Wie heeft er nog last van spyware?

[nirwana]

Om hier een voorbeeldje bij te geven: nieuwslezers. Hiermee bedoel ik het soort nieuwslezers dat je gebruikt om RSS en Atomfeeds te volgen. De meeste van deze dingen (niet allemaal) gebruiken de motor van IE om de pagina's weer te geven. Eigenlijk surf je dus ook met IE, zonder echt 'te surfen'...

Maar dankzij de Mozilla ActiveX Control is het redelijk eenvoudig voor een applicatie-ontwikkelaar om Mozilla onderliggend te gebruiken. Zie http://www.mozbrowser.nl/wiki/wiki.phtm ... veXControl voor meer informatie.

[Z_God]

Wat bedoel je?

Inderdaad software die van de lekken in IE gebruik maakt om op je systeem te komen. De spyware die ik bedoelde, was alleen spyware die eventueel via een browser op je systeem kan komen. Als je software installeert, zonder dat je het eerst uitvoert (ik weet dat dit onder Windows erg lastig is, omdat ieder progje z'n eigen setup heeft) en vervolgens de geinstalleerde software alleen als gebruiker draait, is er op zich ook nog niet zoveel aan de hand.

Op het moment dat je ergens meer rechten voor nodig hebt, hoef je doorgaans alleen maar je root/admin wachtwoord te geven.

Jij hebt het over Linux
Maar ik over Windows XP.

Onder Windows kan je ook software onder een andere user draaien. Je kan met 'runas' bijvoorbeeld een explorer of een cmd venster als Administrator starten en van daaruit al je beheer doen.

[Ria]

Om hier een voorbeeldje bij te geven: nieuwslezers. Hiermee bedoel ik het soort nieuwslezers dat je gebruikt om RSS en Atomfeeds te volgen.

Ik hoop dat de extensie "RSS-reader" veilig is Zijn er nog meer programma's bekend die gebruik maken van IE-onderdelen? Die moeten dan natuurlijk wel contact kunnen maken met het internet. Zijn daar voorbeelden van?

Als je software installeert, zonder dat je het eerst uitvoert (ik weet dat dit onder Windows erg lastig is, omdat ieder progje z'n eigen setup heeft)

Hoe zou je het kunnen uitvoeren zonder het te installeren??? Je moet het tenminste ergens neerzetten. En daardoor snap ik de rest van je stelling:

en vervolgens de geinstalleerde software alleen als gebruiker draait, is er op zich ook nog niet zoveel aan de hand.

dus ook niet.

Je kan met 'runas' bijvoorbeeld een explorer of een cmd venster als Administrator starten en van daaruit al je beheer doen.

Je moet er wat voor over hebben om je zelfgekozen curatele door te voeren :) Maar het had inderdaad wel beter geregeld kunnen worden in Windows voor de brave ja-klikkers.

Groeten,
Ria

[Ria]

Zo is de Internet Explorer (iexplore.exe) weinig anders dan een programma dat de COM-objecten binnen Windows gebruikt om het Internet te bezoeken.

Wat is een COM-object? Sorry voor de lange lijst maar dat schijnt allemaal in explorer.exe te zitten:

Code: Selecteer alles

Port Statistics

TCP mappings: 0
UDP mappings: 0

Loaded modules:
C:\WINDOWS\explorer.exe (0x01000000)

C:\WINDOWS\System32\ntdll.dll (0x77F40000)
C:\WINDOWS\system32\kernel32.dll (0x77E40000)
C:\WINDOWS\system32\msvcrt.dll (0x77BE0000)
C:\WINDOWS\system32\ADVAPI32.dll (0x77DA0000)
C:\WINDOWS\system32\RPCRT4.dll (0x78000000)
C:\WINDOWS\system32\GDI32.dll (0x7E180000)
C:\WINDOWS\system32\USER32.dll (0x77D10000)
C:\WINDOWS\system32\SHLWAPI.dll (0x70A70000)
C:\WINDOWS\system32\SHELL32.dll (0x77390000)
C:\WINDOWS\system32\ole32.dll (0x7CCC0000)
C:\WINDOWS\system32\OLEAUT32.dll (0x770E0000)
C:\WINDOWS\System32\BROWSEUI.dll (0x71500000)
C:\WINDOWS\System32\SHDOCVW.dll (0x71700000)
C:\WINDOWS\System32\UxTheme.dll (0x5B190000)
C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805\comctl32.dll (0x78090000)
C:\WINDOWS\system32\comctl32.dll (0x77300000)
C:\WINDOWS\System32\SynTPFcs.dll (0x63000000)
C:\WINDOWS\system32\VERSION.dll (0x77BD0000)
C:\WINDOWS\system32\appHelp.dll (0x75EE0000)
C:\WINDOWS\System32\CLBCATQ.DLL (0x7A170000)
C:\WINDOWS\System32\COMRes.dll (0x77010000)
C:\WINDOWS\System32\cscui.dll (0x765C0000)
C:\WINDOWS\System32\CSCDLL.dll (0x765A0000)
C:\WINDOWS\System32\themeui.dll (0x5BA50000)
C:\WINDOWS\System32\Secur32.dll (0x76F50000)
C:\WINDOWS\System32\MSIMG32.dll (0x76320000)
C:\WINDOWS\system32\USERENV.dll (0x75A10000)
C:\WINDOWS\System32\LINKINFO.dll (0x76930000)
C:\WINDOWS\System32\ntshrui.dll (0x76940000)
C:\WINDOWS\System32\ATL.DLL (0x76AD0000)
C:\WINDOWS\System32\NETAPI32.dll (0x71BB0000)
C:\WINDOWS\system32\NETSHELL.dll (0x75C90000)
C:\WINDOWS\system32\credui.dll (0x76BC0000)
C:\WINDOWS\system32\WS2_32.dll (0x71A30000)
C:\WINDOWS\system32\WS2HELP.dll (0x71A20000)
C:\WINDOWS\system32\iphlpapi.dll (0x76D20000)
C:\WINDOWS\System32\SAMLIB.dll (0x71B80000)
C:\WINDOWS\System32\SETUPAPI.dll (0x76620000)
C:\WINDOWS\System32\msi.dll (0x017F0000)
C:\WINDOWS\System32\WINSTA.dll (0x76300000)
C:\WINDOWS\System32\webcheck.dll (0x74AB0000)
C:\WINDOWS\System32\stobject.dll (0x74A80000)
C:\WINDOWS\System32\BatMeter.dll (0x74A70000)
C:\WINDOWS\System32\POWRPROF.dll (0x74A50000)
C:\WINDOWS\System32\WTSAPI32.dll (0x76F10000)
C:\WINDOWS\System32\WINMM.dll (0x76AF0000)
C:\WINDOWS\System32\SYNCOR11.DLL (0x6BD00000)
C:\WINDOWS\System32\wdmaud.drv (0x72C90000)
C:\WINDOWS\System32\msacm32.drv (0x72C80000)
C:\WINDOWS\System32\MSACM32.dll (0x77BB0000)
C:\WINDOWS\System32\midimap.dll (0x77BA0000)
C:\WINDOWS\System32\RASAPI32.dll (0x76EA0000)
C:\WINDOWS\System32\rasman.dll (0x76E50000)
C:\WINDOWS\System32\TAPI32.dll (0x76E70000)
C:\WINDOWS\System32\rtutils.dll (0x76E40000)
C:\WINDOWS\System32\SXS.DLL (0x75E30000)
C:\WINDOWS\System32\browselc.dll (0x723C0000)
C:\WINDOWS\system32\urlmon.dll (0x1A400000)
C:\WINDOWS\System32\DUSER.dll (0x6C6A0000)
C:\WINDOWS\system32\WININET.dll (0x02400000)
C:\WINDOWS\system32\CRYPT32.dll (0x76260000)
C:\WINDOWS\system32\MSASN1.dll (0x76240000)
C:\WINDOWS\system32\comdlg32.dll (0x76350000)
C:\WINDOWS\System32\jscript.dll (0x6B700000)
C:\WINDOWS\System32\shdoclc.dll (0x718C0000)
C:\WINDOWS\system32\MPR.dll (0x71AA0000)
C:\WINDOWS\System32\drprov.dll (0x75F00000)
C:\WINDOWS\System32\ntlanman.dll (0x71BA0000)
C:\WINDOWS\System32\NETUI0.dll (0x71C60000)
C:\WINDOWS\System32\NETUI1.dll (0x71C20000)
C:\WINDOWS\System32\NETRAP.dll (0x71C10000)
C:\WINDOWS\System32\davclnt.dll (0x75F10000)
C:\WINDOWS\System32\MSGINA.dll (0x75910000)
C:\WINDOWS\System32\ODBC32.dll (0x031E0000)
C:\WINDOWS\System32\odbcint.dll (0x1F850000)
C:\WINDOWS\System32\printui.dll (0x74B00000)
C:\WINDOWS\System32\WINSPOOL.DRV (0x72F70000)
C:\WINDOWS\System32\ACTIVEDS.dll (0x76E00000)
C:\WINDOWS\System32\adsldpc.dll (0x76DD0000)
C:\WINDOWS\system32\WLDAP32.dll (0x76F20000)
C:\WINDOWS\System32\CFGMGR32.dll (0x74A60000)
C:\WINDOWS\System32\WINTRUST.dll (0x76BF0000)
C:\WINDOWS\system32\IMAGEHLP.dll (0x76C50000)
C:\WINDOWS\System32\rsaenh.dll (0x0FFD0000)
C:\Program Files\GiPo@Utilities\GiPo@MoveOnBoot\mboot.dll (0x10000000)
C:\Program Files\Clickie\Clickie.dll (0x013D0000)
C:\PROGRA~1\COFFEE~1\FreeZip\cczipdll.dll (0x020D0000)
C:\Program Files\AVPersonal\AVShlExt.DLL (0x013F0000)
C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (0x01760000)
C:\PROGRA~1\SPYBOT~1\SDHelper.dll (0x022D0000)
C:\WINDOWS\System32\olepro32.dll (0x5F230000)
C:\WINDOWS\System32\sendmail.dll (0x5D1F0000)
C:\WINDOWS\System32\zipfldr.dll (0x732F0000)
C:\WINDOWS\System32\mydocs.dll (0x723A0000)
C:\WINDOWS\System32\shgina.dll (0x73CE0000)
C:\WINDOWS\System32\RASDLG.dll (0x754D0000)
C:\WINDOWS\System32\MPRAPI.dll (0x76D00000)
======================================================

[Z_God]

Als je software installeert, zonder dat je het eerst uitvoert (ik weet dat dit onder Windows erg lastig is, omdat ieder progje z'n eigen setup heeft)

Hoe zou je het kunnen uitvoeren zonder het te installeren??? Je moet het tenminste ergens neerzetten.

Ik zeg installeren zonder uit te voeren, niet uit te voeren zonder te installeren. Ik bedoel dat veel Windows programma's hun eigen setup hebben en je die eerst moet uitvoeren om het te installeren. Je hebt echter ook programma's die bijvoorbeeld in een ZIP file verspreid worden.
Stel bijvoorbeeld dat je een ZIP file hebt met Firefox erin die besmet is met een virus. Als een administrator dan Firefox installeert door alleen de ZIP file uit te pakken naar iets als 'Program Files', wordt de besmette Firefox uiteindelijk alleen door een normale gebruiker gestart. Op zo'n moment is de schade van een virus nog beperkt (het kan er in ieder geval niet voor zorgen dat je systeem helemaal niet meer start).

[nirwana]

Wat een COM-object is ? COM staat voor het Component Object Model en is de opvolger van Object Linking and Embedding (OLE) binnen Windows. OLE is bekend geworden als methode waarmee Windows-programma's onderling kunnen samenwerken. Het is een plugin-architectuur. Zo kun je bijvoorbeeld een met Visio-object gemaakt object in Microsoft Word hangen. Als je vervolgens op dat object klikt wordt Visio opgestart en kun je het object daarmee bewerken en de versie in Word bijwerken.

Dit werd opgevolgd door COM. De bekendste COM-variant is ActiveX. Daarmee kun je namelijk uitbreidingen voor IE (ActiveX-controls) schrijven. Zo zijn er veel plugins als ActiveX-control uitgevoerd. Puur omdat er zoveel IE-gebruikers zijn en dit daarmee helaas een interessant platform is geworden.
Maar ActiveX staat inmiddels voornamelijk bekend vanwege de negatieve kanten. Het is namelijk nogal erg makkelijk om op Ja te klikken en vervolgens je browser open te zetten voor allerhande adware en spyware. En zie die dan maar weer eens weg te krijgen...

Een COM-object maakt het eenvoudig om aanroepbare methoden van een object beschikbaar te maken voor andere objecten. Zoals in een Dynamic Linked Library (DLL) allemaal functies zitten die Windows kan gebruiken, zo zitten in een ActiveX ook allemaal functies en objecten die je kunt gebruiken.
Een programmeertaal die COM (Microsoft programmeertalen, Borland Delphi, etc) ondersteunt kan een programmeur gebruik laten maken van zo'n object. Aangezien Microsoft hevig gebruik maakt van COM zijn binnen Windows veel COM-componenten aanwezig. Die kun je zo ook in je eigen programma gebruiken. Zo kun je dus een eigen IE-versie schrijven. Groot nadeel daarvan is wel dat je dan alle problemen van IE ook meeneemt. De door jou gebruikte browser identificeert zich bijvoorbeeld als IE en gebruikt de IE-instellingen. Dat kan wel eens handig zijn, maar je krijgt het niet goed ondersteunen van webstandaarden er ook gratis bij en dat is wat minder mooi.

Gelukkig is er ook een Mozilla ActiveX Control waarmee je zonder veel moeite ook Mozilla kunt gebruiken in je eigen programma.

OLE, COM en ActiveX zijn Windows-specifiek. Er zijn ook wel soortgelijke technologieen die platform-onafhankelijk zijn. Zo is er CORBA ook Java RMI/IIOP zou je eronder kunnen rekenen. Als je wilt zou je zelfs nog SOAP en XML-RPC (gebruikt voor webservices) in die hoek kunnen schuiven.

Ik hoop trouwens dat die ClickIE.dll in jouw overzicht een betrouwbare is. De naam doet namelijk anders vermoeden.

[Ria]

Ja, Clickie doet dit:
C:\Program Files\Clickie\Clickie.dll
Hij kopieert het pad naar het klembord. De naam slaat nergens op en klinkt idd louche.

Groeten,
Ria

[Ria]

Op zo'n moment is de schade van een virus nog beperkt (het kan er in ieder geval niet voor zorgen dat je systeem helemaal niet meer start).

Dus je gaat ervan uit dat een virus, als je het zelf activeert, zich als een gewoon programma gedraagt en dus de rechten krijgt van degene die het activeert.
Maar als het door een lek in het besturingssysteem komt, bijvoorbeeld Sasser, deze accountrechten omzeild worden en de indringer zich administratorrechten kan verschaffen.
En mogelijk heeft het ook met het soort lek te maken of de indringer al dan niet administratorrechten krijgt; dat veronderstel ik tenminste.

Groeten,
Ria

[Ria]

Wat een COM-object is ? COM staat voor het Component Object Model en is de opvolger van Object Linking and Embedding (OLE) binnen Windows. OLE is bekend geworden als methode waarmee Windows-programma's onderling kunnen samenwerken. Het is een plugin-architectuur. Zo kun je bijvoorbeeld een met Visio-object gemaakt object in Microsoft Word hangen. Als je vervolgens op dat object klikt wordt Visio opgestart en kun je het object daarmee bewerken en de versie in Word bijwerken.

Wat is een object?
Kramers woordenboek: object=voorwerp
In mijn beleving is een object een voorwerp waarbij de nadruk ligt op vorm en grootte.
In de explorer.exe lijst staan een aantal "dingen" nl. de DLL-en. Ze hebben een duidelijke verschijningsvorm en zijn dus min of meer begrijpelijk.
Bij de "objecten" die je noemt krijg ik geen beeld en dus stopt mijn begrip na de eerste zin.
Vind ik wel jammer.

Groeten,
Ria

[ByteWarrior]

Wat is een object?

Wikipedia helpt je uit de nood:
COM

Een object kan eender wat zijn: een muziekbestand, een filmpje, een tekstdocument, een e-mail, ...

Met zo'n object kan je verschillende dingen doen. Je kan bijvoorbeeld een e-mail aan een document "linken". Meer moet je achter dit hele gedoe niet zoeken.

[Ria]

En mogelijk heeft het ook met het soort lek te maken of de indringer al dan niet administratorrechten krijgt; dat veronderstel ik tenminste.

Nee, dat is kul; een nutteloos lek is geen lek.

[Ria]

Meer moet je achter dit hele gedoe niet zoeken.

Ik zoek er niks achter; ik probeer alleen maar grip te krijgen waar het over gaat.
Ik ken "object" ook in de betekenis van "werkstuk".
Object in de vorm van "emailprogramma" is me onbekend.

[Z_God]

Op zo'n moment is de schade van een virus nog beperkt (het kan er in ieder geval niet voor zorgen dat je systeem helemaal niet meer start).

Dus je gaat ervan uit dat een virus, als je het zelf activeert, zich als een gewoon programma gedraagt en dus de rechten krijgt van degene die het activeert.

Ja, het merendeel van de virussen/spyware maakt namelijk niet gebruik van lekken of bugs.

[Ria]

Je kan bijvoorbeeld een e-mail aan een document "linken".

Snap echt niet wat er bedoeld wordt.
Is er geen synoniem voor "object" te geven waardoor de betekenis in deze context duidelijk wordt?

Groeten,
Ria

[Erik]

Op zo'n moment is de schade van een virus nog beperkt (het kan er in ieder geval niet voor zorgen dat je systeem helemaal niet meer start).

Dus je gaat ervan uit dat een virus, als je het zelf activeert, zich als een gewoon programma gedraagt en dus de rechten krijgt van degene die het activeert.

Ja, het merendeel van de virussen/spyware maakt namelijk niet gebruik van lekken of bugs.

Volgens die beschrijving lijkt het dan eerder op een trojan horse. Het is vaak zo dat een virus wordt gebruikt om poorten open te zetten in het systeem. Vervolgens wordt er een server opgezet, zoals subseven ofzo en is het systeem volledig onder controle van de hijacker.

Tegenwoordig steeds vaker virussen die gebruik maken van lekken in het OS, die al lang gedicht zouden moeten zijn d.m.v een eerder verschenen patch. Ik denk aan Sobig, Netsky, etc. Veel virusmakers surfen gewoon het web af naar recente exploits in een OS en gaan daar hun virus op bouwen. Succes is dan bijna gegarandeerd. Er zijn nog altijd (te) veel mensen die hun systeem niet up-to-date houden.