Het Red October spionagevirus dat deze week werd onthuld zocht onder andere naar Nederlandstalige versies van Windows. Dat blijkt uit een zeer uitgebreide analyse van de malware die het Russische anti-virusbedrijf Kaspersky Lab online heeft gezet. In 140 pagina's wordt elk detail van het spionagevirus besproken, dat zo'n 300 unieke computers wereldwijd wist te infecteren.

De Rocra-malware, zoals Kaspersky het spionagevirus noemt, was vooral actief in de voormalige Sovjet-Unie. Op een gedeelde derde plek met meeste infecties, en als eerste westerse land, staat België. Vanwege het relatief 'hoge' aantal infecties in België, het ging uiteindelijk om 15 computers, werd een verband met het Europees Parlement en de Europese Commissie gelegd.

De Europese Commissie ontkent dat het slachtoffer van de malware is geworden. "Er is geen concreet bewijs dat de Commissie het doelwit van deze malware was. Maar de security-teams zijn bekend met de dreiging en werken op permanente basis om deze en andere soorten aanvallen af te slaan", aldus een woordvoerder tegenover V3.

Werking
Om meer inzicht in de werking van Rocra te krijgen gebruikte Kaspersky verschillende nepslachtoffers en keek over een periode van meerdere maanden hoe de aanvallers met deze 'dummies' omgingen. Hierdoor kon er uitvoerige informatie over honderden aanvalsmodules worden verzameld.

Het ongekend uitgebreide onderzoek van Kaspersky laat zien dat Rocra een echte datadief is. Zo worden surfgeschiedenis, inloggegevens voor mail, FTP en browser, gedeelde netwerkmappen, Windows account-hashes, e-mail, toetsaanslagen, adresboeken en andere informatie gestolen.

Er is een aparte module die e-mailberichten en bijlagen van Microsoft Outlook en van bereikbare mailservers, waarvoor het eerder gestolen inloggegevens gebruikt, probeert te stelen.

Ook mobiele telefoons zijn niet veilig, aangezien aangesloten Windows Mobile, Nokia en iPhones ook worden leeg getroklen. Daarnaast worden Windows Mobile telefoons besmet met een backdoor. Toch zijn dit zaken die inmiddels door meer virussen worden uitgevoerd.

Hetzelfde geldt voor het gebruik van MS08-067. Rocra scant het lokale netwerk binnen een vooraf ingestelde 'range' en probeert machines vervolgens via het Windows Server service-lek (MS08-067) te infecteren. Dit is dezelfde kwetsbaarheid waardoor de beruchte Confickerworm zich verspreidde.

USB-sticks
De analyse van Kaspersky toont allerlei details over de malware. Zo worden alle aangesloten USB-apparaten geïnspecteerd, behalve als ze als A: worden aangekoppeld, wat voor Floppy drives is gereserveerd. Ook worden allerlei gegevens over het USB-apparaat verzameld, waaronder bestandsnaam, serienummers.

Opmerkelijk genoeg kan de malware alleen FAT-gebaseerde bestandssystemen lezen. Andere bestandssystemen, waaronder NTFS, kan het niet lezen.

Verder kijkt de malware naar de gebruikte taal, waarbij het een aantal talen 'hardcoded' heeft ingesteld, waaronder Nederlands. Ondanks de technische werking van Rocra gebruikt het geen zero-day exploits. Slachtoffers kregen een e-mail met een link of bijlage, die vervolgens werd geopend.

Ook dit was niet gevaarlijk, tenzij er beveiligingsupdates ontbraken, wat bij honderden instanties het geval bleek te zijn. Voor alle lekken die Rocra gebruikte waren al geruime tijd patches beschikbaar.