image

Botnet Storm worm groeit 200% door besmette kerstkaarten

vrijdag 4 januari 2008, 10:48 door Redactie, 14 reacties

Eindgebruikers zijn rond kerst en nieuwjaar massaal besmet geraakt door het openen van kwaadaardige kerstkaarten en nieuwjaarswensen, waardoor het botnet van de Storm worm met meer dan 200% groeide. De Storm virusschrijvers begonnen dit jaar laat met hun kerstkaarten en waren vroeg met het wensen van een niet zo voorspoedig 2008.

Net voor kerst bestond het botnet uit zo'n 5000 tot 14.000 geïnfecteerde machines die op elk moment online waren. Na de eerste spamrun groeit het aantal infecties explosief, en inmiddels zijn er op elk moment 40.000 Storm zombies online, aldus cijfers van het HoneyNet Project.

Het onderstaande patroon zou veroorzaakt worden doordat een deel van het botnet zich in een bepaalde regio bevindt, maar dat vereist volgens de onderzoekers verder onderzoek. De cijfers zijn meteen het bewijs dat social engineering zeer goed werkt, waardoor virusschrijvers niet gedwongen worden om hun creaties technisch complexer te maken. In september werd een groot deel van het Storm worm botnet door Microsoft uitgeschakeld. De softwaregigant liet toen weten dat het slechts een kwestie van tijd was voordat het zombie netwerk weer op volle sterkte was, aangezien mensen hun foute surfgedrag blijven herhalen.

Reacties (14)
04-01-2008, 11:11 door [Account Verwijderd]
[Verwijderd]
04-01-2008, 11:17 door Anoniem
Door Nielsk
Zeker weten dat Microsoft hier wat tegen kan doen. Maar ze
durven het gewoon niet aan. (of ze kunnen zoiezo niks)
Wat moet
microsoft doen tegen fout surfgedrag van gebruikers ?.
04-01-2008, 11:33 door spatieman
de ISP moet hier wat aan doen.
afsluiten die gasten...
en hun zooi laten cleanen,
04-01-2008, 12:21 door SirDice
Door spatieman
de ISP moet hier wat aan doen.
afsluiten die gasten...
en hun zooi laten cleanen,
Dan moet er wel iemand even melden dat hun gebruiker geïnfecteerd is (door bijv. een abuse e-mail te sturen). Als iedereen dat netjes zou doen denk ik dat het vanzelf minder wordt.
04-01-2008, 12:31 door Anoniem
"Zeker weten dat Microsoft hier wat tegen kan doen. Maar ze
durven het gewoon niet aan. (of ze kunnen zoiezo niks)"

Als je in staat was om te lezen zou je weten dan Microsoft wel degelijik
wat doet. Echter kan Microsoft niet voorkomen dat gebruikers zo stupide
zijn om dit soort attachments aan te klikken (tenzij ze simpelweg
attachments blokkeren, zou niet fijn zijn).

Een user die zijn hersens gebruikt, niet alles aanklikt, en een up2date
virusscanner draait moet geen enkel probleem ondervinden.

Maarja, het is altijd makkelijk "Microsoft" te roepen.
04-01-2008, 12:35 door Anoniem
"Dan moet er wel iemand even melden dat hun gebruiker geïnfecteerd is
(door bijv. een abuse e-mail te sturen). Als iedereen dat netjes zou doen
denk ik dat het vanzelf minder wordt."

Dat zou nogal een omslachtige manier zijn, en bovendien onnodig. Immers
kan de provider zelf de netwerkactiviteit in de gaten houden, en
gebruikers in quarantaine plaatsen, zodat ze alleen nog kunnen verbinden
naar bijv. Windows update + antivirus vendors, totdat de PC weer up to
date is en vrij van de gedetecteerde malware.

Verder is het melden dat een gebruiker geinfecteerd is aan een ISP
natuurlijk een gotspe (als dat gedaan wordt door bijv. een
systeembeheerder), want die zou niet de ISP moeten waarschuwen, en
de toegang moeten laten blokkeren, maar zorg moeten dragen voor het
schoonmaken (en houden) van het desbetreffende systeem.
04-01-2008, 13:20 door SirDice
Door Anoniem
"Dan moet er wel iemand even melden dat hun gebruiker geïnfecteerd is (door bijv. een abuse e-mail te sturen). Als iedereen dat netjes zou doen denk ik dat het vanzelf minder wordt."

Dat zou nogal een omslachtige manier zijn, en bovendien onnodig. Immers kan de provider zelf de netwerkactiviteit in de gaten houden,
Volgens mij willen we juist dat ISPs niet alle netwerk activiteiten in de gaten houden, verder willen veel mensen ook niet dat ISPs gaan filteren. De enige manier voor een ISP om dan te weten te komen dat een gebruiker geïnfecteerd is is middels een abuse melding.

en gebruikers in quarantaine plaatsen, zodat ze alleen nog kunnen verbinden naar bijv. Windows update + antivirus vendors, totdat de PC weer up to date is en vrij van de gedetecteerde malware.
Uiteraard kan dat natuurlijk pas nadat er is gebleken dat deze gebruiker geïnfecteerd is. En meestal gebeurd het ook op deze manier.

Verder is het melden dat een gebruiker geinfecteerd is aan een ISP natuurlijk een gotspe (als dat gedaan wordt door bijv. een systeembeheerder), want die zou niet de ISP moeten waarschuwen, en de toegang moeten laten blokkeren, maar zorg moeten dragen voor het schoonmaken (en houden) van het desbetreffende systeem.
Het gaat mij vooral om het schoon houden, notoire virus verzenders zal ik zeker melden bij de ISP. Al doe ik dat voornamelijk om de activiteiten gericht aan het netwerk wat ik beheer de kop in te drukken, een "neveneffect" daarvan is dat anderen dan ook minder last ondervinden.
04-01-2008, 16:59 door Anoniem
Ha !!! mijn IPS ATHOME heeft geen tijd geen mankracht geen
geld helemaal niks en geen kennis......
En de andere IPS's zijn niet veel beter......
De gebruikers die overal alles binnen halen zijn de 80% van
de (zg computer simpel geesten) en die gaan geen abuse
rapporten doorsturen....

Wat zeg U abuse....was da!!!!!!!!


Door Anoniem
"Dan moet er wel iemand even melden dat hun gebruiker
geïnfecteerd is
(door bijv. een abuse e-mail te sturen). Als iedereen dat
netjes zou doen
denk ik dat het vanzelf minder wordt."

Dat zou nogal een omslachtige manier zijn, en bovendien
onnodig. Immers
kan de provider zelf de netwerkactiviteit in de gaten
houden, en
gebruikers in quarantaine plaatsen, zodat ze alleen nog
kunnen verbinden
naar bijv. Windows update + antivirus vendors, totdat de PC
weer up to
date is en vrij van de gedetecteerde malware.

Verder is het melden dat een gebruiker geinfecteerd is aan
een ISP
natuurlijk een gotspe (als dat gedaan wordt door bijv. een
systeembeheerder), want die zou niet de ISP moeten
waarschuwen, en
de toegang moeten laten blokkeren, maar zorg moeten dragen
voor het
schoonmaken (en houden) van het desbetreffende systeem.


05-01-2008, 12:34 door Anoniem

Het onderstaande patroon zou veroorzaakt worden doordat een
deel van het botnet zich in een bepaalde regio bevindt, maar
dat vereist volgens de onderzoekers verder onderzoek.
Dat onderzoek naar een patroon is inmiddels uitgevoerd.
De aanwezigheid van een evt patroon wordt tegengesproken
door een van de meest recente onderzoeken naar Storm-Worm
door de Security-Researcher C. Flores.
In zijn
[url=http://www.offensivecomputing.net/?q=node/593]blog[/url]
schrijft hij "I see no pattern. At least not a obvious
pattern. It looks like they all are infected PC's from
unsuspecting users.."
05-01-2008, 17:15 door vladimir kalsnicov
Dat zou nogal een omslachtige manier zijn, en bovendien
onnodig. Immers
kan de provider zelf de netwerkactiviteit in de gaten houden, en
gebruikers in quarantaine plaatsen, zodat ze alleen nog
kunnen verbinden
naar bijv. Windows update + antivirus vendors, totdat de PC
weer up to
date is en vrij van de gedetecteerde malware.

Tuurlijk, wat je zegt. Goed idee.
Je geeft hiermee een vrijkaartje voor hackers, mensen denken
dat hun provider ze doorlinkt naar bovengenoemde en
ondertussen worden alle gevens van hun pc copied.

Het gros van de reacties komen van mensen die begod geen
idee hebben waarover ze het hebben. Het feit blijft dat de
mallware schrijvers altijd een stapje voor zijn op de
bedrijven als microsoft, de ISP's, antivirus enz.

Tuurlijk zou er een hoop voorkomen kunnen worden door
gebruikers een stuk bewuster te maken van hun mail en
surfgedrag. Een gedeelte van de besmettingen is echter
moeilijk te voorkomen, mailtjes komen van bekenden samen met
een 100 andere kerstwensen. Zeg zelf, zijn er hier mensen
die nog nooit besmet zijn?
Gelukkig zijn er mensen zoals C. Flores, die een hoop moeite
steken in het vinden van oplossingen.
07-01-2008, 12:21 door marilene
allemaal mooie taal..waar ik nog niet veel van begrijp en hoewel ik heel
behoedzaam ben met openen email en surf gedrag...heb ik toch een
online kaart geopend..waar de adobe in voorkwam om te dowloaden.
van een hele goede vriend uit israel.
enfin...
wat kan ik er aan doen om het uit mijn systeem te krijgen?
ik ben nog beetje leek op dat gebied helaas.

wie heeft er een tip?
groetjes allemaal en nog de beste wensen voor 2008.
07-01-2008, 12:33 door Anoniem
Door marilene
...heb ik toch een online kaart geopend..waar de adobe in
voorkwam om te dowloaden. (...)wat kan ik er aan doen om het
uit mijn systeem te krijgen?

Niet elke online kaart bevat de storm-worm. Waarom denk jij
dat je geinfecteerd bent? hoeft niet perse.
Maar voor het geval dat... De eerder genoemde Security
Researcher Chato Flores heeft een
[url=http://offensivecomputing.net/?q=blog/3194]'removal-procedure'
[/url] voor de storm-worm geschreven. Misschien heb je
er wat aan.
07-01-2008, 21:19 door vladimir kalsnicov
De removal van chato werkt alleen bij de specifieke
stormworm die hij heeft onderzocht! Als je niet besmet bent
met storm is de kans groot dat je wat sloopt.
Als je er niet veel verstand ervan hebt, gebruik dan
alsjeblief een online virusscanner.

Sorry dat ik zo uitval, je zoekt alleen hulp. Maar sommige
tips hier zijn erger dan het oorspronkelijke probleem.

edit

Als iemand een vraag stelt onder een nick, heeft hij/zij de moeite genomen om zich aan te melden, geef dan ook antwoord onder je naam/nick. Waarom zijn er zoveel mensen die anoniem reageren?
09-01-2008, 01:42 door marilene
dankje wel ik zal de removal tool nog maar niet gebruiken dan...bedankt
voor een antwoord.
hoop er nog eens uit te komen wat de juiste manier is...
marilene
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.