Downadup-worm is raadsel voor virusexperts

Downadup-worm is raadsel voor virusexperts

Exclusief: Een interview met Patrik Runald, Chief Security Advisor bij F-Secure, over de Downadup-worm, nieuwe Nigeriaanse oplichtingsmailtjes en de strafrechtelijke vervolging van internetcriminelen.Patrik Runald - F-Secure

Het aantal kwaadaardige codes dat elke dag verschijnt is in 2008 ongeveer verviervoudigd. Het Finse beveiligingsbedrijf F-Secure ontdekt dagelijks ongeveer een miljoen nieuwe codes die moeten worden meegenomen in de nieuwe updates voor de beveiligingssoftware van het bedrijf. Het belangrijkste motief van criminelen om kwaadaardige programma’s te maken is geld. Maar virusexperts hebben nog steeds geen idee wat criminelen willen bereiken met de recente Downadup-worm.

De Downadup-worm, ook wel Conficker geheten, was in december in staat om wereldwijd in korte tijd miljoenen pc’s te besmetten. “Nog steeds zijn miljoenen pc’s besmet, maar op het hoogtepunt waren dat er bijna negen miljoen”, vertelt Patrik Runald, Chief Security Advisor bij F-Secure in een interview met Veldmuis.com.

Deze worm zit zeer ingenieus in elkaar, erkent Runald. “We zijn nu al weken bezig om precies uit te zoeken wat de worm doet en vooral waarom.” De worm neemt probeert onder meer het netwerkwachtwoord te achterhalen door een reeks eenvoudige wachtwoorden te proberen. Ook verspreidt het zichzelf via een groot aantal websites. De namen van die domeinen worden met een algoritme bepaald. Voor beveiligingsbedrijven is het moeilijk om te raden welke domeinnamen de malware gaat kiezen.

Uitzondering
Wat F-Secure pas heeft ontdekt, is dat een groot aantal ip-reeksen hierbij wordt uitgesloten. “De virusmakers hebben vooraf uitgezocht welke ip-reeksen bij de antivirusbedrijven en de cert’s (Computer Emergency Response Team) horen en die worden niet aangevallen. Dat heeft ze heel veel werk gekost.”

Het meest verwondert Runald zich over het waarom van de worm. “De criminelen hebben een nieuwe complexe worm ontwikkeld die een lek in Windows Server Service misbruikt waarvoor al sinds oktober vorig jaar en patch beschikbaar is. En ze hebben in korte tijd miljoenen pc’s met hun worm besmet, kunnen een enorme botnets creëren, maar ze doen er niets mee.”

De beveiligingsdeskundige van F-Secure vermoedt dat de criminelen de besmette pc’s onbenut laten omdat ze bang zijn om tegen de lamp te lopen. “Elke actie die ze nu doen, brengt ons dichter bij hun locatie en ware identiteit.” Tot op heden is het nog altijd onduidelijk waar de worm vandaan komt en wie erachter zit.

Voor de bedrijven die wel het slachtoffer zijn geworden van een grootschalige wormuitbraak of een hacker, is het belangrijk om aangifte te doen van internetcriminaliteit, vindt Runald. “Veel organisaties laten dit nu achterwege omdat de publiciteit slecht kan zijn voor hun reputatie. Maar we moeten het probleem van internetcriminaliteit naar de oppervlakte brengen, juist door er melding van te maken.”

Niet veiliger
Verder zijn er nog maar weinig grote virusuitbraken waardoor de consumenten het idee kan krijgen dat het allemaal veiliger is geworden.” Maar het tegendeel is waar, weet Runald. “De wormen en Trojaanse paarden van tegenwoordig gaan zijn veel vernuftiger en zijn veel moeilijker te ontdekken.”

Deze verandering is volgens hem te verklaren omdat het de virusmakers tegenwoordig alleen nog maar gaat om geld verdienen. “Jaren geleden wilden virusmakers in de schijnwerpers komen met hun kwaadaardige codes. Nu willen ze vooral niet ontdekt worden omdat er veel geld mee te verdienen valt.”

Runald is ook voorstander van zwaardere straffen. “Het is belachelijk dat internetcriminelen, nadat ze gepakt zijn, wegkomen met een taakstraf van 180 uur. Zolang die straffen zo laag zijn, de pakkans zo klein en de beloning groot, blijft het voor criminelen interessant om nietsvermoedende internetters op te lichten.”

Nieuwe manieren, oude technieken
Met de komst van web 2.0 en de sociale netwerken is het voor criminelen nog makkelijker geworden om slachtoffers te benaderen. “Ze proberen zoveel mogelijk persoonlijke details over je te weten te komen om je zo nog gerichter te kunnen benaderen. ‘Spear phishing’ heet deze manier.
Een voorbeeld hiervan is de recente datadiefstal bij vacaturesite Monster. Criminelen hebben nu toegang tot de cv’s van duizenden gebruikers. “Omdat ze veel over een persoon weten, kunnen ze heel gericht een phishingmailtje sturen en is de kans groter dat iemand erin trapt.”

Een andere nieuwe manier van oplichting is het kapen van een account op een sociaal netwerk, bijvoorbeeld Facebook. Als het account van bijvoorbeeld ‘Lisa’ is gekaapt, kan de crimineel naar haar contacten een ‘Nigeriaanse mail’ sturen waarin om geld wordt gevraagd. “Haar vrienden en kennissen zullen hier eerder op ingaan trappen omdat men een contactpersoon uit een sociaal netwerk eerder vertrouwt dan een mailtje van een onbekende”, stelt Runald.

Opvallend hierbij is dat de criminelen oude manieren gebruiken om nieuwe oplichtingsmethoden toe te passen. Dus de gebruikersnaam en het wachtwoord worden gestolen via een Trojaans paard of andere malware die eerder door het slachtoffer is geïnstalleerd, waarna de 419-scam kan worden verstuurd.”

In de afgelopen maand zijn wereldwijd enkele gevallen bekend waarbij van deze manier van oplichting gebruik is gemaakt.

Geef een reactie