Zotob-worm werkt zichzelf tegen

  • Bron (c) 2005, VirusAlert

De nieuwe worm Zotob verspreidt zich een stuk minder snel dan zijn voorgangers Slammer en Sasser. Er zijn verschillende verklaringen voor het feit dat dit stuk ongedierte zich op een relatief laag tempo voortplant. Allereerst is het zo dat deze worm uit zichzelf alleen werkzaam is op Windows 2000. Andere besturingssystemen kan hij alleen infecteren wanneer de gebruiker zelf het .exe-bestand opent, een zeer onwaarschijnlijk scenario. De specificiteit voor Win2k werkt drievoudig belemmerend voor de worm.

In tegenstelling tot andere wormen kan deze slechterik zich slechts richten op één vorm van het Windows-systeem, wat natuurlijk inhoudt dat hij minder potentiële slachtoffers heeft. Bovendien gaat het hier om een verouderde vorm van het OS, waar nog weinig mensen gebruik van maken. Ten derde is Windows 2000 nooit actief geprofileerd als een consumentensysteem, waardoor het buiten de tweaker- en zakenwereld maar weinig bekendheid geniet.

Een tweede verklaring voor de trage voortgang ligt er volgens experts in dat veel bedrijven alerter zijn geworden op de beveiliging van hun systemen. Doordat bedrijven op tijd de kwetsbare plek gepatcht hebben, is een enorme uitbraak voorkomen. De belangrijkste verklaring moet echter gezocht worden in het gedrag van de worm zelf. Een aantal van de computers die geïnfecteerd is met de worm toont deze infectie door de computer te laten rebooten. Op deze manier komen systeembeheerders te weten dat er iets met de computer aan de hand is en wordt de worm zo snel mogelijk verwijderd.

Bovendien is er weinig tijd om te verspreiden wanneer de computer in een constante rebootloop zit. Deze rebootlus wordt waarschijnlijk veroorzaakt door een fout in de code. Er zijn verschillende varianten van Zotob in omloop die met elkaar lijken te concurreren. Zo verdwijnt de ene versie van een pc wanneer deze geïnfecteerd wordt door een andere. Niet alle versies zijn even handig opgezet; een aantal zijn er wel in staat om zich ongemerkt voort te planten, anderen verraden hun aanwezigheid door bijvoorbeeld spontane reboots te veroorzaken.