Downadup-worm is actief geworden

Waar beveiligingsdeskundigen al een tijdje bang voor waren, blijkt te gebeuren: het Downadup-botnetwerk gaat tot actie over. Financieel gewin lijkt het doel van de acties. Zo downloadt versie C van deze snel muterende worm onder meer een nep-antispywarerogramma dat vijftig dollar wil om zogenaamde beveiligingslekken te verhelpen.

Het Downadup-botnet is actief geworden. Beveiligingsdeskundigen waren al vanaf 1 april op hun hoede. Vanaf die datum is een nieuwe versie van deze snel muterende worm actief: versie C. Deze variant, die meer mogelijkheden heeft om zichzelf te veranderen, blijkt sinds 8 april op geïnfecteerde computers ongevraagd malware te downloaden. Dat heeft antivirusssoftware-leverancier Kaspersky ontdekt.

Versie C downloadt onder meer een nep-antivirusprogramma, dat sinds eind 2008 al bekend is onder de naam FraudTool.Win32.SpywareProtect2009.s. Deze nep-applicatie meldt de gebruiker dat zijn computer beveiligingsproblemen heeft en biedt aan deze uit de weg te ruimen voor vijftig dollar. Bovendien haalt versie C van Downadup de Waledac-worm binnen. Deze worm probeert gegevens te stelen en verstuurt spam.

Daarnaast is een nieuwe versie van Downadup gesignaleerd, die versie E gedoopt is en tot 3 mei actief is.

Peer-to-peer

FraudTool.Win32.SpywareProtect2009.s is een nep-antispywareprogramma. Het meldt de gebruiker dat zijn computer beveiligingsproblemen heeft en biedt aan deze uit de weg te ruimen voor vijftig dollar.

Wormen van generatie C bezoeken dagelijks vijftigduizend verschillende websites, op zoek naar een update of opdracht. Welke websites dat zijn, wordt bepaald door een algoritme. Beveiligingsonderzoekers hebben dat algoritme gekraakt en kunnen elke dag voorspellen welke websites het botnetwerk gaat bezoeken.

De organisaties die zich bezighouden met de uitgifte van domeinnamen, werken samen om te voorkomen dat die webadressen in handen van kwaadwillenden komen. Toen enkel versie A en B van de worm nog actief waren, was dat nog enigszins te doen: A en B legden dagelijks ‘slechts' contact met 250 verschillende websites binnen zeven domeinen. Vanaf versie C is het gekkenwerk geworden om alle vijftigduizend sites uit handen van criminelen te houden.

Daarnaast beschikken alle versies van Downadup over een ander krachtig mechanisme om te muteren: ze kunnen via peer-to-peer (p2p) updates aan elkaar doorgeven.

Downadup of Conficker

Microsoft looft een beloning uit van een kwart miljoen dollar aan diegene die informatie geeft die leidt tot het opsporen van de maker van de Downadup-worm, die ook wel wordt aangeduid als Conficker. De worm nestelt zich in Microsofts besturingssystemen Windows 2000, XP en Server 2003. Het beveiligingslek werd begin januari 2009 ontdekt en maakt misbruik van het feit dat veel systemen een patch uit oktober 2008 missen.

Patchen alleen is niet voldoende om besmetting met de worm te voorkomen. Een systeem is pas echt veilig als, behalve de patch, ook goede antimalware- en antivirussoftware is geïnstalleerd. Dat vertelde Ruud de Jonge, die verantwoordelijk is voor Microsofts Developer en Platform-groep, eerder aan Computable. De Jonge: "In eerste instantie richt hij zich op systemen die niet goed zijn gepatcht. Maar ook gepatchte systemen zijn niet veilig. De worm scant ook alle netwerkshares, of er nu is gepatcht of niet. Daar komt hij binnen door administratorwachtwoorden te raden en uitvoerbare bestanden te installeren."

Johan, 10-04-2009 12:52

En wederom die storende taalfout:
"...werken samen om te voorkomen dat die webadressen niet in handen van kwaadwillenden komen."

Voorkomen dat iets niet gebeurt is in mijn woordenboek er juist voor zorgen dat het wel gebeurt.

Redactie Computable, 10-04-2009 13:07

@Johan

Bedankt voor je opmerkzaamheid. Wij hebben de fout gecorrigeerd.

Rob, 10-04-2009 14:13

Is besmetting (aanwezigheid van de WORM op een pc) te detecteren?
En is er bij besmetting een tool beschikbaar voor verwijdering?
Nuttige linkjes daarvoor?

@Rob, 10-04-2009 14:56

Rob,

Kijk eens op www.apple.com of www.ubuntu.com

Simon, 10-04-2009 18:49

[quote]
@Rob, 10-04-2009 14:56
Rob,

Kijk eens op www.apple.com of www.ubuntu.com
[/quote]

Apple en/of Ubuntu maken anti-virus/malware programma's?

conficker downadup test, 13-04-2009 0:45

http://www.confickerworkinggroup.org/infection_test/cfeyechart.html

Dit zou een eenvoudige scan moeten zijn als test.
Ik kan helaas geen uitspraken doen over de betrouwbaarheid.
De bovenliggende website komt als betrouwbaar over.

	Aantal reacties met 3+ sterren		Gemiddelde waardering
1	PaVaKe	154	6.4
2	Reza Sarshar	120	6.7
3	Henri Koppen	109	6.4
4	edekkinga	79	6.6
5	Jaap-G	53	6.1
6	Guido Groeneweg	49	6.3
7	Ruud Mulder	47	6.5
8	mauwerd	43	6.1
9	Frank Brechts	43	6.0
10	Rob Koelmans	40	6.3

Nieuws / Security

Downadup-worm is actief geworden

Peer-to-peer

10-02 Infor helpt Ferrari met bouwen F1-auto's

10-02 Tester Four Oaks in Israëlische handen

10-02 IS Online en Tres zijn klaar voor Elfstedentocht

10-02 SecureLink migreert Microsoft-diensten Atradius

10-02 Nieuwe software brengt Vitens in problemen

10-02 Ex-Misys-topman moet CSC uit penarie helpen

10-02 Veenman en 20/20 vision adviseren samen klant

10-02 Cisco maakt 2,2 miljard dollar kwartaalwinst

10-02 Misys en Temenos willen fuseren

10-02 Raet stelt Schrijnemaekers als nieuwe CFO aan

10-02 SecureLink migreert Microsoft-diensten Atradius

09-02 Vodafone: Wij spelen klantinformatie niet door

09-02 Lang leve de hackers!

09-02 'Ook met cookiewet is gebruiker niet anoniem'

09-02 'KPN koppelt ID aan internetverkeer'

08-02 'Nieuwe cookiewet is eenvoudig te omzeilen'

07-02 Eigen werknemer kan ook een vijand zijn

03-02 'Overheid vreest voor veiligheid in de cloud'

01-02 F5 beschermt openbare websites

31-01 Publieksvoorlichting is belangrijke taak voor NCSC

31-03-09 1 april niet per se D-Day voor Downadup-worm

16-02-09 Microsoft zet premie op hoofd wormmaker

22-01-09 'Patch is niet genoeg tegen Windows-worm'

19-01-09 Windows-worm infecteert miljoenen PC's

Best Practices om laptop-data te beschermen