Sinds gisteren zijn er twee wormen in omloop die het beveiligingslek in de Windows Server Service kunnen gebruiken om zich te verspreiden. Toch blijkt dat de malware de exploit voor het MS08-067 lek alleen als externe module gebruikt, die het eerst moet downloaden. Daarbij helpt het om deze adressen te blokkeren: 10Wrj.com en zz.ushealthmart.com. De ene worm richt zich op Chinese Windows 2000 systemen, terwijl de andere het op XP machines heeft voorzien. De XP malware, Kernelbot.A, is een worm met botfunctionaliteit en bevat instructies om bepaalde doelwitten via ee DDoS-aanval aan te vallen.

"Sinds de originele patches verschenen hebben we het rustig gehad. Die tijd is voorbij en we zien meer en succesvol gebruik van dit lek door malware in het wild", aldus Symantec.

Datadief
Beveiliger SecureWorks ziet nog geen grote uitbraken. Een van de redenen daarvoor is dat de worm alleen kwetsbare hosts op het lokale subnet zoekt. Het kan alleen andere netwerken infecteren als een besmette computer in een ander netwerk wordt gezet. Windows XP SP2 beperkt verbindingen naar de RPC poort tot het lokale subnet. Ook al zal er in de toekomst malware verschijnen die dezelfde exploit gebruikt, een globale worm die zich via deze vector verspreidt is onwaarschijnlijk, aldus onderzoeker Joe Stewart.

In tegenstelling tot wat eerder werd gezegd, blijkt de malware die als eerste werd ontdekt bij het misbruiken van de Windows Server Service kwetsbaarheid, helemaal geen gegevens te stelen. Het Gimiv Trojaanse paard verzamelde alleen systeeminformatie, zoals welke Windows versie, IP en MAC adressen, datum van installatie en andere systeemgegevens, maar geen wachtwoorden. Aan de hand van de gegevens die de onderzoekers binnen het Trojaans paard vonden, bleek dat uiteindelijk 200 computers besmet waren.

Patient zero
Stewart bevestigt wel dat de meeste infecties in Azië hebben plaatsgevonden, iets wat onderzoekers vorige week al meldde. Aan de hand van de gegevens blijkt dat Gimmiv mogelijk in Vietnam is begonnen. Dit was op 29 september, toch komt de Trojan voor het eerst op 20 augustus van dit jaar voor. Het ging in dit geval om twee IP-adressen die kort gezien werden. Een van die IP-adressen bevond zich in Korea en draaide Gimmiv in een virtual machine. "Precies wat je verwacht van iemand die malware aan het testen is."

Ook Microsoft MVP Jesper Johansson verwacht geen Sasser of Blaster-achtige wormen, aangezien dit niet in het belang van cybercriminelen is. "De nieuwe generatie wormen is gerichter, stiller, doelbewuster en gevaarlijker. Als het doel verandert, geldt dat ook voor het aanvalspatroon."