6 juni 2005
Kaspersky Lab heeft een nieuwe malware gevonden die erg effectief
blijkt te zijn in Nederland. Er is op dit moment sprake van een
epidemie. Het gaat om malware welke zich voornamelijk via het MSN
Messenger netwerk verspreidt, meestal als een link naar
beach_pictures_packet.PIF. Deze malware, die door Kaspersky Lab als
Backdoor.Win32.SdBot.gen gedetecteerd wordt, is een pakket met
verschillende kwaadaardige bestanden.
Het hoofdbestanddeel is een IRCBot, een Backdoor die commando’s via een
IRC kanaal kan opvolgen. Deze commando’s zijn onder andere het
downloaden en uitvoeren van bestanden en fungeren als een proxy-server.
Naast de al traditionele manieren van verspreiden verspreidt deze worm
zich ook indirect over het MSN netwerk, door berichten te sturen naar
online contactpersonen van MSN Messenger. Wat deze malware zo
gevaarlijk en succesvol maakt is het gebruik van een rootkit. Een
rootkit is een set drivers welke de acties van bepaalde bestanden
onzichtbaar maakt voor het besturingssysteem. Dit varieert van het
verbergen van de betreffende files tot het maskeren van de gebruikte
poorten. Dit heeft dus ook gevolgen voor de virusscanner. In dit geval
komt het er op neer dat als de rootkit actief wordt voor de
virusscanner, de virusscanner de rootkit niet zal detecteren. Na een
reboot zal de virusscanner de rootkit dus niet meer vinden.
Het doel van deze malware lijkt het verdienen van geld te zijn. Er
wordt namelijk AdWare op genfecteerde systemen genstalleerd, iets
waar het brein achter deze operatie ongetwijfeld geld voor krijgt.
Opvallend zijn Nederlandse verwijzingen, dit samen met het feit dat
deze malware voornamelijk in Nederland rond gaat kan er op duiden dat
de persoon of personen hierachter een Nederlander is.
Gezien het aantal infecties en de aard van de infectie heeft Kaspersky
Lab een removal methode ontwikkeld. Deze kunt u vinden op de website
van Kaspersky.