Het Confickr-virus houdt experts op het gebied van internetveiligheid al meer dan vier maanden druk bezig. Een reconstructie van wat er in die maanden gebeurde:
Op 23 oktober komt Microsoft achter een lek in Windows. Amper een dag later blijkt een Trojaans paard dat lek te misbruiken om computers te infecteren.
De kwaadaardige software dat de naam Gimmiv-A krijgt is vrijwel uitsluitend in Azië actief en infecteert daar enkele duizenden computers.
Alarmfase 'hoog'
Een maand later verhoogt de producent van antivirus-software Symantec de alarmfase van het internet van "normaal" naar "verhoogd". De aanleiding is een nieuwe versie van Gimmiv-A, een worm dat de naam Downadup krijgt. De nieuwe versie besmet in korte tijd een half miljoen Windows 2000 systemen.
Op nieuwjaarsdag ontdekt Symantec een nieuwe variant van Downadup. Deze variant wordt door Microsoft Conficker genoemd. Het gebruikt meerdere beveiligingslekken in Windows, waardoor ook XP systemen besmet raken. Twee weken later wordt bekend dat Conficker al tien miljoen Windows computers heeft besmet.
Ook in Europa
Al snel daarna komt er weer een nieuwe variant van het virus uit, Conficker-B. Waar de eerste variant van Confickr vooral actief was in Zuid-Amerika en China, slaat Conficker-B ook in Europa toe.
Onderzoekers komen erachter dat de nieuwe variant de beveiligingssoftware uitschakelt, waardoor het erg moeilijk te verwijderen is. Ook blijkt deze versie elke dag contact te leggen met 250 domeinnamen om zo instructies en updates te ontvangen.
Het lijkt er dan even op dat de veiligheidsexperts dichter bij een oplossing komen. Ze staan op het punt om het algoritme te kraken dat Conficker-B gebruikt om contact te leggen met de 250 domeinnamen.
Direct verspreiden
Maar begin maart blijkt op bijna 80 procent van de met Conficker besmette computers een nieuwe variant op de computers te staan: variant-C.
Deze variant is niet afhankelijk van de eerder genoemde algoritmen om zichzelf via bepaalde internetpagina's te updaten, het kan ook nieuwe versies van het virus direct verspreiden van computer naar computer.
Enkele weken geleden kwamen onderzoekers erachter dat er weer een nieuwe versie op veel computers staat, Conficker-D.
1 april
De nieuwe versie gebruikt veel ingewikkeldere algoritmen om contact te leggen met zijn opdrachtgever. Besmette machines genereren 50.000 domeinnamen per dag en proberen met 500 daarvan verbinding te maken.
Ook komen ze erachter dat die nieuwe versie op 1 april, vandaag dus, met zijn nieuwe algoritme voor het eerst zou proberen om in contact te komen met zijn opdrachtgever.
Besmettingen
Nog steeds staat het merendeel van de door Conficker besmette computers in Azië, waar het virus voor het eerst opdook, maar ook in Europa zijn er veel meldingen van besmette pc's.
Onder meer enkele Belgische en Britse ziekenhuizen, het Britse parlement en de Noorse politie hebben aangegeven het virus op hun computers te hebben aangetroffen.
Alert
In Nederland heeft KPN een paar honderd meldingen over het virus gekregen. "Die besmettingen zijn meteen bestreden, maar we blijven alert", zegt een woordvoerder van het telecombedrijf.
Vandaag blijft tot nu toe de gevreesde chaos uit. Er zijn geen meldingen van abnormaal internetverkeer en op de gegenereerde en geregistreerde domeinnamen zijn geen updates of instructies aangetroffen.
Deel deze pagina
»
»
»