Windows-worm infecteert miljoenen PC's

De Downadup-worm, die zich nestelt in Microsofts besturingssystemen Windows 2000, XP en Server 2003, verspreidt zich als een olievlek over de wereld. Het beveiligingslek werd begin januari 2009 ontdekt en maakt misbruik van het feit dat veel systemen een patch uit oktober 2008 missen.

Beveiligingsexpert verwonderen zich over de snelheid waarmee computers wereldwijd geïnfecteerd raken met de zogenoemde Downadup-worm. De worm werd in de tweede week van januari geïdentificeerd door het Finse securitybedrijf F-Secure en heeft inmiddels ruim negen miljoen op Windows draaiende computers besmet. Dat aantal groeit exponentieel, waarschuwen de Finnen.

Dat de malware zo snel om zich heen grijpt, komt volgens deskundigen doordat veel organisaties en eindgebruikers niet hebben gepatcht. Het beveiligingslek wordt namelijk gedicht door deze patch die Microsoft al in oktober 2008 publiceerde. Volgens security-aanbieder Qualys heeft eenderde van alle computers de patch nog niet geïnstalleerd.

Windows 2000, XP en Server 2003

De worm, die ook bekend staat onder de naam Conficker, maakt misbruik van een beveiligingslek in de besturingssystemen Windows 2000, XP en Server 2003 van Microsoft. De bug gebruikt verschillende manieren om zich te verspreiden over bedrijfsnetwerken. Zo gebruikt hij een recentelijk gedicht lek in Windows Server Service, probeert hij netwerkwachtwoorden te kraken en infecteert hij usb-geheugensticks.

Zodra de malware het netwerk is binnengedrongen is de infectie moeilijk te verwijderen. De worm herstart het systeem heel vroeg in het boot-proces van de computers. Ook kent hij toegangsrechten toe aan de bestanden en registry-sleutels van de worm. Daardoor kunnen gebruikers de bestanden en sleutels niet verwijderen of veranderen.

Mac'ie, 19-01-2009 12:33

Grappig dat een Mac Book als illustratie gebruikt wordt bij een Windows artikel. (blijft maandag natuurlijk)

Erwin, 19-01-2009 12:33

Welke patch is het dan?

Jan, 19-01-2009 12:41

@Erwin
Volgens nu.nl is hij te vinden op http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

Bas, 19-01-2009 12:44

De patch die op 23 oktober buiten de maandelijkse patch ronde is uitgebracht.

http://www.microsoft.com/technet/security/bulletin/ms08-oct.mspx

Het gaat om MS08-067

gast, 19-01-2009 12:50

@Mac'ie:
dank voor deze grappige bevinding op Blue Monday...:D

Open deur, 19-01-2009 12:54

Sinds ik Ubuntu gebruik zijn dit soort berichten fantastisch om te lezen.

Diederik Toet (Computable), 19-01-2009 13:07

@Mac'ie: Dank voor je opmerkzaamheid. Ik heb de afbeelding gewijzigd en een link naar de betreffende patch toegevoegd.

Ron Tuijnman, 19-01-2009 13:07

@Open deur
...Zielig...

Ano, 19-01-2009 13:24

Diederik Toet (Computable);
waar staat die link naar die bewuste patch dan???

herman, 19-01-2009 13:30

@Ron Tuijnman
Jaloers zeker?

Sije de Haan, 19-01-2009 13:41

Hoe kan ik controleren of mijn computers besmet zijn?

McKillem, 19-01-2009 14:45

@ OpenDeur.

Lekker interresante bijdrage aan de kwestie ook.

pgt, 19-01-2009 15:09

Wat mij als IT-er verbaast dat er altijd nog grote bedrijven zijn die zelf clubjes van mensen in dienst hebben die alles vooraf testen, en dan behoorlijk achterlopen. Terwijl het zo simpel kan.
.. automatic update..

Is het zo langzamerhand niet een fout dat mensen er dergelijke werkwijzen op na houden ?, ik kan dit MS niet aanrekenen, van hun kant doen ze voldoende.

McKillem, 19-01-2009 15:15

@pgt

Automatische update in een bedrijfsomgeving?
Ik heb dat juist uitgezet omdat ik thuis genoeg geconfronteerd word met van spontane reboots omdat MS vind dat het moet. Dat wil ik echt niet met de DC of Exchange server hierzo.
Af en toe gewoon kritische gaten patchen en er is niets aan de hand.

Jan van Leeuwen, 19-01-2009 15:19

Voor kleine bedrijfjes is de automatische update een goede oplossing, die hebben geen personeel om uit te zoeken wat wel en wat niet gepatched moet worden. Ze zijn daarmee beter beschermd.

Cop Teaser, 19-01-2009 15:47

@Jan van Leeuwen: Het zal niet de eerste keer zijn dat een automatische update (en de daarbij horende reboot) verantwoordelijk is voor het vakkundig nekken van de bovenliggende applicaties. Een waar drama juist voor de kleine ondernemingen... die hebben inderdaad geen personeel voorhanden, dus ook niet om de boel weer op de rails te krijgen! Ik heb het probleem weten te ondervangen met een programma dat een snapshot van mijn OS partitie maakt terwijl deze gewoon online is (zoek 's op drivesnapshot). Die laat ik elke zondagnacht een snaphot maken, zodat ik altijd naar dat punt terug kan keren (dan wel met een speciale bootCD dus). Ik zou het kleinbedrijf ook een dergelijke oplossing aan de hand willen doen. Av?, CT.

Ton Strik, 19-01-2009 15:49

Hup Linux!
Hup Ubuntu!

Ronald Vermeij, 19-01-2009 17:06

To patch OR NOT 2 patch, that == the question

Je kunt het ook van de zonnige kant bekijken ;-)
Microsoft Windows is het het grootste werkgelegenheids project in de ict wereld op deze planeet

For a launch
http://www.despair.com/consulting.html

rastafari, 19-01-2009 17:25

Helemaal mee eens alle software waar auto update aanstaat uitschakelen die handel en geregelt handmatig checken voor updates. Laat Norton Ghost 10 of hoger een snapshot maken elke vrijdag of wanneer je maar wilt ( of een ander snapshot proggie). Snapshots kunnen ook direct op een shared folder gezet worden
Trouwens een eigen WUS servertje opzetten en zelf eerst checken of het goed werkt is ook voor een klein bedrijf te implementeren.

Johan, 19-01-2009 19:18

@pgt en Jan van Leeuwen

Er zijn mensen die zich IT-er noemen op basis van het feit dat ze met PC's werken... Auto update aan? Ga maar ff in de hoek staan voor zo'n vakkundig advies. Denk je nou echt dat een update voor alle mogelijke situaties getest wordt door MS? Het motto is "als het merendeel er maar mee geholpen is". Dit motto kun je niet loslaten op bedrijfscritische systemen en toepassingen. Dat heeft niets te maken met de omvang van het bedrijf zoals Cop Teaser terecht aangeeft.

Michel, 19-01-2009 19:44

@Open deur.ben jij nu blij!

Antoon, 19-01-2009 22:45

Vreemd dat dit beveiligingslek twee weken geleden gevonden is. Ik was hier al op 2 december achter gekomen toen een aantal ongepatch xp pc's geinfecteerd raakten. Lastig karweitje om deze worm ongedaan te maken. Gaat als volgt: Registry edit om service te verwijderen, patch aanbrengen en je Antivirus proggie updaten.

Jan Heinhuis, 20-01-2009 12:09

Als je Windows Vista hebt kun je dan ook last krijgen van dat virus?

rejaibi, 20-01-2009 13:37

welke patch als je een link plaatst doe het dan duidelijk en goed

UnnamedOPA, 29-01-2009 17:17

Klik op deze (deze patch) anders ff pointer over link en statusbalk misbruiken door te lezen

oja daarna ff in engelesh door lezen

	Aantal reacties met 3+ sterren		Gemiddelde waardering
1	PaVaKe	147	6.4
2	Reza Sarshar	113	6.6
3	Henri Koppen	103	6.4
4	edekkinga	75	6.6
5	Jaap-G	53	6.1
6	Guido Groeneweg	49	6.3
7	Frank Brechts	43	6.0
8	mauwerd	42	6.1
9	Rob Koelmans	40	6.3
10	Ad Gerrits	39	6.3

Nieuws / Security

Windows-worm infecteert miljoenen PC's

Windows 2000, XP en Server 2003

03-02 Facebook steekt Google naar beurskroon

03-02 Clouddiensten Dell en Atos voor Wolters Kluwer

03-02 IntraData en Centric breiden samenwerking uit

03-02 'Overheid vreest voor veiligheid in de cloud'

03-02 Learningguide Solutions wijzigt naam in Ontuitive

03-02 Apple eist alsnog Samsung Galaxy-verbod

03-02 Unit4 regelt herfinanciering van 150 miljoen euro

03-02 HDD-fabrikanten schroeven massaal garantie terug

03-02 SLTN en ICTroom openen Datacenter Brabant

03-02 Macaw-ontwikkelaar wordt Sharepoint-master

03-02 'Overheid vreest voor veiligheid in de cloud'

01-02 F5 beschermt openbare websites

31-01 Publieksvoorlichting is belangrijke taak voor NCSC

30-01 Avans beschermt netwerk met nieuwe firewalls

30-01 Symantec raadt gebruik pcAnywhere even af

30-01 13 besmette apps ontdekt in Android Marketplace

30-01 Wennen aan cybercrime kost tijd

27-01 NCSC wijst Logius op lek in DigiD-server

27-01 T24 IP-video toegangsoplossing

27-01 CA Technologies haalt security uit de schaduw

10-04-09 Downadup-worm is actief geworden

31-03-09 1 april niet per se D-Day voor Downadup-worm

16-02-09 Microsoft zet premie op hoofd wormmaker

22-01-09 'Patch is niet genoeg tegen Windows-worm'

03-11-08 Eerste worm viert twintigste verjaardag

23-01-08 Nieuwe worm besmet smartphones

19-07-07 Worm 'bewijst' kwetsbaarheid Macs

Storage Manager voor Virtuele Omgevingen