Tweede Bugbear-virus verovert Nederland

Mix van infectiemogelijkheden bevordert verspreiding

05 juni 2003 | Jeff Ronge Een nieuwe variant van de Bugbear-worm, bekend onder de naam Win32.Bugbear.B, is gesignaleerd en bedreigt systemen van zowel zakelijke als thuisgebruikers. Nederland staat al op de derde plaats als verspreider van het virus.

Jakub Kaminsky, erkend virus-expert van Computer Associates bevestigt dat de antivirus-laboratoria van zijn werkgever het eerste sample van de variant donderdag hebben ontvangen van een Australische gebruiker.

Andere beveiligingsbedrijven hebben de worm ook al 'in het wild' ontdekt. IDefense trof Bugbear.B bijvoorbeeld op woensdag al aan in Australië en de Verenigde Staten, en zegt dat het virus zich snel verspreidt. Messagelabs, dat e-mail servers beheert voor 700.000 klanten uit de hele wereld, heeft inmiddels al meer dan 17.500 met dit virus besmette mailtjes onderschept in 106 landen. Het virus is het meest onderschept in Italië (15 procent), Groot-Brittannië (15 procent) én Nederland (11 procent).

Afgelopen herfst verspreidde de eerste versie van Bugbear zich ook al erg snel, destijds genereerde het virus 320.000 besmette mailtjes in zijn eerste week volgens Messagelabs. Deze week werden pc-gebruikers al opgeschrikt door de verspreiding van W32/Sobig.C-mm, de derde variant van het Palyh-virus. Deze week registreerde Messagelabs 30.000 door dit virus besmette berichten per dag.

Net als de eerste worm is Bugbear.B een mass mailing-virus dat Windows-pc's infecteert. Na besmetting zoekt het virus in het systeem naar e-mail adressen, en verzendt een kopie van zichzelf naar elk gevonden adres. Bugbear gebruikt hierbij een willekeurig adres uit het adresboek van de geïnfecteerde pc als afzender van de berichten. Hierdoor is niet duidelijk waar de e-mails vandaan komen en valt moeilijk te bepalen of een systeem is besmet.

De worm heeft echter nog een aantal infectiemogelijkheden. Zo probeert het virus zich te verspreiden via netwerken door zichzelf te kopiëren naar computers die (gedeeltes van) hun harde schijf delen met het geïnfecteerde systeem. Bugbear scant het systeem ook op de aanwezigheid van een lange lijst beveiligingsprogramma's en stopt deze als ze op het systeem van het slachtoffer draaien. Daarnaast is nog bekend dat de worm ook in staat is netwerkprinters een grote hoeveelheid binaire data af te laten drukken.

Het meest gevaarlijke ingrediënt van het mix-virus is de installatie van een zogeheten keylogger. Dit programma slaat op wat de gebruiker typt, een methode om bijvoorbeeld aan passwords of credit card-informatie te komen. Ook installeert Bugbear een Trojan, een achterdeurtje, die communiceert via poort 1080, waardoor een aanvaller de controle over het geïnfecteerde systeem kan krijgen.