Downadup-worm is actief geworden

Het Downadup-botnet is actief geworden. Beveiligingsdeskundigen waren al vanaf 1 april op hun hoede. Vanaf die datum is een nieuwe versie van deze snel muterende worm actief: versie C. Deze variant, die meer mogelijkheden heeft om zichzelf te veranderen, blijkt sinds 8 april op geïnfecteerde computers ongevraagd malware te downloaden. Dat heeft antivirusssoftware-leverancier Kaspersky ontdekt.

Versie C downloadt onder meer een nep-antivirusprogramma, dat sinds eind 2008 al bekend is onder de naam FraudTool.Win32.SpywareProtect2009.s. Deze nep-applicatie meldt de gebruiker dat zijn computer beveiligingsproblemen heeft en biedt aan deze uit de weg te ruimen voor vijftig dollar. Bovendien haalt versie C van Downadup de Waledac-worm binnen. Deze worm probeert gegevens te stelen en verstuurt spam.

Daarnaast is een nieuwe versie van Downadup gesignaleerd, die versie E gedoopt is en tot 3 mei actief is.

Peer-to-peer
Wormen van generatie C bezoeken dagelijks vijftigduizend verschillende websites, op zoek naar een update of opdracht. Welke websites dat zijn, wordt bepaald door een algoritme. Beveiligingsonderzoekers hebben dat algoritme gekraakt en kunnen elke dag voorspellen welke websites het botnetwerk gaat bezoeken.

De organisaties die zich bezighouden met de uitgifte van domeinnamen, werken samen om te voorkomen dat die webadressen in handen van kwaadwillenden komen. Toen enkel versie A en B van de worm nog actief waren, was dat nog enigszins te doen: A en B legden dagelijks ‘slechts’ contact met 250 verschillende websites binnen zeven domeinen. Vanaf versie C is het gekkenwerk geworden om alle vijftigduizend sites uit handen van criminelen te houden.

Daarnaast beschikken alle versies van Downadup over een ander krachtig mechanisme om te muteren: ze kunnen via peer-to-peer (p2p) updates aan elkaar doorgeven.