Storm Worm

Storm Worm
Basisinformatie
Type	Trojaans paard
Aangetaste systemen	Microsoft Windows
Ontdekking	2007
Dreigingsanalyse
Verspreiding	e-mail
Schade
Functie	Botnet
Portaal	Computer ; Informatica

Storm Worm is computer-malware in de vorm van een Trojaans paard dat begin 2007 ontdekt werd. Dit virus wordt via e-mail verspreid. Bij het openen van de mail wordt de computer besmet. Op die manier wordt een zogenaamd Botnet gecreëerd. Een Botnet is een netwerk van computers die door het virus verbonden zijn. Het gevaar hierbij is dat de host die het virus verspreid heeft, volledige controle heeft over de besmette computers. Op grote schaal kan dit desastreuze gevolgen met zich meebrengen. Het programma valt besturingssystemen aan die op Microsoft Windows draaien. Op 22 januari 2007 was Storm Worm goed voor maar liefst 8% van de wereldwijd verspreide malware.

Oorsprong[bewerken | brontekst bewerken]

Storm Worm begon via mail op 17 januari 2007. Deze mails hadden verschillende onderwerpen zoals:

"A killer at 11, he's free at 21 and kill again!"
"U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel."
"British Muslims Genocide."
"FBI vs. Facebook."
"Saddam Hussein alive!"
"230 dead as storm batters Europe."
"Naked teens attack home director."

Indien de bijlage geopend wordt, dan installeert de malware Wincom 32. Mogelijks wordt ook Trojan.Abwiz.F trojan en W32.Mixor.Q@mm worm geïnstalleerd. De bijlages hadden verschillende namen; enkele voorbeelden zijn: "postcard.exe", "FullClip.exe", "MoreHere.exe", "FlashPostcard.exe", "GreetingCard.exe" en "ecard.exe."

Volgens professionals in informatiebeveiliging zaten bekende spammers achter de aanval, waaronder Leo Kuvayev. Vele vingers wijzen in de richting van Russische hackers. Toch is er tot op heden nog geen zekerheid hierover. Ook zijn er geruchten dat Storm Worm verhuurd wordt aan andere criminele instanties.

Kenmerken[bewerken | brontekst bewerken]

Storm Worm werkt via het verspreiden van e-mails die Spam bevatten. Het virus besmet de computer en creëert zo een botnet. Dit proces wordt wel eens vergeleken met het omzetten van computers in "zombies." De computer is dan volledig in handen van degene die het virus verspreid heeft.

De meeste Botnets worden gecontroleerd vanuit een centrale server. Bij Storm Worm is dit niet het geval. Hier wordt gebruikgemaakt van een Peer to Peer-netwerk. Dit betekent dat er geen gecentraliseerde controle is over het virus. Dit computervirus maakt gebruik van de aangetaste computers door ze in te zetten als host. Zo zijn er meerdere computers die dienstdoen als host. Daarbovenop bevat iedere computer maar een deelverzameling van het Storm Worm-virus. Dit wil zeggen dat geen enkele van de hosts de volledige verzameling van het virus bevat. Dit maakt het alleen maar moeilijker om de ware grootte van het virus in te schatten en te bestrijden.

Storm Worm is een geduldig virus. Dit wil zeggen dat het virus de computer infecteert maar niet onmiddellijk aanvalt. Een virus dat onmiddellijk aanvalt is makkelijk te detecteren. Bij Storm Worm weten mensen vaak niet dat hun computer geïnfecteerd is. Dit kan ertoe leiden dat vele computers ongemerkt geïnfecteerd raken en zo een enorm Botnet gecreëerd wordt. Naar schatting waren er in 2007 zo'n 1 miljoen tot 50 miljoen computers besmet met het virus. Deze schattingen zijn erg uiteenlopend. Andere bronnen spreken van 1 miljoen tot 10 miljoen geïnfecteerde computers. Kenmerkend bij Storm Worm is dat het virus geen onmiddellijke schade aanricht. Het virus kan vergeleken worden met een parasiet want het virus kan enkel opereren als de host intact is. Niet alleen met een parasiet kan het vergeleken worden. Storm Worm werkt qua taakverdeling als een mierenkolonie. Een beperkt gedeelte van het virus houdt zich bezig met de verspreiding. Een ander beperkt gedeelte houdt zich bezig met command and control. De rest van het virus wacht tot het bevelen krijgt. Dit maakt dat het computervirus erg goed bestand is tegen aanvallen. Als een host aangevallen wordt, staan andere hosts klaar om de taken over te nemen. Dit is de kracht van het Peer to Peer-netwerk. Dit netwerk wordt vooral gebruikt voor Command and Control. Dit maakt het voor antivirusprogramma's veel moeilijker om te detecteren. Daarnaast schuilt het virus ook achter een constant veranderend DNS. Deze techniek wordt "Fast Flux" genoemd. Ook de code die het virus gebruikt om te verspreiden wordt om de 30 minuten aangepast. Daarnaast wordt de manier waarop de spam verspreid wordt regelmatig aangepast. Dit onder de vorm van PDF-spam, YouTube-uitnodigingen en e-cards. Ook de onderwerpen van de e-mails worden vaak aangepast. Op 1 april 2008 werden bijvoorbeeld mails verstuurd met onderwerpen die betrekking hebben op 1 april. Met de Olympische Spelen in Peking was dit ook het geval. Uiteindelijk valt het virus ook sites aan zoals spamhaus.org die gericht zijn op het detecteren van het virus. Door al deze kenmerken is het niet verwonderlijk dat Storm Worm als een van de gevaarlijkste virussen gezien wordt. Voorlopig heeft het virus nog niet veel schade aangericht. Het virus houdt zich voorlopig hoofdzakelijk bezig met groeien.

Risico's[bewerken | brontekst bewerken]

Storm Worm brengt heel wat mogelijke risico's met zich mee. De meest voor de hand liggende vormen van computercriminaliteit zijn bankfraude en identiteitsdiefstal. Een ander risico is om geïnfecteerd te raken met het virus. Eenmaal de computer een zogenaamd bot is kunnen er vanuit die computer automatische taken uitgevoerd worden zonder het medeweten van de eigenaar van de computer. Die bots kunnen verschillende taken uitvoeren zoals informatie over de eigenaar verzamelen, websites aanvallen, e-mails die het computervirus bevatten doorsturen en dergelijke meer.

Antivirus vs. Storm Worm[bewerken | brontekst bewerken]

Tegenwoordig zijn er een aantal antivirusprogramma's die Storm Worm kunnen detecteren. Deze zijn Authentium, BitDefender, ClamAV, eSafe, Eset, F-Prot, F-Secure, Kaspersky, McAfee, Sophos, Symantec, Trend Micro, avast! en Windows Live OneCare. Deze antivirusprogramma's houden zich constant bezig met updaten om het virus te kunnen detecteren. Dit wil niet zeggen dat al deze antivirusprogramma's alle varianten van Storm Worm kunnen detecteren. Aan de andere kant wordt Storm Worm ook continu geüpdatet om detectie door antivirussoftware te vermijden.

Bronnen, noten en/of referenties

Dit artikel of een eerdere versie ervan is een (gedeeltelijke) vertaling van het artikel Storm Worm op de Engelstalige Wikipedia, dat onder de licentie Creative Commons Naamsvermelding/Gelijk delen valt. Zie de bewerkingsgeschiedenis aldaar.
Dit artikel of een eerdere versie ervan is een (gedeeltelijke) vertaling van het artikel Storm botnet op de Engelstalige Wikipedia, dat onder de licentie Creative Commons Naamsvermelding/Gelijk delen valt. Zie de bewerkingsgeschiedenis aldaar.
http://computer.howstuffworks.com/worst-computer-viruses10.htm
https://www.schneier.com/blog/archives/2007/10/the_storm_worm.html
http://www.cnet.com/news/storm-worm-rages-across-the-globe/
https://www.youtube.com/watch?v=a-8ap_Ez9OQ
https://www.fbi.gov/news/pressrel/press-releases/fbi-warns-of-storm-worm-virus