Downadup-worm is actief geworden

10 april 2009 - 08:433 minuten leestijdActueelCloud & InfrastructuurKaspersky Lab
Jolein de Rooij
Jolein de Rooij

Waar beveiligingsdeskundigen al een tijdje bang voor waren, blijkt te gebeuren: het Downadup-botnetwerk gaat tot actie over. Financieel gewin lijkt het doel van de acties. Zo downloadt versie C van deze snel muterende worm onder meer een nep-antispywarerogramma dat vijftig dollar wil om zogenaamde beveiligingslekken te verhelpen.

Het Downadup-botnet is actief geworden. Beveiligingsdeskundigen waren al vanaf 1 april op hun hoede. Vanaf die datum is een nieuwe versie van deze snel muterende worm actief: versie C. Deze variant, die meer mogelijkheden heeft om zichzelf te veranderen, blijkt sinds 8 april op geïnfecteerde computers ongevraagd malware te downloaden. Dat heeft antivirusssoftware-leverancier Kaspersky ontdekt.

Versie C downloadt onder meer een nep-antivirusprogramma, dat sinds eind 2008 al bekend is onder de naam FraudTool.Win32.SpywareProtect2009.s. Deze nep-applicatie meldt de gebruiker dat zijn computer beveiligingsproblemen heeft en biedt aan deze uit de weg te ruimen voor vijftig dollar. Bovendien haalt versie C van Downadup de Waledac-worm binnen. Deze worm probeert gegevens te stelen en verstuurt spam.

Daarnaast is een nieuwe versie van Downadup gesignaleerd, die versie E gedoopt is en tot 3 mei actief is.

Peer-to-peer

Wormen van generatie C bezoeken dagelijks vijftigduizend verschillende websites, op zoek naar een update of opdracht. Welke websites dat zijn, wordt bepaald door een algoritme. Beveiligingsonderzoekers hebben dat algoritme gekraakt en kunnen elke dag voorspellen welke websites het botnetwerk gaat bezoeken.

De organisaties die zich bezighouden met de uitgifte van domeinnamen, werken samen om te voorkomen dat die webadressen in handen van kwaadwillenden komen. Toen enkel versie A en B van de worm nog actief waren, was dat nog enigszins te doen: A en B legden dagelijks ‘slechts' contact met 250 verschillende websites binnen zeven domeinen. Vanaf versie C is het gekkenwerk geworden om alle vijftigduizend sites uit handen van criminelen te houden.

Daarnaast beschikken alle versies van Downadup over een ander krachtig mechanisme om te muteren: ze kunnen via peer-to-peer (p2p) updates aan elkaar doorgeven.

Downadup of Conficker

Microsoft looft een beloning uit van een kwart miljoen dollar aan diegene die informatie geeft die leidt tot het opsporen van de maker van de Downadup-worm, die ook wel wordt aangeduid als Conficker. De worm nestelt zich in Microsofts besturingssystemen Windows 2000, XP en Server 2003. Het beveiligingslek werd begin januari 2009 ontdekt en maakt misbruik van het feit dat veel systemen een patch uit oktober 2008 missen.

Patchen alleen is niet voldoende om besmetting met de worm te voorkomen. Een systeem is pas echt veilig als, behalve de patch, ook goede antimalware- en antivirussoftware is geïnstalleerd. Dat vertelde Ruud de Jonge, die verantwoordelijk is voor Microsofts Developer en Platform-groep, eerder aan Computable. De Jonge: "In eerste instantie richt hij zich op systemen die niet goed zijn gepatcht. Maar ook gepatchte systemen zijn niet veilig. De worm scant ook alle netwerkshares, of er nu is gepatcht of niet. Daar komt hij binnen door administratorwachtwoorden te raden en uitvoerbare bestanden te installeren."

Meer lezen

6 reacties op “Downadup-worm is actief geworden”

  1. En wederom die storende taalfout:
    “…werken samen om te voorkomen dat die webadressen niet in handen van kwaadwillenden komen.”

    Voorkomen dat iets niet gebeurt is in mijn woordenboek er juist voor zorgen dat het wel gebeurt.

  3. Is besmetting (aanwezigheid van de WORM op een pc) te detecteren?
    En is er bij besmetting een tool beschikbaar voor verwijdering?
    Nuttige linkjes daarvoor?

Geef een reactie

Footer