Twee nieuwe varianten Slapper-worm gesignaleerd

Virusmaker nog steeds op vrije voeten

26 september 2002 | Jeff Ronge De Slapper-worm, die geïnfecteerde computers bundelt tot een netwerk om andere machines cq. netwerken aan te vallen, is gemuteerd. Twee nieuwe varianten van het verrassend moeilijk te bestrijden virus zijn bekend. De maker is nog steeds niet gearresteerd.

Veschillende nieuwssites baseerden zich op uitspraken van consultants van de beveiligingsfirma Internet Security Systens (ISS), die verklaarden dat een verdachte was opgepakt in Oekraïne. Volgens een officiële woordvoerster van ISS gaat het hier echter om een valse aanwijzing. "We hebben dit samen met de FBI nagetrokken, maar er is geen enkel bewijs van een arrestatie."

Ondertussen blijft de Slapper-worm dus actief. Verschillende leveranciers van antivirusproducten rapporteren dat deze week twee nieuwe varianten zijn gesignaleerd: de Slapper.worm.B, of "Cinik", en de Slapper.worm.C., ook bekend als "Unlock". Deze verschillen enigzins van de originele worm, maar gebruiken dezelfde tactieken.

De worm maakt misbruik van een zwakke plek in de secure socket layer (ssl), het open source-beveiligingscomponent zoals dat in de meeste op Linux gebaseerde Apache webservers wordt gebruikt. E-commerce-sites gebruiken deze component bijvoorbeeld voor de beveiliging van transacties tussen de eigen server en de computer van de klant.

Slapper is volgens de Finse antivirusproducent F-Secure in staat om Apache SSL-servers aan te vallen die draaien op Red Hat, SuSE, Mandrake, Slackware en Debian Linux. F-Secure schat dat hiermee wereldwijd meer dan een miljoen servers het risico lopen besmet te raken.

Vorige week leek de grootste dreiging van de worm achter de rug, nadat het virus 'slechts' 15.000 computers wist te infecteren. Dat is geen groot aantal in vergelijking met bijvoorbeeld Code Red, dat 400.000 computers bereikte. Desondanks blijft Slapper een probleem in meer dan 100 landen, stelt F-Secure.

Het enige verschil tussen het origineel en de varianten is dat de nieuwe worms verschillende poorten aanvallen en andere bestandsnamen hanteren. De B-variant gebruikt ook een backup-methode waarbij de worm een kopie van zichzelf download van een website als de gebruiker probeert het virus te verwijderen.

De laatste methode is echter uit te schakelen volgens F-Secure, wat de doorlopende verspreiding van het virus des te opmerkelijker maakt. Het bedrijf stelt dat systeembeheerders waarschijnlijk te kampen hebben met een te groot aantal virussen en het patchen van de geïnfecteerde systemen. Daarnaast lijkt de worm ook in staat systemen op nieuw te infecteren vanuit het zelf gevormde netwerk. Slapper is dus nog lang niet uitgeroeid... Lees meer artikels over : slapper, worm, variant

bron: ZDNet