OOK OP AD.NL

Computervirus wil naar huis bellen

ROTTERDAM - Er is afgelopen weekeinde groot alarm geslagen over een niet te stuiten computervirus. Het wormvirus Downadup (ofwel Conficker) verspreidt zich zo razendsnel dat alle anti-virusbedrijven het sein op rood hebben gezet.

ILLUSTRATIE PIXELIO.DE

Tientallen Nederlandse bedrijven en zelfs een overheidsinstelling zijn door de worm besmet geraakt, zo bevestigde virusbestrijder Kaspersky Lab.

Namen kan Kaspersky echter niet noemen. ,,De getroffen bedrijven willen (nog) niet meewerken. Ik heb ze gevraagd hun verhaal te doen, maar daar denken ze nog over na,'' aldus Eddy Willems van Kaspersky. ,,Overigens valt het in Nederland en België nog wel mee.''

Het wormvirus waart al rond sinds najaar 2008.

Het verspreidt zich via webpagina's waarvan het de naam zelf raadt. En het is uit op inloggegevens van -ondermeer- online game-diensten. Pokert u op het web en wint u regelmatig, dan is Downadup naar u op jacht. ,,Het virus wil naar zijn makers 'bellen' en uw gegevens doorgeven,'' aldus Mikko Hyppönen, chief research officer bij anti-virusbedrijf F-Secure.

Er zijn volgens Security.nl inmiddels talloze varianten in omloop. Wat de bedoeling precies is, is nog onduidelijk. De worm blokkeert in ieder geval de toegang tot de websites van anti-virusbedrijven. Daarnaast schakelt de worm de Systeemherstel-functie uit. Waar de oorspronkelijke variant het voornamelijk op de inloggegevens van online spellen had voorzien, is nog onduidelijk wat de nieuwere varianten doen. Eerder lieten onderzoekers van het Finse F-Secure weten dat er mogelijk een gigantisch nieuw botnet wordt gemaakt.

Het wormvirus kan zich zo razendsnel verspreiden omdat nog steeds miljoenen Windows-pc's in de wereld onbeschermd met internet verbonden zijn. Naar schatting 8,9 miljoen pc's zijn volgens F-secure wereldwijd inmiddels met het Downadup-virus besmet en dat aantal is met ettelijke tienduizenden toegenomen in de tijd dat u dit bericht leest. En dan vooral in China, Rusland en Brazilië, omdat daar veel illegale versie van Windows XP rondwaren, waar de Windows-Update-service niet op werkt.

Maar het komt ook in Europa voor en legt ook legale bedrijfscomputersystemen plat. Eenvoudig omdat binnen bedrijven losse pc's/laptops meestal niet automatisch Windows Updates uitvoeren.

Het Belgische ministerie van Volksgezondheid waarschuwde zaterdag alle Belgische ziekenhuizen alert te zijn. Het Imelda-ziekenhuis in Bonheiden moest vorige week op een noodplan overschakelen omdat het virus het computernetwerk ernstig vertraagde.

Het virus maakt dit keer gebruik van een 'gat' in de Windows-code voor server- en printerdeling. Microsoft heeft dit gat al in oktober 2008 gedicht met Microsoft Security Update MS08-067. Deze patch is dus al geïnstalleerd bij iedereen die zijn automatische windowsupdate-service aan heeft staan. Die pc's zijn dus al veilig voor dit wormvirus.

Helaas hebben echter nog veel mensen die service uitstaan en werken ze, ook in het Westen, zonder anti-viruspakket.

De worm is daarbij zo doeltreffend omdat hij gebruik maakt van verschillende manieren om zich te verspreiden. Bijvoorbeeld via gedeelde netwerkmappen, die meestal niet met een wachtwoord beveiligd zijn. Als één computer in een netwerk eenmaal geïnfecteerd is, is de kans groot dat andere computers volgen.

Ook misbruikt de worm de AutoRun-functie om zich via USB-sticks te verspreiden. Daardoor wordt een USB-stick of externe harde schijf automatisch gestart als die aangesloten is op de computer, en de Downadup-worm wordt dan ook meteen geactiveerd.

De worm zet tevens op alle schijven op het netwerk een autorun.inf-bestand, dat automatisch wordt uitgevoerd op het moment dat iemand de schijf benadert. De voornaamste reden voor de besmetting blijft het missen van de noodpatch die Microsoft in oktober vorig jaar uitbracht.

Via die onbeschermde pc's gaat het virus vrijelijk zijn gang en verspreidt het zich razendsnel. Van 2,4 miljoen vier dagen terug naar 8,9 miljoen nu. And counting...