Dat ontdekten onderzoekers van beveiligingsbedrijf Fox IT, toen ze in tijdens een lopend onderzoek een vreemd “Windows-bestand” kregen aangereikt. De code leek op een gewone applicatie, maar blijkt een Java-programma te zijn dat niet zonder het bijbehorende platform kan functioneren.

Java-malware voor gamers

“Java-malware is er wel vaker geweest, maar niet in deze vorm. Dat maakt het spannende malware”, vertelt beveiligingsexpert Michael Sandee tegenover Webwereld. Over het onderzoek kan hij niets zeggen, maar wel over de kwaadaardige software. “Het blijkt versie 0.84 van het virus te zijn en op 18 oktober 2009 te zijn gemaakt. Ook de manier waarop het is aangetroffen doet vermoeden dat er meer mensen zijn geïnfecteerd.”

Fox-IT ploos de werking van het virus uit en zag dat de programma te gebruiken is voor het uitvoeren van Denial-of-Service-aanvallen en het stelen van informatie van de computer. Het lijkt vooral door gamers gebruikt te worden om codes te achterhalen. “Er worden nu online gamekeys mee gestolen.”

Niet herkend door anti-virussoftware

Terwijl een Java-applicatie gewoonlijk platform-onafhankelijk functioneert, geldt dat niet voor het virus. De software steekt zo in elkaar dat het begint als een Windows-programma om daarna de Java-omgeving op te halen. “Zoiets zou ook voor andere platformen wel mogelijk zijn”, erkent Sandee desgevraagd.

De aanpak zorgt ervoor dat de malware lijkt op een normaal programma dat geen kwaad kan. Een anti-viruspakket analyseert de werking en ziet niet meer dan Java-code. Fox IT testte diverse anti-viruspakketten en concludeerde dat alleen Symantec vermoedde dat er verdachte code was. Sandee wijst erop dat de scanners niet in staat zijn om de werking van Java-code te testen en dus niets met dit soort malware kunnen.

Inmiddels heeft het beveiligingsbedrijf wel een site gevonden dat het virus verspreidt en vervolgens gebruikers probeert te verleiden Java te installeren voor die gebruikers die deze omgeving nog niet hebben.

Niet onschuldig

Al lijkt gaming nu het doel, toch is het virus niet onschuldig. De software is geavanceerd genoeg om via standaard browserprotocollen (http) nieuwe configuraties op te halen en dus ook de werking te veranderen. Zo vreest de expert ook dat het mogelijk is om bijvoorbeeld persoonlijke informatie te stelen, net zoals nu gamecodes worden gestolen.

Daarnaast zijn er aanwijzingen dat de code verder wordt ontwikkeld. Sandee erkent dat na Java ook andere veel gebruikte scripttalen, zoals bijvoorbeeld Python gebruikt kunnen worden. Hij sluit dan ook niet uit dat er een nieuwe wapenwedloop tussen aanvallers en anti-virusindustrie zal volgen.

Dat de makers zich kennelijk niet druk over ontdekking maken, blijkt uit het feit dat er weinig energie is gestoken in het verbergen van de identiteit. Zo is goed te achterhalen hoe de programmatuur contact zoekt op internet met het 'moederschip', de site met configuratie-informatie. Die site is inmiddels uit de lucht, maar de malwaremakers hebben mogelijk al weer een nieuwe commandosite opgezet.