Storm Worm spreekt zijn slachtoffers toe via mp3

Virusschrijvers maken afsplitsingen voor partijverkoop

22 oktober 2007 | Rowald Pruyn De nieuwste vermomming van het virus Storm Worm is een vals mp3-bestand dat luisteraars aanspoort aandelen te kopen. Om meer winst te maken, zijn de schrijvers inmiddels begonnen met de verspreiding van kleine botnetjes met hun eigen legers besmette computers.

De mp3-bestanden met namen als beatles.mp3 en elvis.mp3 laten een vervormde stem horen die luisteraars aanspoort om te investeren in een beursfonds. Zodra de koers omhoog gaat, verkopen de afzenders hun aandelen en gaan ze er vandoor met de opbrengst. De mp3's bezorgen netwerkbeheerders de nodige kopzorgen, omdat ze nauwelijks te onderscheiden zijn van authentieke liedjes.

Joe Stewart, senior beveiligingsman van SecureWorks, gelooft dat het aantal besmette computers zo ergens tussen de 250.000 en een miljoen ligt. De worm infecteert zijn slachtoffers via een achterdeur, waarna de schrijver de computers op elk gewenst tijdstip kan inzetten voor spamverzending en ander onheil. Eerdere schattingen spraken van vijftig miljoen 'zombies' die de Storm Worm meer eer geven dan hij hoort te krijgen.

Netwerk slinkt
Stewarts vermoedens worden bevestigd door een recent verschenen rapport van de universiteit van Californië. Analist Brandon Enright zegt daarin dat het netwerk flink is geslonken en nog maar 160.000 computers in zijn greep houdt, waarvan er 20.000 elk moment kunnen worden geactiveerd. Volgens het rapport, zo meldt PC World, beginnen beveiligers de streken van het botnet te herkennen en heeft Microsoft op 11 september een update toegevoegd aan zijn Malicious Software Removal tool, die Storm Worm direct aanpakt.

"Of het nu om miljoenen of honderdduizend besmettingen gaat, als ze allemaal tegelijk worden ingeschakeld is de schrijver van dit virus in staat om wie dan ook offline te halen", zegt Stewart in een vraaggesprek met Robert Vamosi van CNet News. De SecureWorks-specialist volgt de worm al vanaf zijn begindagen en merkt dat er nieuwe plannen op komst zijn. Het virus verspreidt zich via het Overnet-protocol, een type P2P-netwerk waar onder meer eDonkey gebruik van maakt.

Stewart ziet de laatste tijd dat gedeelten van de besmettende pakketjes verschillende encrypties bevatten. Hij denkt dat die beveiliging is gemaakt zodat alleen bepaalde computers elkaar herkennen, waardoor aparte botnetjes ontstaan.

Nu het grote netwerk flink in omvang is geslonken, stappen de schrijvers over op versnippering om hun geld te verdienen. "Het enige voordeel van die encryptie is de betere herkenbaarheid voor netwerkbeheerders", zegt Stewart. "Het is normaal moeilijk te zien of je te maken hebt met normaal P2P-verkeer of besmettingen. Door die encryptie zie je vrijwel meteen dat het hier niet om doorsnee Overnet-verkeer gaat." Lees meer artikels over : botnet, storm, p2p

bron: ZDNet