'Botnettrojan Storm steekt Sober naar de kroon'

Beveiligers nemen de laatste tijd grote aanvalsgolven waar van de trojan 'Storm', die verantwoordelijk zou zijn voor toegenomen hoeveelheden spam. Botmasters lijken al druk doende te zijn om de infrastructuur voor de feestdagen op te zetten.

oerspam (kleiner) 'Sinds de hoogtijdagen van Sober, in de tweede helft van 2005, hebben we iets dergelijks niet gezien', aldus Sam Maseillo van emailbeveiliger MX Logic. Het bedrijf tekende tussen juni en juli een spamtoename van 1700 procent op, die het toeschrijft aan de activiteiten van deze malware. Volgens MX Logic zijn spammers nu al bezig hun netten uit te werpen om in december - wanneer de hoeveelheid spam traditiegetrouw een hoogtepunt bereikt - zoveel mogelijk zombie-pc's in hun macht te hebben. Eind juni kwam Storm op stoom, en begin juli had de trojan bijzonder vaak beet via spammailtjes met vakantieonderwerpen, aldus Maseillo.

Ook MessageLabs, dat Storm betitelt als een van de meest succesvolle botnettrojans die recent is waargenomen, denkt dat het programma verantwoordelijk is voor een zekere piek in de hoeveelheid spam. Eerdere versies van de trojan dienden zich als e-mailbijlage bij hun slachtoffers aan, maar voor nieuwe varianten wordt gebruikgemaakt van een link naar een kwaadaardige webstek. Een bezoekje aan een dergelijke site betekent dat de computer van de surfer wordt onderworpen aan een breed scala van exploitpogingen, veelal via de hacktoolkit 'Mpack'. Heeft een poging succes, dan wordt Storm geïnstalleerd, die vervolgens een lading zelfvermenigvuldigingsmailtjes verstuurt met links naar Mpack-sites, evenals andere spam.

botmaster Storm zou een recente karrenvracht zogeheten 'pump and dump'-mailtjes hebben rondgestuurd, maar de trojan wordt ook verantwoordelijk gehouden voor ddos-aanvallen op spambestrijders. Symantec, dat de malware Peacomm heeft genoemd, zegt overigens dat berichten over een verband tussen spamtoename en Storm 'ongefundeerd' zijn, maar ontkent de mogelijkheid niet.

IT-banen

Reacties (42)

rhodium 15 augustus 2007 09:26

Dat mensen gewoon weg nogsteeds zo de bijlagen openen. Pc's weghalen bij dit soort mensen, want blijkbaar kunnen ze er niet mee omgaan.

Niemand_Anders

Beveiliging

@rhodium • 15 augustus 2007 10:16

Euh, de meeste bots worden geinstalleerd via serial key generators, torrent downloads, etc. Ook het aantal trojans dat via de browser binnen komt is beperkt. Ik krijg echt dagelijks heel erg veel spam, maar behalve een pdf of image bevatten deze geen .exe, .pif of andere uitvoerbare bestanden meer.

Aangezien het meerendeel van de Nederlandse internetters via een kabel of adsl modem het internet opgaan zal het aantal besmettingen via een openstaande port wel meevallen.

Overigens kunnen providers ook een hoop doen om deze spam aanvallen tegen te gaan. Zet standaard port 25 dicht naar andere smtp servers dan de ISP. De gebruiker kan dan zelf eventueel aangeven of hij dit wilt uitzetten. Nog geen 1% van de internetters heeft een mailserver thuis draaien en hoeft dus ook helemaal geen andere smtp server dan die van de ISP te kunnen bereiken. Ook als je een eigen mailserver hebt draaien kun je nog steeds de mailserver van je provider als smarthost gebruiken.

PhazeD @Niemand_Anders • 15 augustus 2007 11:58

"Euh, de meeste bots worden geinstalleerd via serial key generators, torrent downloads, etc. Ook het aantal trojans dat via de browser binnen komt is beperkt."

In mijn ervaring zijn torrent downloads redelijk veilig. Nog nooit een trojan of rootkit binnengehaald via torrentspy of pirate bay.
Iemand anders wel?

Gedownloade serial key generators vertrouw ik vaak ook niet. Maar ook na het gebruiken van diverse keygens is / lijkt mijn systeem nog schoon. Misschien komt dat omdat ik keygens uitvoer onder een gebruiker zonder rechten (rechtermuisknop -> run as).

Binnen mijn ervaring als systeembeheerder merk ik het meeste van malware / adware en spyware die via Internet Explorer wordt geinstalleerd. Opmerkelijk feitje: de gebruikers die Firefox gebruiken halen geen maleware binnen.

Topeng @PhazeD • 15 augustus 2007 13:02

Ja, bij een kennis (digibeet) gezien, toen hij wilde weten hoe torrents werkte. Meteen een fatsoenlijke 4us scanner op zijn pc gezet. Hij draait nu 4us vrij en weet ook wat hij wel/niet moet doen als het weer gebeurd.
Digibeten kunnen torrents beter links laten liggen..........

EfBe @Niemand_Anders • 15 augustus 2007 13:20

Je vergeet de recente lekken in acrobat reader ,en de altijd nog aanwezige bugs in image processor routines in windows op veel systemen (deze zijn al gepatched maar niet iedereen heeft die updates geinstalleerd).

Wildfire

@Niemand_Anders • 15 augustus 2007 13:49

De spam die ik krijg zijn voornamelijk van die nep "mailer daemon", "mail administrator" etc mailtjes. Dat lijkt me nu vooral de trend te zijn.

Ik ga zelf trouwens erg voorzichtig op met mijn mailadressen. Toch ben ik ergens de pineut geworden, want ik ontvang tegenwoordig plm. 100 spammailtjes per dag. Gelukkig is m'n spamfilter ruim 99% effectief, dus de schade valt verder mee.

Maar onlangs... 6200 (!!!!) spammailtjes in één nacht... misschien ook als gevolg van een botnet actie ofzo? Verschrikkelijk.

Eegee @Wildfire • 15 augustus 2007 23:17

Ik vermoed dat die mailer daemon mailtjes helemaal niet nep zijn: de spammers zullen in hun mailtjes jouw adres als afzender-adres hebben gebruikt, dus jij krijgt die systeem-mailtjes dan terug. Is zeer gebruikelijk tegenwoordig.
Je hoeft bovendien niet door een actie van jezelf ergens de pineut te worden, want ze genereren ook adressen, dus je hoeft niks te doen om toch spam te krijgen.

jiriw @Niemand_Anders • 15 augustus 2007 14:12

Probleem is wel dat een fatsoenlijke 'poort 25' procedure wel eens teveel zou kunnen kosten voor de gemiddelde niet-service-leverende-money-hungry ISP. Aan support want je hebt weer wat extra helpdeskmedewerkers nodig en/of wat extra regeltjes in je FAQ. En aan implementatie want je moet maar wel net een firewall hebben die ip gefilterd een poort toe kan staan of niet, je moet er een interface voor hebben die je helpdesk medewerkers en/of je klanten kunnen gebruiken om die poort 25 instelling aan of uit te zetten etcetera, etcetera. Dus wat gebeurt er dan? Of er wordt geen aandacht aan besteed en de poort blijft voor iedereen open. Spam-galore. Of er wordt een heel klein beetje aandacht aan besteed en de poort wordt voor iedereen gesloten. Als je als tweakende klant pech hebt gebeurt het van de een op de andere dag zonder dat je ISP je inlicht... Vooral als je net zelf je eigen domeintje aangevraagd hebt en je vrienden ingelicht hebt over je nieuwe email adres... Gevalletje 'Ga direct door naar de gevangenis, ga niet langs start, u ontvangt geen 2000 euro.'

Kixtart

@rhodium • 15 augustus 2007 09:32

Denk dat dan bij de meeste mensen de pc weg zal moeten. Gelukkig zitten steeds meer mensen achter een router met NAT. Dit scheelt weer een beetje, want sommige exploits doen dan geen schade, omdat ze geen open poorten kunnen vinden. Het probleem is eigenlijk dat de drempel laag is om een computer te kopen. Op de pc's direct uit de winkel moet gewoon standaard een goede beveiliging bijzitten en niet erop bezuinigen wat vaak gebeurd (30dagen versies die eigenlijk alleen maar als reclame wordt bijgeleverd).

Olaf van der Spek @rhodium • 15 augustus 2007 09:45

want blijkbaar kunnen ze er niet mee omgaan.

Ik weet vrij zeker dat ook jij wel eens iets onveiligs hebt gedaan met je PC of een beveiligingsgat in je PC hebt gehad. Dus dat lijkt me ook geen oplossing.

SuperDre @rhodium • 15 augustus 2007 10:53

tegenwoordig gaat het dus niet meer zo simpel via email, maar via websites en andere mogelijkheden...

prutsger 15 augustus 2007 10:24

Tijd voor eem goed CAPTCHA in e-mail clients, of praat ik nu stierenpeop?

Vaan Banaan @prutsger • 15 augustus 2007 10:47

Capcha's hebben niet zoveel zin meer.
Kijk bijvoorbeeld eens op http://blogs.pandasoftwar...ve/2007/07/24/XRumer.aspx Daar staat informatie over het programma xrumer, wat automatisch spam op fora kan zetten. Als je naar beneden scrollt zie je de Capcha's die al herkend worden. (En een shockwave linkje naar de demo van de werking van het programma)
^{@cygnus_6: dank je, ook in mijn post de link aangepast}

[Reactie gewijzigd door Vaan Banaan op 23 juli 2024 09:56]

cygnus_6 @Vaan Banaan • 15 augustus 2007 11:23

goede pagina is
http://blogs.pandasoftwar...ve/2007/07/24/XRumer.aspx

Waarschijnlijk is de echte oplossing van het probleem een of andere slimme aanpassing in het emailprotocol, maar voer dat maar eens door.

Crysania @prutsger • 15 augustus 2007 11:16

denk je echt dat die botnets normale email clients gebruiken voor het versturen van emails?

zo moeilijk is het niet om je eigen mail verstuur programmatje te schrijven.

Waar je deze captcha ideen nu vandaan haalt zijn voor mij ook een raadsel.

[Reactie gewijzigd door Crysania op 23 juli 2024 09:56]

Blackbird-ce @prutsger • 15 augustus 2007 10:30

Juist, bij een CAPTCHA-like aanpak kunnen we dus dag zeggen tegen alle geautomatiseerde mail (registratie-emails, etc). Zo niet, dan kan de spammer ook nog steeds zn mail versturen.

Enige oplsosing, lijkt mij, is een vorm van authenticatie in te bouwen. Maar om nu elke wereldburger een certificaatje oid te geven lijkt me ook weer overdreven...

Jeroen73 15 augustus 2007 10:09

Maar hoe kun je nou controleren of je in een botnet zit? Ik merk niks vreemds aan mijn pc, maar dat zal toch niet de norm zijn...

XthinkZ @Jeroen73 • 15 augustus 2007 10:32

AVG heeft een serie oplossingen waar je je pc toch redelijk goed kan beschermen, en beter nog het is gratis voor thuisgebruik:

AVG Anti rootkit:
http://free.grisoft.com/d...products/us/frt/0?prd=arw

AVG Antuispyware:
http://free.grisoft.com/d...products/us/frt/0?prd=asf

En de bekende AVG Antivirus:
http://free.grisoft.com/d...products/us/frt/0?prd=aff

Ik ben er in ieder geval HEEL tevreden mee. (zo'n 4 jaar al).

Maar wat ook heel belangrijk is om de laatste updates van windows binnen te halen om bepaalde lekken te dichten die anders je computer kwetsbaar maken voor zulke trojans:

http://www.update.microso...ate/v6/default.aspx?ln=nl

Die ik altijd handmatig verander naar

http://www.update.microsoft.com/icrosftupdate zodat het ook direct updates voor andere microsoft producten zoals office binnenhaalt.

[Reactie gewijzigd door XthinkZ op 23 juli 2024 09:56]

Dark Angel 58 @XthinkZ • 15 augustus 2007 13:11

Maar wat ook heel belangrijk is om de laatste updates van windows binnen te halen om bepaalde lekken te dichten die anders je computer kwetsbaar maken voor zulke trojans:

http://www.update.microso...ate/v6/default.aspx?ln=nl

Die ik altijd handmatig verander naar

http://www.update.microsoft.com/icrosftupdate zodat het ook direct updates voor andere microsoft producten zoals office binnenhaalt.
[Reactie gewijzigd door XthinkZ]

Microsoft heeft ook een update tooltje voor je computer zodat je computer via automatisch update programma Windows EN OOK Microsoft Office updates kan ophalen en het (desnoods met je toestemming) installeren...
Dat tootlje staat op Windows Update website, (start pagina, aan de rechterkant), als het al geinstalleerd is, wordt het niet meer getoond op startpagina.

Dus je hoeft links niet gebruiken...

Verwijderd @Jeroen73 • 15 augustus 2007 10:36

Daar zijn verschillende tools voor. En die zijn er met een reden: het is lastig om na te gaan of een trage PC of internetverbinding door malware komt of door de veelheid aan programma's die open staat.

BTW: Als ik een botnetter was, zou ik ervoor zorgen dat het stuk malware niet zo'n grote impact zou hebben op de gebruikerservaring. De reden om je PC eens aan een scan te onderwerpen, verdwijnt dan. Dan kun je veel langer gebruik maken van je botnet.

Je kunt dus niet vertrouwen op je eigen ervaringen: laat dat maar gewoon aan de daarvoor bestemde progsels over.

Skelt0r @Jeroen73 • 15 augustus 2007 10:40

Ik merk niks vreemds aan mijn pc, maar dat zal toch niet de norm zijn...

Nee, dat is het ook niet. Als je een goede firewall hebt en je niet altijd zomaar op "accept" klikt bij een waarschuwing van die firewall, zou het op zich geen probleem mogen zijn. Als basis dien je natuurlijk alle beveiligingsupdates van je OS en je virusscanner te hebben geïnstalleerd. Tevens dien je eens in de zoveel tijd een algehele scan van je systeem te doen. Al doe ik dat laatste steeds minder, omdat ik de afgelopen twee jaar alleen maar cookies vind...

dasiro 15 augustus 2007 09:53

scriptkiddies gone wild ? vroeger was het nog een edele kunst om pc's te hacken met als summum admin-rechten. Tegenwoordig komen die dingen in kant en klare paketten soms zelfs met mooi verzorgde GUI en stats-tracker erbij

Skelt0r 15 augustus 2007 10:47

Botnets voor spam zullen helaas blijven bestaan, want zolang er mensen geld blijven verdienen met het versturen van spam, zal er geen einde aan zal komen... Mensen moeten eens gaan nadenken voordat ze vage mails openen! Aangezien er helaas ook altijd onwetenden zullen blijven bestaan, zullen ook ISP's betere maatregelen moeten nemen om spam te voorkomen. Ik ben er persoonlijk van overtuigd dat reverse DNS verplicht zou moeten worden! Dan controleert de ontvangende mailserver of het ontvangen mailtje werkelijk van dat domein afkomt. Helaas vangt dit niet de mails af van pc's die in een botnet zitten. Wie was er eerder? De kip, of het ei?

Verwijderd 15 augustus 2007 15:24

Het wordt gewoon tijd dat een besmet PC direct zonder excuus van het internet gehaald wordt. Dan hou je alleen goed beveiligd pc's/netwerken over.

EdwinG @Verwijderd • 16 augustus 2007 21:40

Het probleem is dat hackers alsnog zoveel mogelijk pc's over willen nemen. Wat we nu als 'goed beveiligd' zullen beschouwen, zal ook veiligheidslekken hebben. Door de 'zwak beveiligde' pc's van het internet te weren, zal de volgende groep ten prooi vallen aan de hackpogingen.
Je maakt het wel moeilijker, maar het probleem zal nog steeds niet opgelost worden.

Verwijderd 15 augustus 2007 10:02

Altijd is het maar weer de schuld van de mensen. Op welk besturingssysteem draait deze trojan eigenlijk?

SuperDre @Verwijderd • 15 augustus 2007 10:56

Ook Mac OSX en linux zijn langzamerhand steeds vaker het doelwit van succes met botnets, alleen de reden dat er daar minder voor uitkomen heeft puur te maken met het feit dat er maar erg weinig van die OSsen werkelijk gebruikt worden... Als MacOS en Linux net zo'n groot marktaandeel hadden als MS nu zou hebben, dan garandeer ik je dat er ook een heleboel virussen/etc voor deze twee zouden zijn, hoe meer mensen hoe makkelijker het is om exploits te vinden, en hoe interessanter het is om er uberhaupt moeite voor te doen om ze te vinden..
Als jij denkt dat OSX en Linux veel veiliger zijn van bv Vista dan ben je heeeeeeel erg naive en dom...

Verwijderd @SuperDre • 15 augustus 2007 11:25

Security through obscurity argument is zooo kortzichtig. Er was al een virus voor Longhorn, toen het pas net verspreid was onder zo'n 200.000 beta-testers.

Ook Mac OSX en linux zijn langzamerhand steeds vaker het doelwit van succes met botnets

--Heb je hier een bron van?

En dan nog, ik gebruik een Mac en ik krijg SPAM door openstaande Windows machines. Waarom kan een stukje code toegang krijgen tot sockets zonder daarvoor toestemming te krijgen de eerste keer van de gebruiker? Waarom weet de gebruiker niet dat die malware is geïnstalleerd?

Misschien toch niet helemaal doordacht van MS? Oh je draait XP, dus alles mag? Je draait Vista, dus Cancel or Allow komt al zo gigantisch je strot uit, dat je standaard maar op Allow drukt. Nee, MS brengt de wereld weinig goeds.

Milt @Verwijderd • 15 augustus 2007 14:00

Je bent duidelijk een Mac / Apple fan-boy. Dat mag hoor, maar je vooroordelen zijn wel weer duidelijk.

In deze hele topic worden genoeg manieren genoemd hoe mensen meestal ongemerkt onderdeel worden van een botnet. Het merendeel van die manieren werkt ook gewoon op Mac OS X. Waarom? Omdat het gros zogenaamde social engineering hacks zijn. Het is helemaal niet moeilijk om een serial-key generator voor Photoshop CS op Mac te maken.

Waarom voornamelijk Windows ? Nou omdat zo'n 'exploit' dan werkt op 96% van de computers. Die botnets bestaan puur en alleen om geld te verdienen en dat lukt wat minder goed als je maar een potentiële install-base hebt van 3%.

'Exploits' die misbruik maken van lekken in het OS zouden voor Mac OS X ook makkelijk te maken zijn. Apple dicht genoeg lekker iedere paar weken dus mogelijkheden genoeg. Alleen ook hier geldt weer de wet van de grote getallen. Met een 'exploit' voor Windows kan je nou eenmaal meer verdienen.

Pensacola @Milt • 15 augustus 2007 15:37

Zo'n keygen is inderdaad makkelijk te maken voor Mac of Linux, maar als ik een keygen onder Linux zou gebruiken en hij zou vragen om mijn root wachtwoord zou ik gewoon annuleren klikken en dan is er niks aan de hand.
Zonder root acces zal een programma nooit poorten of iets dergelijks open kunnen zetten...

[Reactie gewijzigd door Pensacola op 23 juli 2024 09:56]

iceheart @SuperDre • 15 augustus 2007 12:47

zozo, dus die mythe leeft nog steeds? jammer, maar het klopt niet. er was eens, lang geleden, een tijd dat Macs nog op Mac OS draaiden, en niet op OS X (voor de BSD tijd dus). mac gebruikers waren ±3% van de computergebruikers, windows had >90% en toch waren er meer Mac OS virussen omdat dat systeem gewoon brak was (er is een reden dat ze overnieuw begonnen zijn

). toen kwam OS X, en was het gelijk afgelopen, ze kwamen er nl. niet meer doorheen.

Nielsvr @Verwijderd • 15 augustus 2007 10:30

Door het succes gok ik windows... (NT/XP/Vista)

d5stick 15 augustus 2007 09:21

Ene bot gespot en gestopt is er al een volgende..
Toch goed dat ze er wel achter komen ik hoef al die spam niet

DarkTemple @d5stick • 15 augustus 2007 09:28

Sterker nog, ik WIL al die spam niet.

0vestel0 15 augustus 2007 09:27

Zolang er genoeg noobs rondlopen die op alles klikken wat ze binnen krijgen en mensen een internet abbo'tje afsluiten zonder een goede firewall e.d. dan zullen deze bots vrij spel houden. De macht van onwetendheid moet niet worden onderschat.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (42)

Sorteer op:

Weergave: