Zustersite Techworld.nl sprak met technisch security specialist Tom Welling van Symantec. “We weten hoe de wormen met elkaar praten en hoe ze geüpgrade worden, maar wat er op 1 april gaat gebeuren is vooral koffiedik kijken”, zegt hij.

Vormen van misbruik

Er zijn verschillende opties. Zulke botnets kunnen natuurlijk worden ingezet om spam te versturen. “Dat is blijkbaar nog steeds rendabel”, zegt Welling. Maar ze kunnen ook worden gebruikt voor het installeren van bijvoorbeeld nep-antivirussoftware voor een klein bedrag. De gebruiker krijgt in dat scenario een melding dat zijn computer is besmet, maar als hij een paar dollar overmaakt kan dat snel worden verholpen. “Die meldingen hebben dezelfde look&feel als echte virusscanners. En er hoeft maar een klein deel reageren om grote bedragen bij elkaar te sprokkelen”, zegt Welling. “Het is een grijs gebied, omdat iedereen zulke software mag maken en verkopen.” Alleen de manier waarop het nu kan gebeuren is niet grijs meer.

Een andere optie die Welling aandraagt is afpersing. “Het is een wat minder bekende mogelijkheid met botnets, omdat meestal niet bekend wordt gemaakt als het is gebeurd. Maar zulke botnetwerken worden regelmatig gebruikt voor dit soort praktijken. Met een paar miljoen computers kun je een behoorlijk DoS aanval opzetten.”

Er is volgens Welling een hele ondergrondse economie, waarin wordt gehandeld in trojans en bijvoorbeeld creditcardgegevens, alles waar wat geld mee te verdienen is.

Welling deelt Conficker in in drie versies. “Er zijn er nog wel wat kleine variaties, maar A, B en C zijn de belangrijkste.” Het begon met versie A, die misbruik maakte van een bug in Windows en die met 250 websites per dag contact probeert te krijgen. Versie B richt zich op bedrijfsnetwerken en kan zich verspreiden door middel van file shares en usb-sticks. “Is het virus eenmaal via een USB-stick binnen de muren van een netwerk gekomen, dan verspreidt het zich snel over het hele netwerk.”

Concurrentie

In de worm zit ook software die het mogelijk maakt dat de worm wordt geüpgrade. Als een machine al besmet is en een hogere versie komt voorbij, dan wordt die er niet bij geïnstalleerd, wat de worm zwaarder zou maken en dus minder waardevol. Maar de geïnstalleerde worm wordt geüpgrade. Komt er een lagere versie voorbij, dan gebeurt er niets.

Daar komt nog wat meer bij kijken, aldus Welling. “Ook in die wereld is er concurrentie. Je kunt bijvoorbeeld proberen een botnetwerk te kapen met een eigen update. Om dat te voorkomen hebben virusschrijvers code ingebakken waarmee de update wordt uitgevoerd.” De trojan accepteert alleen code met een speciale code. Dat is eigenlijk niets anders dan een private en een public key. “Ze gebruiken dezelfde trucjes als in de beveiligingswereld gebruikelijk zijn”, zegt Welling.

Overigens kun je je heel goed verdedigen tegen Conficker, met antivirussoftware, met patchen en nu ook met de nieuwe manier van detecteren die door Nmap en de groep rond Dan Kaminski is ontdekt. “Maar dat gebeurt gewoon niet”, zegt Welling. “Er is ook een grote overlap tussen landen waar veel besmettingen voorkomen en waar veel illegale software wordt gebruikt.” Met illegale software heeft men geen recht op updates en daardoor ben je kwetsbaarder. Maar of aanvallen nu vanaf illegale software worden uitgevoerd of vanaf legale, we hebben er evenveel last van.

Default taal en teller

Welling spreekt soms bijna met bewondering over de worm. “Het virus kijkt naar het land waarin het zich bevindt, aan de hand van het IP-nummer en de taal van het besturingssysteem. Als er geen antwoord komt, dan is de defaulttaal Chinees of Braziliaans Portugees. Vandaar ook dat er in China relatief veel besmettingen zijn. Verder kijkt het hoe groot de bandbreedte is en voor welke trucjes de machine dus geschikt is.”

Als techneut vindt Welling Conficker een “verrassend stukje code.” Zo houdt iedere worm ook nog een teller bij van het aantal machines dat die worm heeft besmet. Dat aantal geeft het door als er contact wordt gezocht met de buitenwereld. “Dat tellertje kunnen we aflezen, maar je kunt niet gewoon de aantallen bij elkaar optellen als je wilt weten hoeveel machines besmet zijn. Het is alleen een indicatie. Minimaal zijn er nu zo’n 3,4 miljoen machines besmet, maar we hebben geen idee hoeveel het er in werkelijkheid zijn. In ieder geval zijn het er genoeg.”

Geen grote dreiging

Versie C, die per 1 april actief wordt, is niet zo heel wijd verspreid, volgens Welling, dus heel bang hoeven we niet te zijn voor 1 april. Conficker C heeft ook minder mogelijkheden om zich te verspreiden en kan alleen andere wormen upgraden. “Waarschijnlijk is C de wereld ingekomen via een domein dat er doorheen is geglipt.”

Daarmee doelt Welling op het samenwerkingsverband onder leiding van Microsoft dat moest verhinderen dat de worm contact konden opnemen met een van de 250 websites per dag. Dat is redelijk goed gegaan, volgens Welling, maar zeker in het begin zijn er nog wel wat kleine uitglijders gemaakt. “Dat waren leermomenten”, zegt hij.

Met C wordt het ook weer een stuk lastiger, omdat die variant 50.000 domeinen gaat bezoeken in plaats van 250. Dan zijn er ineens ook meer domeinregistratieorganisaties bij betrokken. “Maar het algoritme is heel voorspelbaar. Je weet welke lijst van domeinen er op welke dag zal worden bezocht”, zegt Welling daarover. “Als IT-beheerder kun je al die domeinen blokkeren. Het is te doen, maar het zijn er wel 50.000 per dag!”

Juist aan die 50.000 domeinen is de laatste tijd veel aandacht besteed. Die domeinen zijn ook heel belangrijk, zegt Welling. “Maar de focus moet ook blijven op de peer-to-peer, omdat opdrachten ook gegeven kunnen worden via updates, die vervolgens onderling kunnen worden uitgewisseld.”

Bron: Techworld.nl