Het aantal gehackte websites dat bezoekers via het net gepatchte lek in Internet Explorer probeert te besmetten, is inmiddels de 200.000 gepasseerd, zo laat virusbestrijder Trend Micro Security.nl weten. Eerst ging het nog om 6000 pagina's, toen waren het er 100.000 en nu is dat aantal meer dan verdubbeld. Het hacken van de websites vindt plaats via een nieuwe golf SQL-injectie aanvallen, die massaal en ongericht zijn. Getroffen sites bevinden zich over de hele wereld en zelfs banksites zijn getroffen, aldus Rik Ferguson, Solutions Architect bij de virusbestrijder.
Het virus had het in eerste instantie alleen op Chinese gebruikers voorzien en was op wachtwoorden van online games uit. Inmiddels is de situatie geheel anders. Er zijn zeven unieke malware exemplaren ontdekt die het lek misbruiken en het gaat niet meer om een Trojaans paard, maar om een worm, die ook USB-sticks infecteert. Hoeveel machines al besmet zijn kan de virusbestrijder niet zeggen. "Mensen weten niet dat ze besmet zijn", merkt Ferguson op. In Europa zijn infecties al in Londen, Moskou en Parijs waargenomen. De worm installeert op de besmette systemen een Adware toolbar en een Trojaans paard. Het grote voordeel om van een Trojaan naar een worm over te stappen, is dat de laatste ook andere PC's in het netwerk kan besmetten, zonder dat die eerst een pagina moeten bezoeken.
Malware explosie
Fergusson ziet in de uitbraak tevens het probleem van virusscanners, die nog altijd te afhankelijk van signatures zijn. Volgens hem gaat Trend dan ook stoppen met deze aanpak, omdat de technologie geen bescherming meer biedt. De cijfers ondersteunen zijn verhaal. Dit jaar alleen al zijn er meer dan 5,7 miljoen malware varianten gedetecteerd, die op de traditionele manier bijna niet meer te herkennen zijn. Lag de nadruk begin deze eeuw nog op maximale schade en verspreiding, sinds een aantal jaren is maximale duur op de machine het devies.
Anti-virus industrie zuigt
Tijdens een persconferentie afgelopen juni in Londen liet de CEO van Trend Micro weten dat de "anti-virus industrie klote is en alles verkeerd doet." De virusbestrijder gelooft in haar eigen aanpak waarbij het e-mail, web en bestand reputatie met elkaar correleert en aan de hand daarvan bepaalt of iets malware is of niet. "Gebruikers van Trend waren dan ook beschermd tegen de zero-day voordat iedereen wist wat er gaande was", gaat Ferguson verder. Het eerste deel van de exploit is nog niet kwaadaardig, die installeert alleen een Trojan downloader op het systeem. De echte schade vindt pas plaats als de Trojan downloader aanvullende malware gaat downloaden.
Virus Bulletin
Trend was dit jaar het stoute jongetje van de klas, omdat het niet meer meewerkte aan de tests van Virus Bulletin. Volgens Ferguson hebben die absoluut niets met de werkelijkheid te maken en geeft dit gebruikers ook een vals gevoel van veiligheid. De virusbestrijder had echter het idee dat als het zou opstappen, ook andere partijen mee zouden komen, maar dat gebeurde niet. Het belang om een bepaald logo op de verpakking te plaatsen bleek voor die partijen belangrijker, zo gaat de Solutions Architect verder. "En dat is een probleem, want zowel bedrijven als consumenten geloven in die tests." Trend zal daarom in het eerste kwartaal van 2009 resultaten publiceren van tests die het op verschillende bedrijfsnetwerken heeft gehouden, waar concurrerende software werd gebruikt. "Dat zijn real life scenario's."
Deze posting is gelocked. Reageren is niet meer mogelijk.