Dat op 1 april een nieuwe versie van de Downadup- of Conficker-worm actief wordt, betekent niet dat die dag Downadup D-Day wordt. Dat zegt softwarebeveiliger Symantec. De kans dat het wereldwijde botnetwerk van wormen gezamenlijk tot actie overgaat, wordt wel groter.
De snel muterende Downadupworm is vanaf 1 april in één klap een stuk gevaarlijker. Vanaf die datum wordt namelijk een nieuwe versie actief: versie C. Deze heeft meer mogelijkheden om zichzelf te veranderen. De kans dat het wereldwijde botnetwerk van Downadupwormen gezamenlijk tot actie overgaat wordt daarmee groter.
Het is echter onwaarschijnlijk dat het botnetwerk van wormen precies op 1 april zijn slag slaat. Dat zegt technisch account manager Tom Welling van Symantec. "Veel onderzoekers focussen op die datum, maar 1 april hoeft niet de dag te zijn dat het botnetwerk toeslaat. Al was het alleen maar omdat de makers van de worm weten dat op die datum alle ogen op hen gericht zijn."
117 domeinen
De huidige A- en B-versies leggen elke dag contact met 250 verschillende websites, op zoek naar een update of opdracht. Welke websites dat zijn, wordt bepaald door een algoritme. Beveiligingsonderzoekers hebben dat algoritme gekraakt en kunnen elke dag voorspellen welke websites het botnetwerk gaat bezoeken. De organisaties die zich bezighouden met de uitgifte van domeinnamen, werken samen om te voorkomen dat die webadressen niet in handen van kwaadwillenden komen.
Dat lukt tot nu toe aardig, maar vanaf 1 april is het gekkenwerk. Dan wordt namelijk versie C van Downadup actief. Wormen van deze generatie bezoeken dagelijks vijftigduizend verschillende websites. Bovendien vallen die websites binnen 117 domeinen, in plaats van binnen de zeven domeinen die versie A en B frequenteerden. "Een deel van die 117 domeinen wordt beheerd door landen die veel minder secuur omspringen met de uitgifte van domeinnamen", vertelt Welling.
P2P
Toch hoeft dit alles niet te betekenen dat het botnetwerk van wormen precies op 1 april zijn slag slaat. Al was het alleen maar omdat zowel versie A, B als C al lange tijd beschikken over een ander krachtig mechanisme om te muteren: ze kunnen via peer-to-peer (p2p) updates aan elkaar doorgeven. Welling: "Wanneer een worm aanklopt bij een nieuwe machine en daar een medeworm aantreft, installeert hij zichzelf niet. Dat zou de kans op ontdekking alleen maar groter maken. Maar als de geïnstalleerde worm ouder is, krijgt hij van de nieuwe worm wel alle updates."
De Downadup-worm kent daarnaast nog allerlei andere "heel complexe trucs. Eén daarvan is dat de worm alleen updates accepteert die bewijsbaar afkomstig zijn van de oorspronkelijke maker. Dat gebeurt via versleuteling. Dat betekent dat anderen dus geen misbruik kunnen maken van het Downadup-netwerk."
Makers onbekend
Ook al zijn de meeste Nederlandse bedrijven gevrijwaard van Downadup, toch kunnen ze er theoretisch wel last van krijgen zodra het botnetwerk tot actie overgaat. "Er zijn voldoende gebruikers wereldwijd die niet beveiligd zijn tegen Downadup. Daaronder vallen bijvoorbeeld gebruikers uit landen zoals China en Thailand. Daar worden veel illegale Windows-versies verhandeld. De gebruikers van die versies laten hun machines meestal niet automatisch updaten, uit angst ontdekt te worden."
Volgens Welling is het erg moeilijk te achterhalen wie er achter de Downadup-worm zit. "De makers zijn heel professioneel. Normaal kun je, bijvoorbeeld aan commentaar of grapjes in de code, nog wel zien wat de nationaliteit van wormmakers is, maar dat is niet het geval bij Downadup."
Downadup of Conficker
Microsoft looft een beloning uit van een kwart miljoen dollar aan diegene die informatie geeft die leidt tot het opsporen van de maker van de Downadup-worm, die ook wel wordt aangeduid als Conficker. De worm nestelt zich in Microsofts besturingssystemen Windows 2000, XP en Server 2003. Het beveiligingslek werd begin januari 2009 ontdekt en maakt misbruik van het feit dat veel systemen een patch uit oktober 2008 missen.
Patchen alleen is niet voldoende om besmetting met de worm te voorkomen. Een systeem is pas echt veilig als, behalve de patch, ook goede antimalware- en antivirussoftware is geïnstalleerd. Dat vertelde Ruud de Jonge, die verantwoordelijk is voor Microsofts Developer en Platform-groep, eerder aan Computable. De Jonge: "In eerste instantie richt hij zich op systemen die niet goed zijn gepatcht. Maar ook gepatchte systemen zijn niet veilig. De worm scant ook alle netwerkshares, of er nu is gepatcht of niet. Daar komt hij binnen door administratorwachtwoorden te raden en uitvoerbare bestanden te installeren."
“…werken samen om te voorkomen dat die webadressen niet in handen van kwaadwillenden komen.”
Toch fijn als je de boeven op die manier in de kaart speelt 🙂
1. “Een daarvan is dat de worm alleen updates accepteert die bewijsbaar afkomstig zijn van de oorspronkelijke maker. Dat gebeurt via versleuteling.”
2. “Daar worden veel illegale Windows-versies verhandeld.”
Zomaar een ideetje hoor:
Zou dit virus van Microsoft ZELF afkomstig kunnen zijn om alle illegale windows versies definitief te killen?
Zij weten immers als geen ander hoe Windows in elkaar zit. Zij zijn op de hoogte van alle bugs die er nog in zitten. Ook de bugs die tot nu toe nog niet door de security experts zijn ontdekt.
Think about it 🙂
Ronald Vermeij: misschien is het van JOU afkomstig. Je bent in ieder geval goed in het schetsen van doemscenario’s. Niet echt een MS fan zo te zien?
@(anonieme) gast: Nope! Ik moet je teleurstellen.
Als ik dat “level of program_coding skills” had, dan had ik inmiddels wel mijn eigen counter measures gebouwd tegen deze Downadup- of Conficker-worm gevaren.
Doem-scenario’s schetsen:
Das meer werk voor mensen die er professioneel belang bij hebben zoals security-services, anti-virus, anti-malware produkten leveranciers en politici die internet censuur willen aanscherpen onder het mom van “de de terroristen dreiging bla bla bla nu via cyberspees”
Ik heb mijzelf eens hardop afgevraagd – als diehard icter – met veel jaren diepgaande microsoft ervaring:
– WIE heeft er belang bij?
– WAT zijn de klappen van de potentiele slachtoffers?
– WIE heeft de kennis om zo’n virus te kunnen bouwen?
– HOE het dan uitgevoerd zou kunnen worden?
– Wat gaan de GEVOLGEN worden na dit virus
Ander mogelijke kandidaten zouden kunnen zijn:
– De vijanden van de USA
– De vijanden van Microsoft
– Cyber-criminelen
–
Echt doemscenario zou zijn:
Aantal security fabrikanten sluit geheime deal met een aantal programmeurs. Fabrikanten leveren de ge-reversed engineerde sourcecode van microsoft produkten. Programmeurs maken voor fabrikanten computer-virussen op maat voor windows.. en EVERLASTING BUSINESS voor beiden!
Vraagje om zelf te overdenken “gast”:
Hoe zou SONY erin geslaagd zijn de eerste Windows ROOTKIT te maken? WIE heeft hen die kennis geleverd?
[MsFan (y/n):]
Ik heb vele jaren met veel plezier gewerkt op het windows platform zowel prive en zakelijk. Echter hun manier van zakendoen, de technische gammelheid van het platform, de marketing security bla bla die iedere keer onderuit getrokken word door dit soort berichtgevingen, het structurele gebrek aan heldere en duidelijk openbaar toegangelijke kennis en gereedschappen waar je zelf iets mee kunt doen … maakt dat het niet mijn “favourite operating system of choice” is.
Wie denk jij dat deze virussen geschreven heeft “gast”?
Heb je er zelf al een idee over?
Als oud-Cobol/Fortran/Pascal programmeur maak ik graag een compliment aan het adres van Ronald Vermeij met zijn visie op dit artikel.
@Henk: Thanks!
Als mogelijke oplossing tegen deze worm:
Virtualisatie.
Schaf eenmalig een legale Windows-licentie aan en installeer op dat systeem any virtualisatie programma.
Sluit die af voor de buitenwereld (misschien met een link naar basis-OS) en prop er nog een lekkere firewall tussen.
Dan kan je lekker aan de slag met je illegale licenties via virtualisatie.
Ook is de “60-dagen voor activatie” eenvoudig uit MS te slopen middels wat van het “betere tweakwerk”.
Goh, en dat maar van een studentje?
En, ik vind de reactie van Ronald echt geweldig! Goed over nagedacht. Echter, support aan goede kanten is wel prettig te zien.
Nog betere oplossing tegen de worm:
Windows boycotten en UNIX/LINUX gaan draaien.
Deze OS’s zijn meestal nog gratis ook.
PS: Ik ben niet echt een MS-lover, mocht je je dat afvragen door mijn reactie.