Kaspersky Lab heeft begin deze week een nieuwe malware gevonden die erg effectief blijkt te zijn in Nederland. Er is op dit moment sprake van een epidemie. Het gaat om malware welke zich voornamelijk via het MSN Messenger netwerk verspreidt, meestal als een link naar beach-pictures-packet.PIF. Deze malware, die door Kaspersky Lab als Backdoor.Win32.SdBot.gen gedetecteerd wordt, is een pakket met verschillende kwaadaardige bestanden.
Het hoofdbestanddeel is een IRCBot, een Backdoor die commando’s van een remote user via een IRC kanaal kan opvolgen. Deze commando’s zijn onder andere het downloaden en uitvoeren van bestanden en fungeren als een proxy. Verder kan onder andere het commando gegeven worden om via verschillende manieren te verspreiden. Naast de al traditionele manieren van verspreiden, zoals bijvoorbeeld over het netwerk en via P2P, verspreidt deze worm zich ook indirect over het MSN netwerk.
Bij de IRCBot zit een IM-Worm.Win32.Kelvir variant welke berichten stuurt naar online contactpersonen van MSN Messenger. Dit is nu echter zo gedaan dat de remote user kan bepalen wat Kelvir zegt. Dit houdt in dat het aanzienlijk minder moeite kost om het bot netwerk in stand te houden en uit te breiden. Eerder moest er als een website offline gehaald werd een nieuwe variant gemaakt worden, nu kan de link direct via IRC veranderd worden.
Wat deze malware zo gevaarlijk en succesvol maakt is het gebruik van een rootkit, een Backdoor.Win32.HacDef variant. Een rootkit is een set drivers welke de acties van bepaalde bestanden onzichtbaar maakt voor het operating system. Dit varieert van het verbergen van de betreffende files tot het maskeren van de gebruikte tcp en udp poorten. Dit heeft dus ook gevolgen voor de virusscanner. In dit geval komt het er op neer dat als de rootkit actief wordt voor de virusscanner, de virusscanner de rootkit niet zal detecteren. Na een reboot zal de virusscanner de rootkit dus niet meer vinden.
Het doel van deze malware lijkt het verdienen van geld te zijn, ook al is er een erg scriptkiddie achtige boodschap naar een aantal antivirus aanbieders in de IRCBot te vinden. Er wordt namelijk AdWare op geïnfecteerde systemen geïnstalleerd, iets waar het brein achter deze operatie ongetwijfeld geld voor krijgt.
Opvallend zijn Nederlandse verwijzingen in de Bot, dit samen met het feit dat deze malware voornamelijk in Nederland rond gaat kan er op duiden dat de persoon of personen hierachter een Nederlander is. ‘Kijkende naar de evolutie welke Instant Messaging gerelateerde malware momenteel aan het ondergaan is, verwacht ik dat dit soort ‘hybride’ malware snel mainstream gaat worden. De samensmelting van IRCBot, IM malware en rootkit is een zeer gevaarlijke, kijk maar naar de afzonderlijke successen van Bots en IM-Worms.
Het aantal removal guides, die door de rootkit half of helemaal niet werken, die op websites en fora te vinden zijn baren nog eens extra zorgen. Mensen zullen denken dat hun systeem schoon is terwijl dat niet zo is. Gebruikers zullen nog meer op moeten letten op wat ze aanklikken, ook bij hetgeen dat door vrienden en kennissen gestuurd wordt. Vooral .pif bestanden lijken het erg goed te doen bij veel mensen, dit omdat de bijgaande zin en bestandsnaam indiceren dat het om een plaatje gaat. Deze hebben vaak een .gif extensie, in de verwarring klikt de gebruiker wat resulteert in infectie,’ aldus Roel Schouwenberg, Senior research engineer voor Kaspersky Lab Benelux. Hoe te verwijderen Gezien het aantal infecties en de aard van de infectie heeft Kaspersky Lab een removal methode ontwikkeld. Deze is te vinden op de site van Kaspersky.
30 minuten geleden
