Opmars Slapper-virus lijkt bedwongen

Zevenduizend servers besmet

23 september 2002 | Jamie Biesemans Het Slapper-virus is geen Code Red of Nimda, ondanks de aanvankelijke vrees van veiligheidsexperts. Dat blijkt uit het dalend aantal besmette servers. Ongeveer 7.000 Linux-machines raakten de afgelopen week geïnfecteerd, een fractie van de in totaal 400.000 servers die vorig jaar besmet raakten met Code Red.

Slapper of Apache/mod_ssl mikt op Linux-servers waar Apache websoftware op draait. Het virus maakt gebruik van een kwetsbaarheid in de OpenSSL-module, bedoelt om de dataverkeer tussen een pc en een server te beveiligen. Dat gebeurt onder meer bij online transacties die via de browser worden uitgevoerd.

Toen Slapper vorige week werd ontdekt, maakten experts zich direct grote zorgen. Niet alleen omdat het in korte tijd een groot aantal servers wist te besmetten, maar ook omdat het virus bijzonder vernuftig in elkaar was gezet. Het doet meer dan gewoon een server besmetten en op zoek gaan naar nieuwe slachtoffers. Nadat Slapper een server heeft geïnfecteerd, wordt de overgenomen machine opgenomen in een peer-to-peer netwerk. Via dit kanaal kan een hacker volledige controle over de server nemen of de machine inzetten bij een Denial-of-Service-aanval.

Het heeft één zwakheid: het p2p-netwerk is niet beveiligd. Veiligheidsexperts slaagden er daardoor in om het virus snel op spoor te komen. Op gespecialiseerde mailinglists wordt zelfs gespeculeerd dat het virus ook op deze manier vernietigd kan worden. Iemand zou over het netwerk een opdracht kunnen doorsturen om op alle besmette servers de virusbestanden te verwijderen. Voorlopig is dat nog niet gebeurd, uit vrees voor schadeclaims mocht er iets fout gaan. Lees meer artikels over : slapper

bron: ZDNet