De Vobfus- en de daaraan gerelateerde Beebone-malware helpen elkaar om computers besmet te houden. Het ene kwaadaardige programma downloadt het andere, waarna die weer een bijgewerkte versie binnenhaalt, enzovoorts. Zo weet deze malware detectie door securitysoftware telkens voor te blijven, schrijft de internationale News Service van Webwereld-uitgeverij IDG.

Infectiecyclus

De sluwe opzet van de Vobfus/Beebone-combo wordt uiteengezet door security-onderzoeker Hyun Choi van Microsoft. "Win32/Vobfus is een familie wormen die zich verspreidt via verwijderbare drives en die andere malware downloadt", blogt hij. "Vobfus wordt gedownload door andere malware; momenteel door Win32/Beebone-downloaders." Choi stelt dat dit leidt tot een infectiecyclus.

Deze malwarefamilie stamt al uit september 2009, maar zorgt de laatste tijd voor flinke problemen, schrijft beveiligingsonderzoeker Choi. Vobfus is in de zomer van 2010 flink opgekomen door het gebruik van een 0-day gat. Die kwetsbaarheid (MS10-046) in Windows-shortcuts is in augustus 2010 gedicht, maar sindsdien is de kwaadaardige software flink doorontwikkeld.

USB- en netwerkschijven

De aanvankelijke infectie door Vobfus gebeurt via USB-drives, maar kan ook via netwerkschijven verlopen. Daarnaast is de malware door de inzet van Beebone voorzien van mogelijkheden voor drive-by besmetting. Een kwetsbare computer wordt daarbij geïnfecteerd door simpelweg een website te bezoeken waar dan de malware is geplaatst. Na besmetting haalt de malware niet alleen verbeteringen van zichzelf en zijn kompaan binnen, maar verspreidt het de Vobfus-component ook weer naar aangesloten drives.