Stilte voor de Storm Worm

Ware omvang aantal besmette computers blijft moeilijk te schatten

In januari van dit jaar viel hij beveiligingsexperts het eerst op en inmiddels is de Storm Worm en het bijbehorende botnet uitgegroeid tot naar schatting circa twee miljoen geïnfecteerde computersystemen. Experts zien de Storm Worm als een voorhoede van een volgende generatie malware: krachtiger en geavanceerder dan zijn voorgangers.

De Storm Worm bewijst het: ook al zit een computersysteem nog zo dichtgespijkerd, er is geen patch tegen onhandige gebruikers. De worm gebruikt een van de oudste trucs: verleiding. Geef gebruikers een aantrekkelijke bestandsnaam om op te klikken en succes is verzekerd. Zoiets werkte zeven jaar geleden met AnnaKournikova.jpg.vbs en het werkt nog steeds. De verschillen: vroeger zat er een bijlage bij de e-mail, inmiddels wordt dit vrijwel door elke virusscanner grondig gecheckt. Vandaar dat de Storm Worm het slimmer aanpakt: er staat een intrigerende tekst (Saddam Hussein alive!) met een link naar een website. Daar wordt een ongepatcht Windowssysteem van de gebruiker direct geïnfecteerd, of de gebruiker wordt verleid tot het downloaden en uitvoeren van bijvoorbeeld livevideo.exe, waardoor het systeem ook geïnfecteerd wordt.

Nog een verschil: de AnnaKournikova worm had als enige doel zichzelf verspreiden. Het doel van de Storm Worm is niet zo duidelijk en dat baart beveiligingsexperts zorgen. Een gerichte Distributed Denial-of-Service aanval (DDoS) zou ontzettend veel schade kunnen aanrichten. Bij een DDoS-aanval wordt een computer overvallen door zo’n enorme stroom aan verzoeken dat het systeem ze niet meer kan verwerken en daardoor strandt. Bij een DdoS-aanval ligt tegenwoordig niet alleen een deel van het computernetwerk plat, maar door de opkomst van VoIP kan ook die infrastructuur een knauw krijgen. “Het botnet is zo omvangrijk, hiermee zouden ze het internet in een klein land plat kunnen leggen”, meent Joe Stewart, onderzoeker bij beveiligingsbedrijf SecureWorks. Volgens Stewart lijkt het er nu op alsof het botnet wordt opgesplitst in kleinere netwerken.

Parasiet

De Storm Worm ontstond in januari van dit jaar. In een e-mail werden gebruikers naar een website gelokt met de laatste informatie over het slechte weer dat toentertijd Europa teisterde en in Nederland vijf levens eiste. Via deze nep-nieuwswebsites raakten computers besmet. Eenmaal geïnfecteerd vormen de systemen onderdeel van een groot netwerk van andere geïnfecteerde computers. Het botnet wordt gebruikt om spam te versturen en om het netwerk van geïnfecteerde systemen verder uit te breiden.

Het Finse antivirusbedrijf F-Secure was een van de eerste die de malware ontdekte en gaf het de naam Storm Worm. Technisch gezien is de Storm Worm geen worm, maar meer een combinatie van een worm, een Trojaans Paard en een bot.

Tussen 16 juli en 1 augustus zagen onderzoekers bij het beveiligingsbedrijf Postini 415 miljoen spamberichten voorbij komen. In alle berichten stonden links naar geïnfecteerde websites. Bezoekt een gebruiker de website met een ongepatchte Windows-machine, dan wordt deze direct geïnfecteerd. Lukt dat niet, dan is er altijd nog een of andere download met een aantrekkelijke naam, bijvoorbeeld FullVideo.exe, GreetingPostcard.exe, etc. Zodra de gebruiker van een gepatchte computer deze uitvoert, wordt het systeem alsnog besmet en verwelkomt het Storm Worm-botnet een nieuw lid. Voordat de Storm Worm actief werd lag het aantal verdachte e-mails op 1 miljoen per dag. Op 19 juli noteerde Postini er 48,6 miljoen en op 24 juli 46,2 miljoen. Naar schatting kwam 99% uit de koker van de Storm Worm.

De manier waarop de Storm Worm gebruikers verleidt, verandert continu. De afgelopen periode waren het vooral e-cards en links naar zogenaamde YouTube-video’s. Ook de code zelf die wordt geïnstalleerd verandert elke dertig minuten zijn digitale voetafdruk, waardoor het voor antivirusprogramma’s erg lastig is om het programma op te sporen. Op besmette systemen is de Storm Worm vooral rustig. Net als een parasiet is de Storm Worm voor zijn overlevingskans afhankelijk van het systeem waarop het staat en daarom doet het ook geen gekke dingen die een computergebruiker achterdochtig kan maken.

Aanval als verdediging

Bij de verspreiding gebruikt de Storm Worm de oude truc van verleiden; ook bij het verdedigen van het botnetwerk valt het terug op een basisprincipe: de beste verdediging is de aanval. Computers die een netwerk scannen op mogelijk geïnfecteerde systemen krijgen te maken met een felle tegenaanval via een DDoS door andere delen van het botnet. “Dit is voor het eerst dat ik zoiets tegenkom”, zegt Gunter Ollman, hoofd Security Strategy bij IBM Internet Security Systems. “Dit heeft weinig te maken met de worm zelf, maar meer met de structuur van het botnet.”

Een tweede verdedigingsmechanisme is de manier waarop het botnet bepaalde noodzakelijk servers in zijn netwerk verbergt. Dat gebeurt via ‘fast flux’: een DNS-techniek waardoor sites moeilijk te traceren zijn. Verder blijkt dat de Worm weigert om onder VMware te draaien, een truc die onderzoekers toepassen om zonder gevaar malware te onderzoeken.

De Storm Worm gebruikt peer-to-peertechniek om onderling te communiceren. Er is geen centrale server die de opdrachten geeft. De Worm is geduldig. Het verspreidt niet voortdurend spam en valt niet continu netwerken aan. Het doet een aanval en trek zich dan terug.

Niemand weet precies hoe omvangrijk het botnet is. Schattingen lopen uiteen van bijna 2 miljoen tot 50 miljoen geïnfecteerde computers. Matt Sergeant van webbeveiliger Messagelabs schat dat het botnet uit 1,8 miljoen computers bestaat, waarvan slechts zo’n 10% actief wordt gebruikt door de beheerders van het botnet. Sergeant over de sterkte van het botnet: “Als het op rekenkracht aankomt, is het botnet sterker dan menig supercomputer.”

Storm Worm is niet het enige botnet dat momenteel waart over internet. Warezov is een concurrent die ook druk aan de weg timmert.