image

Conficker worm besmet meeste bedrijven via USB-stick

maandag 19 januari 2009, 16:02 door Redactie, 5 reacties

De uitbraak van de Conficker worm binnen bedrijfsnetwerken is voornamelijk te danken aan het feit dat AutoRun op werkstations niet is uitgeschakeld, aldus Roel Schouwenberg tegenover Security.nl. Volgens de senior anti-virus onderzoeker van Kaspersky Lab zitten de meeste bedrijven achter "fancy firewalls" waar een worm zoals Conficker nooit doorheen komt. De eerste infecties bij een bedrijf zijn dan ook te danken aan besmette USB-sticks, een van de drie manieren waarop de malware zich verspreidt. Inmiddels zijn al 10 miljoen computers door de worm geïnfecteerd, waaronder ook bij de Nederlandse overheid.

"Zeker in Noord-Amerika en Europa zijn het bedrijven die voor de hoge aantallen infecties zorgen. Daarmee heeft het er alle schijn van dat AutoRun (indirect) voor de meeste infecties heeft gezorgd." Zodra een machine binnen het netwerk besmet is geraakt, probeert de worm allerlei manieren om andere machines te infecteren, zoals het ongepatchte beveiligingslek en het infecteren van gedeelde netwerkmappen. Het ontbreken van beveiligingsupdate MS08-067 is dan de voornaamste reden, waarbij AutoRun de rol van aanjager heeft. In tegenstelling tot thuisgebruikers is op veel kantoorcomputers de Automatische Update functie ingeschakeld. Daarnaast zijn bedrijfsnetwerken wel van een firewall voorzien, maar die biedt alleen bescherming tegen wat er van buiten afkomstig is, niet wat zich binnen het netwerk afspeelt.

De worm is voorzien van een woordenboek met mogelijke wachtwoorden voor gedeelde netwerkmappen. Bedrijven die systeembeheerders toestaan om met elk werkstation op het netwerk via dezelfde administrative share verbinding te maken, zijn met name kwetsbaar.

Rol internetproviders
Toch zijn we in het Westen beter af dan in opkomende landen, aangezien internetproviders hier strenger filteren. "De eerste variant was wel te vergelijken met wormen zoals Blaster en Sasser. Dat soort wormen zijn nu lang niet meer zo effectief als vroeger. In Zuid-Amerika en Azië nog wel, daar wordt er een stuk minder door ISP's gefilterd." Schouwenberg noemt dit dan ook de voornaamste reden waarom Westerse landen minder last hebben.

Niets doen
Het verbaast de virusonderzoeker dat er niets met de besmette machines gedaan wordt. De eerste Conficker variant probeerde nog inloggegevens van online spellen te stelen, maar de nieuwe variant lijkt nog helemaal niets te doen. "Ik vermoed dat in elk geval het initiële plan is geweest om fraudware te downloaden. Waarom er nu niets gebeurt is moeilijk te zeggen." Via fraudware krijgen internetgebruikers meldingen op hun scherm dat de PC besmet is. Door het aanschaffen van een aangeboden nep-virusscanner kan men dan het probleem oplossen. Een lucratieve bezigheid aangezien veel gebruikers hiervoor vallen en de nep-software kopen en installeren.

Nieuwe generatie netwerk-worm
Doordat internetproviders beter filteren en bedrijven firewalls gebruiken moet de nieuwe generatie netwerk-worm opzoek naar nieuwe manieren van verspreiding en Conficker is daar een mooi voorbeeld van. "De nieuwe netwerk-worm heeft een andere vector nodig om op een (bedrijfs) netwerk te geraken." Schouwenberg weet echter niet of we meer Conficker-achtige malware zullen zien. "Deze worm gaat tegen de trend van de afgelopen paar jaar in. Of we meer van dit soort grote wormen gaan zien, wordt afwachten. Ik denk wel dat als we meer 'succesvolle' netwerk-wormen gaan zien, deze gebruik gaan maken van andere vectoren - zoals AutoRun."

Wie vind jij dat er verantwoordelijk voor de uitbraak van de worm is? Stem nu op onze poll!

Reacties (5)
19-01-2009, 16:59 door slasher
Is er een manier om handmatig de geblokkeerde websites te deblokkeren? Via win32 -> drivers -> etc -> ?
19-01-2009, 19:24 door Napped
Waarschijnlijk is het een combinatie van hostfiles en DNS / proxy server verbindingen.
Ik heb nog niet kunnen spelen met dit virus om de werking te testen.
Er zou hier en daar wel ergens wat in het register zitten dat ook settings terug zet.
19-01-2009, 22:50 door Anoniem
ik vind dit alleen maar laggen! je moet gewoon alltijd updates instaleren en een goed wachtwoord hebben van minimaal 8 tekens met minimaal 1 letter, 1 cijver, en 1 speciaal teken, Bijv: D!tiS€en1Est. dan is de kans al minder. Ik moet desondanks de kwaad van dit virus toch mijn complimenten geven met zijn snelheid van verspreiding en het slim gebruik maken van de stomme fouten van windows gebruikers.
20-01-2009, 11:31 door spatieman
wat het ook is, het maakt het gehele gebeuren op internet behoorlijk langzaam.
nee, ik ben niet infected.
21-01-2009, 14:10 door Anoniem
Laggen, instaleren, cijver, de kwaad....

Inderdaad, genoeg te 'lachen' Anoniem... :O
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.