Kroniek van Panda’s malware

  • Bron (c) 2005, VirusAlert

Er zijn in de eerste helft van 2005 geen significante epidemieën uitgebroken; er was evenwel – hoe tegenstrijdig het ook mag lijken – buitengewoon veel activiteit van allerlei soorten kwaadaardige code. Het ziet ernaar uit dat de malware-ontwikkelaars cyberspace steeds meer onveilig proberen te maken met zoveel mogelijk verschillende codes, in plaats van te mikken op een massale verspreiding van één enkele malware.

Van de nieuwe soorten malware die in deze periode zijn opgedoken, vallen sommige veeleer op als anekdotes dan door hun verspreidingsgraad. Op basis van bepaalde min of meer intrigerende karakteristieken, heeft Panda Software de volgende ranking opgesteld voor de malware die tijdens de eerste helft van 2005 aan het licht is gekomen.

– De primitiefste. Deze “eer” gaat onbetwistbaar naar Cisum.A Dit is een worm die niet alleen de beveiligingssystemen tegen malware in alle geïnfecteerde pc’s buiten werking stelt, maar tevens dit bericht nalaat voor de gebruiker: U bent een idioot. Dit verschijnt dan in een venstertje op het scherm, en weerklinkt tevens om de 5 seconden uit de pc-luidsprekers.

– De meest cynische. De Zar.A-worm verdient ten volle dit “eerbetoon” omdat hij het onderwerp van giften aan slachtoffers van de tsunami in Zuidoost-Azië gebruikte om gebruikers ertoe aan te zetten het bestand met de kwaadaardige code te openen.

– De meest “sexy”. De Bropia.E-worm – die zich verspreidt via instant messenger services – kan tot nog toe als de meest sexy malware in zijn soort in 2005 worden beschouwd. Er is immers geen andere term te bedenken voor het beeld in de bijlage van de e-mail: een kip met bikinistrepen op haar lichaam, gebruind, vermoedelijk door de zon… of door de oven waar ze juist was uit kwam.

– De gevaarlijkste. De keuze was in dit geval erg makkelijk: Whiter.F, een “vriendelijke” kleine code die de inhoud van de hele harde schijf wist. Een merkwaardig aspect van deze malware is dat hij, alvorens de schijf te wissen, alle bestanden van de gebruiker vervangt door bestanden die de volgende tekst bevatten: U hebt piraterij gepleegd, dit is uw verdiende loon.

– De wraakzuchtige wormen. Twee kwaadaardige codes wedijveren om deze prijs: enerzijds de reeds bekende Trojan Whiter.F en, anderzijds de Nopir.A-worm. Deze laatste wist alle bestanden met de extensies COM en MP3 die hij in de computer aantreft en verspreidt zich daarnaast via P2P file-sharing netwerken. Wanneer hij een systeem aanvalt, vertoont hij een beeld waarin computerpiraterij wordt veroordeeld. Laat u echter niet misleiden: het gaat louter om een gemeen voorwendsel om gevaarlijke malware te verspreiden.
– De meest hardnekkige. Meer dan 4200 varianten die dit jaar werden gelanceerd laten er geen twijfel over bestaan: de makers van de Gaobot-wormen zijn beslist de meest hardnekkige die we tot nog toe hebben gezien. De bedoeling van de maker(s) om met de lancering van de ene variant na de andere een epidemie proberen te veroorzaken – zonder daarin te slagen – kan vreemd lijken, maar niets is minder waar. Het doel van de makers van Gaobot bestaat erin het maximale aantal varianten in omloop te brengen, zodat de kans dat gebruikers met één ervan in contact komen, zo groot mogelijk is.

– De meest “sociale”. “Sociaal” moet tussen aanhalingstekens worden geplaatst, want de Gaobot.IUF- en Prex.AM-wormen zijn hoe dan ook zeker niet bedoeld om behoeftigen te helpen. Hun “sociale instelling” is uitsluitend beperkt tot henzelf, omdat ze het werk verdelen bij het uitvoeren van kwaadaardige acties in de pc’s waarin ze zich nestelen. Terwijl Gaobot een achterdeur in de computer aanbrengt waardoor hackers aanvallen kunnen uitvoeren, houdt Prex.AM zich bezig met het verzenden van va– De meest verleidelijke. Deze prijs gaat naar de variant V van de uitgebreide familie Sober-wormen. De verlokking van gratis kaarten voor de Wereldbeker Voetbal in Duitsland in 2006 heeft ervoor gezorgd dat deze malware zich op grote schaal heeft kunnen verspreiden. Gelukkig zijn de gebruikers inmiddels snuggerder geworden en is de maker er niet in geslaagd een nieuwe epidemie te veroorzaken.

– De afpersers. Het ziet ernaar uit dat geld vragen in ruil voor vrijstelling van de effecten van kwaadaardige code opgang maakt als nieuwe vorm van on-linefraude. De meest opvallende van deze soort zijn de PGPCoder-Trojans die bestanden encrypteren op de harde schijf en dan geld eisen of de aanschaf van bepaalde applicaties om die bestanden te kunnen ontcijferen. Dit is enigszins vergelijkbaar met de tactiek van andere malware, zoals SpywareNo; ook hierbij moet een bepaalde anti-spyware software worden aangeschaft om van de malware af te raken.

– De meest veelzijdige. Eyeveg.D is één van die soorten malware die onmogelijk in een categorie onder te brengen zijn. Hij heeft bepaalde karakteristieken van Trojans en achterdeur, allemaal met de bedoeling om confidentiële gegevens van de aangetaste pc’s te stelen en aanvallen van op afstand mogelijk te maken. Om het systeem nog efficiënter te maken, kan deze malware zich via e-mail verspreiden. Wat jammer dat zoveel talent wordt verspild aan kwaadaardige activiteiten!

– De bankovervallers. Deze malware heeft het niet alleen op banken gemunt, maar op de bankrekeningen van computergebruikers. De menige variaties van de Bancos-familie van Trojans beogen uiteindelijk allemaal hetzelfde: gebruikersgegevens bemachtigen om alle soorten van financiële fraude te plegen.

De hier beschreven malware kan dan wel uw nieuwsgierigheid opwekken, maar het is altijd beter hem op afstand te houden zodat hij zich niet van uw pc kan meester maken. Panda Software adviseert dan ook altijd een volledig bijgewerkt anti-malware-programma te gebruiken. En als dit uitgerust is met proactieve technologie, zoals TruPreventTM, des te beter, dan is uw pc beveiligd tegen zowel de reeds bekende malware, als tegen die welke nog moet komen. En u kunt ervan op aan dat die net zo gevaarlijk, zo niet nog gevaarlijker, zal zijn als de malware die in dit artikel wordt beschreven.