Ingezonden persbericht
Doetinchem - 13 september 2005. In juli kondigde CleanPort het maandelijkse rapport, MailView, aan. Dit rapport geeft maandelijks
een terugblik op wat er die maand ervoor is voorgekomen.
Het rapport (pdf) kunt u hier downloaden;
Zie het origineel
© 2002-2005, CleanPort B.V. - All rights reserved.
maandelijks rapport - augustus 2005
CleanPort MailView
Rapportage augustus 2005
Inhoud
1. Spam e-mail
2. Virussen
3. Uitbraak Zotob
4. Botnets
CleanPort Augustus 2005
CleanPort Augustus 2005
1. Spamberichten © 2002-2005, CleanPort B.V. - All rights reserved.
maandelijks rapport - augustus 2005
In de maand augustus is 76 % van het van totaal aantal gescande mails door de filtering van
Cleanport tegengehouden als spam. In onderstaande grafiek zijn de percentages te zien van de
voorgaande maanden.
De laatste drie maanden is een sterke relatieve toename te zien van het percentage spamberichten. In juni was het percentage spam 77%, in de maand juli 78% en augustus 76%. Het is duidelijk dat het
percentage spam is gestegen.
Nederland met vakantie
Volgens CTO Jeroen Oostendorp
van Cleanport kunnen er twee
redenen worden aangemerkt voor
deze relatieve toename. "Uit de
statistieken van de laatste 3 maanden
kan je opmaken dat er sprake is
van vakantietijd. Hierdoor wordt er
relatief meer spam tegengehouden
aangezien er minder "echte" mail
wordt verzonden. Dit resulteert in
een toename wanneer je kijkt naar de
percentages van spam op het totale
mailverkeer."
Trends malware en spam
Er is ook een trend waarneembaar dat steeds meer virusschrijvers zich richten op het verspreiden van
spam door het aanleggen van netwerken met besmette computers. Hier valt klaarblijkelijk geld mee te
verdienen. Bijvoorbeeld via het genereren van hits voor bepaalde websites. De huidige trend in spam
is dat 'spammers' steeds meer sobere en korte berichten massaal rondsturen. Deze tekst spam-mailtjes
zijn voor de computergebruiker moeilijker te onderscheiden van 'ouderwetse' spam met veel kleur en
schreeuwerige teksten. Deze trend zet zich zichtbaar door in de maand augustus. .
© 2002-2005, CleanPort B.V. - All rights reserved.
maandelijks rapport - augustus 2005
Op het gebied van virussen is het relatief rustig en zijn het voornamelijk de oude bekende
virussen die worden onderschept. Net als in de afgelopen twee maanden zijn dit de
internetwormen Mytob, Netsky en Sober.P. Een andere opvallende verschijning is de internetworm
Zotob; een variant van de Mytob-generatie.
Internetwormen
Mytob, Netsky en Sober.P zijn
internetwormen die zichzelf
verspreiden via de mail. De
werkwijze van deze wormen is
grotendeels gelijk. Ze verspreiden
zich via kwetsbare TCP-poorten
van de besmette computer. Vervolgens loggen ze in op een
IRC-kanaal waar op verdere
instructies van de aanvaller
wordt gewacht. De internetworm
wacht op commando's zoals
het uitvoeren, downloaden of
activeren van bestanden en het
anoniem verzenden van spam
vanaf de besmette computer. Top drie virussen
Op nummer 1 van de virus top
drie van augustus staat Netsky.
P met een percentage van 31%. In augustus waren er ook veel Mytob en Zotob varianten. Op de tweede plaats staan dan ook Mytob en
Zotob. Samen waren deze goed voor bijna de helft van alle in augustus onderschepte virussen. Verder veroorzaken ook Netsky en Beagle nog voor overlast. Netsky staat op de derde plaats met een
percentage van 5 %. De overige virussen nemen gezamenlijk 15% van het totaal aantal virussen in
beslag. Het is opmerkelijk dat in de maand augustus de Mytob-variant weer wat omhoog schiet in percentages. Dit heeft te maken met de lancering van verschillende versies van Zotob-wormen, die een aangepaste
versie herbergen van het Mytob-virus. In het hoofdstuk 3 is over de uitbraak van Zotob meer
achtergrondinformatie te vinden.
2.1.virussen
...............................
........ ...........
.......
........
...
...
...
..
CleanPort Augustus 2005
© 2002-2005, CleanPort B.V. - All rights reserved.
maandelijks rapport - augustus 2005
Sober.p is internetworm die zich via e-mail verspreidt. Het is de zoveelste variant van W32.Sober.a. Het virus gebruikt zijn eigen SMTP server om zich door te sturen en kan alleen geactiveerd worden door het handmatig openen van de bijlage. Na infectie probeert het de lopende processen van de beveiligingssoftware
uit te schakelen. Indien er geen internetverbinding actief is probeert het zelf een internetverbinding
(via telefoon) tot stand te brengen. Deze verbinding wordt automatisch bijgewerkt waarna alle met dit virus besmette systemen misbruikt worden om Duitstalige Nazi-spam te versturen. Deze internetworm stuurt zichzelf door naar verschillende contactpersonen in de adreslijst. Grote websites kunnen overbelast raken door het grote aantal DNS aanvragen.
Netsky
Netsky is een internetworm die zich verspreidt via e-mail en gedeelde netwerkbronnen. Het virus veroorzaakt voornamelijk overlast bij het plaatsen van bestanden en het verzenden via e-mail. Het brengt geen grote schade toe aan het getroffen systeem. Het virus plaatst zich onder een aantrekkelijke
naamstelling op wisselende netwerklocaties. Diverse andere aliassen voor hetzelfde type virus zijn: Netsky.I, Netsky.J, Netsky.K, Netsky.L, Netsky.M, Netsky.N, Netsky.P Dit zijn allemaal nieuwe varianten
van W32.Netsky.A. De afzender is wisselend, onderstaande namen zijn de meest voorkomende:
responder@amazon.com, responder@qxl.com, responder@yahoo.com, responder@ebay.com, auctions@msn.com, auctions@yahoo.com
Mytob
Mytob is een internetworm die zich verspreidt via de mail. Dit geldt voor computers die het besturingssysteem
Windows draaien. Het virus maakt gebruik van z'n eigen SMTP server om zichzelf door te sturen naar e-mailadressen die het virus verzamelt op de computer. Ook past het de 'host file' aan zodat beveiligingswebsites niet meer bezocht kunnen worden. Mytob opent een achterdeur in uw computer
om bestanden te downloaden en maakt verbinding met de IRC-server: irc.blackcarder.net op TCP poort 4512. De internetworm luistert dan naar de virusschrijver, die verschillende acties kan uitvoeren zoals het downloaden en activeren van bestanden of de worm kan verwijderen en uitschakelen. Ander namen voor hetzelfde virus zijn: W32.Mytob.da@mm, Win32.Mytob.DT, Win32.Mytob.bd, W32/Mytob.gen@MM W32/Mytob-P of WORM_MYTOB.BY.
2.2.Korte beschrijving virussen
Sober
CleanPort Augustus 2005
© 2002-2005, CleanPort B.V. - All rights reserved.
maandelijks rapport - augustus 2005
3. Uitbraak Zotob-worm
Rapportage augustus 2005
Drie dagen nadat Microsoft informatie over drie kritieke lekken naar buiten bracht verscheen de eerste Zotob-variant op zondag 14 augustus. De worm richt zich op de 'Plug and Play' kwetsbaarheid van Windows 2000.
Mytob-virus
De 18-jarige Farid Essebar ('Diab10') en de 21-jarige Atilla Ekici ('Coder'), inmiddels gearresteerd door de politie, lanceerden de eerste Win2k Plug en Play worm. De Zotob-worm herbergt een aangepaste versie van het Mytob-virus en maakt gebruik van een lek in Windows zoals is beschreven in de nieuwsbrief van Microsoft MS05-039.
Viruswaarschuwing
In augustus zijn wereldwijd ruim 250.000 computers geïnfecteerd geraakt en 255 grote ondernemingen getroffen, waaronder CNN en ABC. Het virus treft vooral veel bedrijfsnetwerken die meestal gebruik maken van het besturingssysteem Windows 2000. VirusAlert, McAfee en Microsoft brachten direct een viruswaarschuwing naar buiten waarin gebruikers van Windows 2000 met klem wordt aangeraden de patch te installeren om het lek te repareren. De Zotob-worm is in staat om contact te leggen via IRC-kanalen waardoor een hacker de besmette computer kan overnemen.
Snelheid verspreiding
Vooralsnog lijkt de uitbraak binnen de perken te blijven. De Zotob-worm verspreidt zichzelf blijkbaar minder snel dan zijn voorgangers Sasser en Slammer. Volgens virusexpert Jeroen Oostendorp van Cleanport zijn er een aantal oorzaken. "De belangrijkste oorzaak is dat het virus direct herkenbaar is, doordat besmette computers herhaaldelijk herstarten bij besmetting. Hierdoor herkennen systeembeheerders al snel dat er iets met de computer aan de hand is. De tweede reden is dat het zich uitsluitend richt op computers die draaien op Windows 2000. Andere kwetsbare versies van Windows zoals Windows 95, 98, Me, NT, Server 2003 en XP, raken alleen besmet als een gebruiker het exe.-bestand opent in de besmette e-mail. Omdat steeds meer bedrijven alert zijn op de beveiliging van hun computersystemen en hun e-mail is dit een onwaarschijnlijk scenario. Bedrijven zijn steeds beter op de hoogte van de risico's van bedrijfsspionage via een achterdeur. Bovendien had Zotob veel gevaarlijker kunnen zijn zonder de programmeerfout waardoor de computer telkens opnieuw herstart. Indien de worm foutloos was geschreven dan hadden computergebruikers nooit gemerkt dat ze besmet waren geraakt en had de worm zich veel sneller verspreid."
CleanPort Augustus 2005
© 2002-2005, CleanPort B.V. - All rights reserved.
maandelijks rapport - augustus 2005
Volgens Jeroen Oostendorp worden er steeds vaker netwerken aangelegd van geïnfecteerde computers. "Spammers maken van deze netwerken gebruik om anonieme spam te versturen. Het uiteindelijke doel is een groot netwerk te creëren van besmette computers; de zogenoemde Botnets. Via IRC-kanalen kunnen hackers de geïnfecteerde computers gebruiken om een massale aanval uit te voeren op elk gewenst doelwit. Geld verdienen was de belangrijkste reden voor de jonge virusschrijvers Essebar en Ekici om de Zotob-worm te schrijven. De verzamelde vertrouwelijke informatie zoals creditkaartnummers, persoonsgegevens en wachtwoorden hebben ze verkocht aan een criminele bende."
4. Botnets
CleanPort Nederland B.V.
Gildenbroederslaan 1, Doetinchem
Postbus 110
7000 AC DOETINCHEM
The Netherlands
Tel: +31 314 39 99 33
Fax: +31 314 39 99 34
email: info@nl.cleanport.com
CleanPort Augustus 2005
Over CleanPort
CleanPort Managed Email Security verzorgt de beveiliging van het e-mailverkeer voor een honderdtal bedrijven in de gezondheidszorg, de financiële en zakelijke dienstverlening en xSP's. CleanPort levert op internetniveau, dus buiten het bedrijfsnetwerk, beveiliging tegen virussen en spam. Het systeem wordt 24/7 centraal beheerd en voortdurend bijgewerkt en geoptimaliseerd. CleanPort completeert verschillende commerciële beveiligingsproducten met de in eigen beheer ontwikkelde ProTAG-scanner. Deze geavanceerde oplossing herkent en isoleert verdachte mail. CleanPort levert klanten op regelmatige basis gedetailleerde rapportages over onderschepte virussen en andere relevante gegevens. Het hoofdkantoor van CleanPort is gevestigd in Doetinchem, met vestigingen in Engeland, Duitsland en Israël.