Nog altijd 11.000 computers wereldwijd zijn met een geavanceerde worm besmet die in 2008 werd ontwikkeld en als de voorloper van de beruchte Stuxnet-worm wordt beschouwd. De Fanny-worm werd gisteren al door Kaspersky Lab onthuld en vandaag zijn er meer details openbaar gemaakt.

De worm gebruikte twee zero day-lekken in Windows om zich via USB-sticks te verspreiden. Het aansluiten van een besmette USB-stick op een Windowscomputer, ook al stond Autorun uitgeschakeld, was voldoende om besmet te raken. De worm gebruikte hiervoor het LNK-lek dat later ook door de Stuxnet-worm werd gebruikt. De tweede kwetsbaarheid die Fanny gebruikte zorgde ervoor dat de malware beheerdersrechten kreeg. De kwetsbaarheden werden in 2009 en 2010 door Microsoft gepatcht.

Vermomming

Hoewel Stuxnet bekend staat als de eerste malware die het LNK-lek gebruikte, werd er in 2010 een Trojaans paard ontdekt dat zich al eerder via dit lek verspreidde. Het ging om de Zlob Trojan, onderdeel van een grote malware-familie. Niemand in de anti-virusindustrie had echter aandacht aan dit malware-exemplaar gegeven. De makers van Fanny gebruikte een veelvoorkomende methode om de malware tijdens het starten van Windows te laden, waardoor de creatie als Zlob werd gedetecteerd.

Er werd namelijk een registerwaarde aangemaakt om automatisch te starten. Volgens de onderzoekers hebben de malwareschrijvers dit opzettelijk gedaan, om zo automatische controlesystemen van anti-virusbedrijven en onderzoekers om de tuin te leiden. Die zouden de malware namelijk detecteren en, vanwege de veel gebruikte starttechniek, er verder geen aandacht aan schenken. Daardoor bleef de diepere werking en functionaliteit van Fanny verborgen.

De belangrijkste functionaliteit van de worm is het in kaart brengen van systemen en netwerken die niet met internet verbonden zijn. Waar Stuxnet alleen op specifieke systemen werkte, infecteerde Fanny alle Windowscomputers waar het op terechtkwam. Niet alleen kon de worm computers eenvoudig infecteren. Zodra USB-sticks op een besmette computer werden aangesloten, raakten die ook geïnfecteerd en kon de worm zich verder verspreiden.

Slachtoffers

De onderzoekers wisten de Command & Control-server die de aanvallers gebruikten voor het aansturen van besmette computers over te nemen. In totaal maakten nog altijd 11.200 unieke IP-adressen verbinding met deze server. Zestig procent daarvan is afkomstig uit Pakistan, gevolgd door Indonesië (16%) en Vietnam (14%). Of Pakistan ook het oorspronkelijke doelwit van Fanny was is onbekend. De situatie is mogelijk anders toen de worm tussen 2008 en 2010 werd ingezet. Wel merken de onderzoekers op dat de groep die Fanny ontwikkelde ook andere malware maakte die het op Pakistan had voorzien.

Het werkelijke doelwit van Fanny is echter onbekend, zo stellen de onderzoekers. Mogelijk dat de worm is gebruikt om potentiële doelwitten voor Stuxnet te selecteren. Een ander opmerkelijk feit is het grote aantal infecties in Pakistan. Het gebruik van USB-sticks is namelijk een trage verspreidingsmethode. Daarom denken de onderzoekers dan ook dat de eerste infecties in Pakistan plaatsvonden.