2min

Tags in dit artikel

,

Trend Micro, Inc., leider op het gebied van netwerkantivirus- en internet-content-beveiligingssoftware en -diensten, waarschuwt voor de WORM_MYTOB.BI. Worm_MYTOB kent nu al een record aantal varianten van 117 stuks sinds de ontdekking 90 dagen geleden. MYTOB.BI is de vierde variant met een alert-status, en de tweede deze week. MYTOB is 27 februari 2005 ontdekt. Sindsdien heeft de worm ruim 65.000 systemen wereldwijd geïnfecteerd. Trend Micro verwacht dat het aantal varianten nog sterk zal groeien, en waarschuwt bedrijven, thuiswerkers en consumenten afdoende beschermingsmaatregelen te nemen.

WORM_MYTOB-varianten doen zich voor als een bericht van IT-beheerders om ontvangers te verleiden een bijlage te openen, een vorm van Social Engineering. De gebruiker denkt dat het e-mail-bericht gaat over het opheffen van zijn of haar e-mail-account. MYTOB-varianten onderscheiden zich in bestandsnamen en IRC-servers (Internet Chat Relay) en -kanalen. IRC is de mogelijkheid om met meerdere mensen tegelijkertijd via internet te discussiëren.

Andere kenmerken van de WORM_MYTOB-familie:

  • WORM_MYTOB kent het grootste aantal varianten dit jaar.
  • Ondanks het recordaantal varianten is de hoeveelheid geïnfecteerde systemen relatief laag; iets meer dan 65.000. Dit is lager dan het aantal HTML_NETSKY.P-infecties in de afgelopen 30 dagen.
  • De populariteit van de MYTOB-broncode groeit omdat deze worm in vergelijking met andere broncodes relatief eenvoudig is te implementeren. Een virusschrijver met weinig kennis of skills hoeft alleen maar enkele bestanden of registraties te veranderen of toe te voegen om een geheel nieuwe variant te creëren. Eerder deze week bleek dit uit WORM_MYTOB.AR, die spyware en addware omvat. Hiermee is de weg vrijgemaakt voor toekomstige varianten die worden gebruikt voor financieel gewin.
  • Jaime Lyndon ‘Jamz’ A. Yaneza, Senior AC Research Engineer bij Trend Micro, verwacht dat het aantal MYTOB-varianten sterk zal toenemen doordat minder bedreven programmeurs (script kiddies) de code kunnen knippen en plakken. "De MYTOB-varianten gebruiken een redelijk eenvoudige methode om detectie te vermijden", zegt Yaneza, refererend aan de drie compressiealgoritmes die MYTOB-varianten gebruiken. "Dit verklaart waarom zoveel varianten zijn opgedoken, terwijl het aantal infecties achterblijft."
  • Yaneza voegt toe dat het karakter van MYTOB waarschijnlijk de toekomst zal bepalen. De meeste infecties die tegenwoordig opduiken, zijn niet het resultaat van nieuw geschreven malware, maar van herschreven, bestaande malware. "De data die we in de afgelopen maanden hebben verzameld, laat weinig verband zien tussen het aantal nieuw ontdekte malware en het aantal infecties", verklaart Yaneza. "Dit is niet anders dan bij BAGLE, NETSKY en MYDOOM. Het probleem is echter groter vanwege het grote verspreidingsgevaar."
  • De code voor MYTOB is een combinatie van MYDOOM- en BOT-source – die effectief gebruik maakt van dezelfde exploit-code. In plaats van één enkel algoritme voor bestandscompressie gebruikt MYTOB een combinatie van drie verschillende algoritmes (waaronder de nieuwe compressors/codebeschermers Yoda Protector 1.4 en Pencrypt 4.0, en het relatief bekende UPX-compressiealgoritme). Hiermee wordt geprobeerd scanners te vermijden.