Symantec: nieuw Trojaans paard bedreigt dns-servers

Mogelijke oorzaak voor toename internetverkeer

03 oktober 2003 | Jamie Biesemans SSymantec trekt aan de alarmbel over een nieuw malafide programmaatje dat inspeelt op een lek in Internet Explorer. Het zou dns-servers overbelasten, maar andere antivirusbedrijven zijn echter nog niet overtuigd van de impact van het Trojaans paard. Terwijl Symantec vreest dat het onding, Qhost1, zware internetactiviteit veroorzaakt, blijven andere virusbestrijders eerder terughoudend.

Het lijkt nog te vroeg om te voorspellen wat de gevolgen van Qhost1 zullen zijn. Een analyse door Sophos stelt dat het programma computers besmet en daarna de primaire DNS-instelling van Windows aanpast. Als voldoende machines door Qhost1 worden overgenomen, kan die dit op hetzelfde neerkomen als een Denial-of-Service-aanval op het ingegeven serveradres. De DNS wordt immers geraadpleegd als er een url in de browser wordt ingevoerd. Een positieve kant aan de zaak is dat Qhost1 geen mechanisme bevat om zichzelf verder te verspreiden.

Geniepig aan dit Trojaans paard is dat het zich ongezien op pc's nestelt. De besmetting vindt plaats door het bezoeken van een webpagina waarop een malafide VB-scriptje verstopt is. Die installeert het bestand Aolfix.exe, waarop op zijn beurt Qhost1 verpakt zit. Voor een tijdje zat het scriptje verborgen in een banner die op de sites verscheen van FortuneCity, een bedrijf dat net zoals GeoCities gratis webspace aanbiedt. Ook wordt gevreesd dat het ding verpakt zit in spam met html-opmaak.

Zowel McAfee als Trend Micro beschouwen Qhost1 als weinig gevaarlijk. Ook Symantec deelt die mening, maar met het nodige voorbehoud. Zij onderzoeken momenteel of het Trojaans paard achter de verhoogde DNS-activiteit zit die op internet waar valt te nemen. Dat zou kunnen als Qhost1 meer machines heeft geïnfecteerd dan tot nu geschat wordt. Resultaten van dat onderzoek worden op korte termijn verwacht. Lees meer artikels over : virus, qhost1

bron: ZDNet