snel genoeg om in te grijpen.
quote:Dit dus.Op vrijdag 8 oktober 2010 15:35 schreef vogeltjesdans het volgende:
[..]
Hij stuurt je wel meteen naar een site met mogelijk malicious content.
En een commando is snel gegeven hoor, zelfs al zie je wat er gebeurt. Dan ben je vaak niet niet snel genoeg om in te grijpen.
Het enige dat hoeft te gebeuren is het aanroepen van een scriptje in een minimized command line en het sluiten van de parent. Dat kan in minder dan een tiende van een seconde wel, lijkt me zo.
quote:dan zie je iig wel dat er iets mis en kan je actie ondernemen. ( netwerkstekker eruit trekken en virusscanner draaien, als je niet een waarschuwing had gekregen).Op vrijdag 8 oktober 2010 15:35 schreef vogeltjesdans het volgende:
[..]
Hij stuurt je wel meteen naar een site met mogelijk malicious content.
En een commando is snel gegeven hoor, zelfs al zie je wat er gebeurt. Dan ben je vaak niet niet snel genoeg om in te grijpen.
Met een reguliere USB stick is het maar afwachten wanneer je ontdekt dat een programma op de achtergrond dingen heeft gewijzigd.
quote:En wat dacht je van een pop-up met de melding 'To install this hardware Windows requires you to enter the Administrator password. Please enter your Administrator password and press OK to continue.' ?Op vrijdag 8 oktober 2010 15:38 schreef FredvZ het volgende:
[..]
dan zie je iig wel dat er iets mis en kan je actie ondernemen. ( netwerkstekker eruit trekken en virusscanner draaien, als je niet een waarschuwing had gekregen).
Met een reguliere USB stick is het maar afwachten wanneer je ontdekt dat een programma op de achtergrond dingen heeft gewijzigd.