Mydoom.A is de kwaadaardige code die zich sneller dan ieder ander computervirus verspreidt en daarmee de grootste epidemie ooit op zijn geweten heeft. Wereldwijd zijn naar schatting meer dan een half miljoen computers besmet geraakt, waaronder duizenden zakelijke systemen. De ‘inbus’ van de redactie van Computable bijvoorbeeld raakte eind vorige week in één dag overstroomd met maar liefst 1998 in quarantaine gezette virusmails.
Technische karakteristieken Mydoom.A is een worm die zich via mail verspreidt tot 12 februari 2004 in een bericht met variabele kenmerken en via het p2p-programma (peer-to-peer) Kazaa voor het delen van bestanden. Die boodschap heeft de volgende karakteristieken. De afzender is nooit de echte. Mydoom.A vervalst het mailadres, wat tot nogal wat verwarring leidt. Het onderwerp (subject) is: test, hi, hello, mail delivery system, mail transaction failed, server report, status of error. De tekst van de boodschap luidt: ‘mail transaction failed’, ‘partial message is available’, ’the message contains Unicode characters and has been sent as a binary attachment’ of ’the message cannot be represented in 7-bit ascii encoding and has been sent as a binary attachment’. Er is een bijlage (attached file) waarvan zowel de extensie als de bestandsnaam variëren. Mogelijke namen zijn: document, readme, doc, text, file, data, test, message en body, of pif, scr, exe, cmd, bat en zip. Het bestand heeft soms een dubbele extensie. Als dat het geval is, is de eerste altijd htm, txt of doc. Mydoom.A voert een ddos-aanval uit tegen http://www.sco.com als de systeemdatum ligt tussen 1 en 12 februari 2004. Dat doet het door elke 1024 milliseconden een ‘GET/http/1.1 request’ uit te sturen. Op 12 februari stopt de worm daarmee. Mydoom.A download een dll-bestand, shimgapi.dll, waarmee een achterdeur gemaakt wordt die de eerste de beste beschikbare poort opent tussen 3127 en 3198. Deze achterdeur stelt een ‘executable’-bestand in staat gedownload en uitgevoerd te worden. De achterdeur treedt als proxy op en zou een hacker op afstand toegang kunnen geven tot het netwerk. Infectie met Mydoom.A is gemakkelijk te herkennen omdat het virus bij executie de Windows Notepad opent (notepad.exe) en daarin door elkaar gehusselde tekst laat zien. Het virus creëert twee bestanden. Het ene, taskmon.exe, bevat een kopie van het virus. Het andere, message, bevat de tekst die weergegeven wordt in Notepad als het virus de eerste keer wordt geactiveerd. Mydoom.A creëert verschillende ‘entries’ in het Windows Register om er zeker van te zijn dat het wordt uitgevoerd elke keer dat de machine start. Via mail bereikt Mydoom computers in een bijlage (attachment). Als dit bestand wordt uitgevoerd, is de computer geïnfecteerd. Zodra dat het geval is, zoekt Mydoom.A naar adressen in bestanden met de extensie htm, sht, php, asp, dbx, tbb, adb, pl, wab en txt. Het zendt zichzelf naar alle adressen die het kan vinden en naar alle contacten in het Windows-adresboek, en maakt daarbij gebruik van zijn eigen ‘smtp-engine’. Om dat te bereiken tracht het virus een smtp-sessie te openen en in verbinding te komen met mailservers door de volgende voorzetsels (prefixes) toe te voegen aan het domein van het bedoelde adres: gate, mail, mail1, mx, mx1, mxs, ns, relay of smtp. Bij verspreiding via Kazaa creëert Mydoom.A kopieën van zichzelf in het gedeelde opslaggebied van dit p2p-programma. Deze kopieën hebben een naam die varieert, bestaande uit een willekeurige bestandsnaam en een willekeurige extensie. Mogelijke namen zijn Winamp5, ICQ2004-final, Activation_crack, Strip-girl-20bdcom-patch, Rootkitxp, Office_crack en Nuke2004. Die kunnen de extensies pif, scr, bat of exe hebben. |
Het eind is nog niet in zicht; de worm is geprogrammeerd om zich te verspreiden tot 12 februari. De voortplantingssnelheid is in feite constant gebleven met zo nu en dan een toename. Om gebruikers te helpen de situatie beter te begrijpen heeft antivirus-bedrijf Panda Software een dagboek bijgehouden van de Mydoom.A-epidemie vanaf de start op 27 januari.
Dinsdag 27 januari
Top drie actieve virussen
|
Al valt de procedure om een virus te detecteren eenvoudig uit te leggen, het is geenszins een simpele opgave. Ten eerste heb je de kwaadaardige code zelf nodig. Er zijn verschillende bronnen. Een daarvan is dat antivirus-gebruikers verdachte bestanden opsturen, of omdat ze zelf twijfelen, of omdat de heuristische scanner van het antivirus-programma het bestand als verdacht heeft aangemerkt.
It-deskundigen onderwerpen de viruscode vervolgens aan reverse-engineering en ontdekken zo de interne codering en de functies. Tegelijkertijd worden op een goed geïsoleerd, afgescheiden netwerk diverse computers moedwillig besmet. Deze testcomputers zijn ingericht om vast te leggen hoe het virus werkt en hoe snel het zich verspreidt.
Zodra deze informatie is verzameld wordt een ‘vaccin’ vervaardigd. Dat omvat onder meer het vinden van een identificatie of ‘handtekening’ van het virus en het creëren van een desinfectie-mechanisme. Met deze gegevens wordt een opwaardering gereed gemaakt van het antivirus-programma, die aan de gebruikers beschikbaar wordt gesteld via de website van de leverancier. Alle antivirus-fabrikanten stellen het tegengif tegen Mydoom.A snel ter beschikking van hun gebruikers.
Er zijn echter nog veel computers die zonder adequate en actuele antivirus-bescherming aan externe netwerken hangen. Dit betekent dat Mydoom.A zich ongecontroleerd heeft kunnen verspreiden. De worm is ontworpen om zich snel te verspreiden via mail.
Om de razendsnelle verspreiding van Mydoom.A te breidelen hebben de antivirus-leveranciers gratis ‘verwijdertools’ aangeboden die het virus detecteren en verwijderen van geïnfecteerde computers, en die veranderingen in de systeemconfiguratie die de worm heeft aangebracht terugdraaien.
Mydoom.A ging echter door zich snel te verspreiden, daarbij talloze computers infecterend. Daarmee eiste het zijn plaats in de geschiedenis op als een van de kwaadaardigste virussen ooit.
Antivirus-bedrijven blijven vooral bedrijven, die het hoofddoel zijn van de worm, waarschuwen voor de gevaren. Sommige bedrijven rapporteren dat de antivirus-software tot aan drieduizend besmette mails tegenhoudt. Schattingen geven aan dat al meer dan anderhalf miljoen mails besmet zijn en dat wereldwijd meer dan 150 duizend computers aangetast zijn.
Woensdag 28 januari
Top drie actieve virussen
|
Gegevens verzameld door het online antivirus-programma Panda Activescan wijzen uit dat Mydoom.A zes maal meer computers heeft geïnfecteerd dan Bugbear.B uit juni 2003, dat op de tweede plaats staat op de ranglijst van meest gedetecteerde virussen.
Naar schatting driehonderdduizend computers wereldwijd zijn besmet geraakt met Mydoom.A, waaronder duizenden ondernemingen.
Tegen het eind van de dag verschijnt Mydoom.B op het toneel, een gevaarlijke variant die geprogrammeerd is om opwaardering van antivirus-applicaties te verhinderen. Het aantal gemelde incidenten is echter niet significant.
Donderdag 29 januari
Mydoom.A verspreidt zich nog steeds snel. Een op de vijf mails is thans drager van het virus. Er zijn vier miljoen geïnfecteerde mails in omloop. Luis Corrons, directeur van Panda Labs, legt uit dat "Mydoom.A geen hogere waarden bereikt vanwege de veiligheidsmaatregelen die bedrijven hebben getroffen nadat ze besmet zijn geraakt. Maar het stopt ook niet, en raakt nu bedrijven zonder bescherming die bij de eerste golf van besmette mails gespaard zijn gebleven."
Volgens Activescan heeft Mydoom.A zesmaal meer computers besmet dan Bugbear.B. Ondernemingen over de hele wereld krijgen de zwaarste klappen van Mydoom.A. Het aantal besmette computers loopt op tot vierhonderdduizend.
Vrijdag 30 januari
Top drie actieve virussen
|
De worm verspreidt zich nog steeds. Er zijn nu acht miljoen besmette mails in omloop: één op de vier mails is drager van de Mydoom.A-worm.
Doordat het weekend is loopt de bedrijvigheid bij ondernemingen terug. De verwachting is dan ook dat de epidemie zal afnemen. Op zondag 1 februari zou het virus echter een ddos-aanval (distributed denial of service) inzetten op de website van SCO, om toegang tot die site te verhinderen.
Het feit dat de activiteit van de worm naar verwachting zal afnemen is geen reden voor gebruikers om niets te doen. Mydoom.A creëert immers een achterdeur in besmette computers die kwaadwillenden onterecht toegang verschaft tot de systemen. Op internet is veel activiteit waargenomen van hackers op jacht naar geïnfecteerde computers.
Daarom raden virusfabrikanten bedrijven aan alsnog ‘firewalls’ te installeren en in te richten. Daarmee kunnen ze ddos-aanvallen voorkomen en hackers buiten de deur houden, en zo de effecten van deze worm neutraliseren.
Zaterdag 31 januari
Nu de zakelijke activiteiten op een lager pitje staan, begint de epidemie te stabiliseren, hoewel het aantal infecties nog steeds hoog is.
Zondag 1 februari
Mydoom.A start de ddos-aanval op de ‘homepage’ van SCO. Die is niet langer bereikbaar voor gebruikers.
Maandag 2 februari
Top drie actieve virussen
|
Op wereldwijd niveau ligt het aantal infecties meer dan vijf keer hoger dan die van Downloader.L, dat op de tweede plaats staat. Terwijl het zakenverkeer over de wereld hervat wordt, neemt het aantal incidenten weer toe.
Net als de vorige dag is de website van SCO onbereikbaar.
De verspreiding
Opwaarderen Alle antivirus-bedrijven adviseren gebruikers hun antivirus-oplossingen te actualiseren. Ze hebben opwaarderingen om Mydoom.A te detecteren en onschadelijk te maken ter beschikking gesteld van hun klanten. Panda Software heeft daarvoor Pqremove ontwikkeld (http://pandasoftware.com/download/utilities). |
Dit gedrag veroorzaakt een onevenredig grote toename in de pogingen namen te vinden in dns-servers. Analyse van gegevens die in ‘rootservers’ worden gegenereerd geeft daarom een goed inzicht in virale gebeurtenissen.
Uit de activiteit van de laatste week van januari in de dns-servers onder beheer van Ripe (Reseaux IP Europeéns) blijkt dat het aantal afgewezen verzoeken veel hoger is dan normaal. Dat komt geheel voor rekening van pogingen om verzoeken omtrent niet bestaande namen af te handelen. Het aantal ontvangen ‘queries’ is hoger, maar laat geenszins dezelfde groei zien als het aantal geweigerde ‘queries’. In de week voor het verschijnen van het virus bedroeg het aantal ontvangen verzoeken nooit meer dan 5,5 miljoen. Toen het virus zich begon te verspreiden liep dat op tot zeven miljoen, minder dan het dubbele aantal. Het aantal afgewezen verzoeken was echter meer dan honderd maal zo groot.
Deborah Dupaix, Panda Software Benelux