[HaBo]

05.08.05, 12:51

An Austrian virus writer has published five simple viruses targeting Microsoft MSH in a virus writing magazine. These proof-of-concept viruses will never became a real-world problem, but the case is interesting historically, as these are the first viruses for a totally new platform.

MSH, or Microsoft Command Shell, is a command line interface and scripting language. It's basically a replacement for shells such as CMD.EXE, COMMAND.COM or 4NT.EXE and will ship in 2006. As a command-line front end, MSH resembles many Unix shells quite a bit.

As MSH (codenamed 'Monad') was scheduled to ship as the default shell for Windows Vista (which went to first beta last week), you could argue that these are the first viruses for Windows Vista. However, it has lately been rumoured that MSH might not ship with Vista at all - instead might be part of Microsoft Exchange 2006 or something. We won't know for sure until later.

The possibility of MSH viruses was forecasted last year by researcher Eric Chien (of Symantec) in his presentation in the Virus Bulletin 2004 conference titled "The return of script viruses - an overview of Microsoft Shell". In his presentation Eric concluded: "While Microsoft Shell is still in development, the current versions have enough functionality to allow a variety of malicious threats including file-infecting viruses". Right on.

Links: http://www.f-secure.com/v-descs/danom.shtml
http://www.wininsider.com/news/?8208

Text & Quelle: http://www.f-secure.com/

Sven · 05.08.05, 12:57

Zitat:

Original von Heise
Es handelt sich bei den vorgestellten Skripten allerdings um recht triviale Befehlssammlungen, die typische virale Funktionen nachstellen; so hat der Autor nach eigenen Angaben in sechs Stunden ein 7-zeiliges Skript geschrieben, das andere Skripte mit sich selbst überschreibt.

Nach einigen weiteren Stunden hat er seinem Skript auch beigebracht, nur den eigenen Code hinzuzufügen. Angesichts der Tatsache, dass selbst die "fortgeschrittenen" Varianten des Skriptes nicht einmal die Ausführung des einkopierten Codes sicherstellen, von einem Virus zu sprechen, ist jedoch reichlich überzogen.

http://www.heise.de/newsticker/meldung/62473

wenn man jetzt schon mit ein paar Script als Virus ankommt, kann man den Leuten auch nicht mehr helfen.

Hauptsache mal "jippie wir haben den ersten VISTA Virus"

und 6 h für ein 7 Zeiliges Script *no comment*

Anzeige

- Anzeige -

05.08.05, 13:07

es geht primär darum, dass jemand scheinbar ohne hintergrundmaterial auf einer völlig neuen plattform etwas geschrieben hat, welches *theoretisch* ein erster schritt in richtung virusscripting ist. das erklärt die lange codingzeit. wenn soetwas *jetzt* schon möglich ist, wie sieht das dann bei der finalversion aus, wenn man vollen zugriff auf diese shell sowie zu fachliteratur hat?

Sven · 05.08.05, 13:21

du kannst diese Shell jetzt schon testen/bekommen (beta.microsoft.com)

Dort liegt auch Literatur bei (betaplace) bzw ein getting startet mit den wichtigsten hinweisen zur MSH

05.08.05, 13:42

nach einem "getting started"-script schaut mir das aber icht aus ...

Sven · 05.08.05, 13:51

ein kleiner auszug aus dem getting startet

Zitat:

Branching expressions are fully supported. If/elseif/else and switch are provided as part of the language. Braces are required for the script blocks that follow if, elseif, else or switch.

Code:

MSH> $a = 3

MSH> if ( $a -lt 5 ) { Write-Host $a is less than 5 

>> } elseif ( $a ?gt 10 ) { Write-Host $a is greater than 10 

>> } else { Write-Host $a is greater than 5 and less than 10 }

3 is less than 5

MSH> switch ($a) {

>> 1 {"got one"} 

>> 2 {"got two"} 

>> 3 {"got three"}

>> }

got three

sheepd · 05.08.05, 13:51

Mich würde mal interessieren, was daran so speziell ist.
Man kann doch auch mit BASH-Scripts solche "Viren" erzeugen, die andere Dateien mit ihrem Inhalt überschreiben, die entsprechenden Berechtigungen vorausgesetzt.
Für mich ist das wieder so ein sinnloses MS-Bashing.
Wer mit Admin-Rechten arbeitet: Pech gehabt.
Das ist genau so ein Schuss ins Knie wie als Root unter Unix zu arbeiten.
Irgendwo muss ich aber falsch liegen.
Wenn das so stimmt, wie ich es schreibe, dann ist diese Meldung irgendwie lächerlich.

05.08.05, 13:58

Zitat:

Original von sheep dude
Mich würde mal interessieren, was daran so speziell ist.
Man kann doch auch mit BASH-Scripts solche "Viren" erzeugen, die andere Dateien mit ihrem Inhalt überschreiben, die entsprechenden Berechtigungen vorausgesetzt.
Für mich ist das wieder so ein sinnloses MS-Bashing.
Wer mit Admin-Rechten arbeitet: Pech gehabt.
Das ist genau so ein Schuss ins Knie wie als Root unter Unix zu arbeiten.
Irgendwo muss ich aber falsch liegen.
Wenn das so stimmt, wie ich es schreibe, dann ist diese Meldung irgendwie lächerlich.

wenn es microsoft "wie immer" macht, dann werden wieder nahezu alle mit adminaccounts arbeiten. dann werden diese scripts höchst interessant.

ps.: damit sven's puls wieder normalstand erreicht:

(...)
Demnmach habe ein österreichischer Virenautor fünf simple Viren geschrieben, die die Microsoft Command Shell [MSH] in Windows Vista anvisieren.

Vorerst gelten die Viren, die noch keinen Namen erhalten haben, erst einmal als "Proof of Concept". Vor allem, weil noch nicht fix ist, ob die MSH auch in der endgültigen Version von Vista enthalten sein wird.

futurezone.orf.at

Sven · 05.08.05, 15:12

http://www.proudlyserving.com/archiv...d_monad_v.html

dort ist ein "möchtegern Virus" - Script zu sehen, dass kann man nicht als Virus sehen, sowas is Spielerei für Script Kiddys.

Und wie im Channel 9 (wo übrigens auch noch 4 andere "Virenscripte" von einem User angegeben wurden) gesagt wurde:

Die Person muss
1. Immernoch das Script selber ausführen
2. erstmal das WINFX SDK installiert haben

05.08.05, 15:32

*toc*

junge, es ist a) ein proof of concept - falls du sowas kennst und b) die erste beta von vista!

06.08.05, 17:21

Vista erscheint nun ohne Command-Shell.

http://blogs.technet.com/msrc/archiv...05/408720.aspx

Anzeige

- Anzeige -

05.08.05, 12:51	#1 (permalink)
non Guest Likes:	First "Vista Virus" found Anzeige An Austrian virus writer has published five simple viruses targeting Microsoft MSH in a virus writing magazine. These proof-of-concept viruses will never became a real-world problem, but the case is interesting historically, as these are the first viruses for a totally new platform. MSH, or Microsoft Command Shell, is a command line interface and scripting language. It's basically a replacement for shells such as CMD.EXE, COMMAND.COM or 4NT.EXE and will ship in 2006. As a command-line front end, MSH resembles many Unix shells quite a bit. As MSH (codenamed 'Monad') was scheduled to ship as the default shell for Windows Vista (which went to first beta last week), you could argue that these are the first viruses for Windows Vista. However, it has lately been rumoured that MSH might not ship with Vista at all - instead might be part of Microsoft Exchange 2006 or something. We won't know for sure until later. The possibility of MSH viruses was forecasted last year by researcher Eric Chien (of Symantec) in his presentation in the Virus Bulletin 2004 conference titled "The return of script viruses - an overview of Microsoft Shell". In his presentation Eric concluded: "While Microsoft Shell is still in development, the current versions have enough functionality to allow a variety of malicious threats including file-infecting viruses". Right on. Links: http://www.f-secure.com/v-descs/danom.shtml http://www.wininsider.com/news/?8208 Text & Quelle: http://www.f-secure.com/

05.08.05, 13:21	#4 (permalink)
Sven Member of Honour Registriert seit: 14.09.03 Likes: 34	du kannst diese Shell jetzt schon testen/bekommen (beta.microsoft.com) Dort liegt auch Literatur bei (betaplace) bzw ein getting startet mit den wichtigsten hinweisen zur MSH __________________ Mein Portfolio Meine Fotogalerie best view with open eyes

05.08.05, 15:12	#9 (permalink)
Sven Member of Honour Registriert seit: 14.09.03 Likes: 34	http://www.proudlyserving.com/archiv...d_monad_v.html dort ist ein "möchtegern Virus" - Script zu sehen, dass kann man nicht als Virus sehen, sowas is Spielerei für Script Kiddys. Und wie im Channel 9 (wo übrigens auch noch 4 andere "Virenscripte" von einem User angegeben wurden) gesagt wurde: Die Person muss 1. Immernoch das Script selber ausführen 2. erstmal das WINFX SDK installiert haben __________________ Mein Portfolio Meine Fotogalerie best view with open eyes

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Autochk not found	[Fresh]	Windows	0	26.01.07 21:27
app 4 "FOUND.000" .CHK-Dateien	Caleb	Applikationen	2	02.01.06 23:02
Found.000	User0815	Windows	2	14.11.03 17:52
Virus-Hysterie: Gefährlicher Handy-Virus entpuppt sich als Panikmache	Tec	News & Ankündigungen	0	07.11.02 13:25
Found.000 ==>> was ist das	Flou	Windows	10	19.03.02 00:13

05.08.05, 13:07	#3 (permalink)
non Guest Likes:	es geht primär darum, dass jemand scheinbar ohne hintergrundmaterial auf einer völlig neuen plattform etwas geschrieben hat, welches theoretisch ein erster schritt in richtung virusscripting ist. das erklärt die lange codingzeit. wenn soetwas jetzt schon möglich ist, wie sieht das dann bei der finalversion aus, wenn man vollen zugriff auf diese shell sowie zu fachliteratur hat?

05.08.05, 13:42	#5 (permalink)
non Guest Likes:	nach einem "getting started"-script schaut mir das aber icht aus ...

05.08.05, 13:51	#7 (permalink)
sheepd Registriert seit: 15.10.04 Likes: 0	Mich würde mal interessieren, was daran so speziell ist. Man kann doch auch mit BASH-Scripts solche "Viren" erzeugen, die andere Dateien mit ihrem Inhalt überschreiben, die entsprechenden Berechtigungen vorausgesetzt. Für mich ist das wieder so ein sinnloses MS-Bashing. Wer mit Admin-Rechten arbeitet: Pech gehabt. Das ist genau so ein Schuss ins Knie wie als Root unter Unix zu arbeiten. Irgendwo muss ich aber falsch liegen. Wenn das so stimmt, wie ich es schreibe, dann ist diese Meldung irgendwie lächerlich.

05.08.05, 15:32	#10 (permalink)
non Guest Likes:	toc junge, es ist a) ein proof of concept - falls du sowas kennst und b) die erste beta von vista!

06.08.05, 17:21	#11 (permalink)
non Guest Likes:	Vista erscheint nun ohne Command-Shell. http://blogs.technet.com/msrc/archiv...05/408720.aspx

[HaBo]

First "Vista Virus" found