Wereldwijd lopen honderden miljoenen Windows-gebruikers risico nu meer malwaremakers het ongepatchte lek in het besturingssysteem gebruiken om systemen te infecteren. Ongeveer een week nadat bekend werd dat er een nieuwe kwetsbaarheid in alle moderne Windows versies zit waardoor de zeer professionele Stuxnet-worm zich op computers nestelt, zijn er twee andere malware families ontdekt die het lek ook misbruiken.

In tegenstelling tot Stuxnet, dat onder andere gestolen certificaten van Realtek en JMicron gebruikte om de malware te signeren en SCADA-systemen aanviel, zijn de nu aangetroffen exemplaren minder hoogstand. Virusonderzoeker Pierre-Marc Bureau spreekt zelfs van 'bottom feeders', die de techniek van anderen voor hun eigen doeleinden gebruiken. De eerste nieuwe familie die het lek ook misbruikt is een Trojan-downloader genaamd Chymine. De malware installeert een keylogger op systemen en stuurt gestolen gegevens naar een remote server.

Verspreiding
De tweede familie die het 'LNK-lek' als aanvalsvector gebruikt is Autorun.VB. Deze malware gaat al langere tijd rond, maar is met het nieuwe Windows-lek uitgebreid. Bureau verwacht dat meer virusschrijvers op het lek zullen springen. De onderzoeker merkt op dat ze Chymine geen kwaadaardige snelkoppelingen hebben zien maken. "We hebben alleen snelkoppelingen gezien die het laatste lek misbruiken, die ernaar wijzen. In andere woorden, Chymine verspreidt zich niet zelf, maar krijgt hulp van iets of iemand." Autorun.VB daarentegen maakt wel nieuwe LNK-bestanden aan die het lek misbruiken en zo helpen bij het verspreiden van de malware.

Exploit
Anti-virusbedrijf Symantec zegt dat het de afgelopen 72 uur ongeveer 14.000 unieke en met Stuxnet besmette IP-adressen verbinding heeft zien maken met de Command & Control server. Bijna zestig procent van de connecties is uit Iran afkomstig, gevolgd door Indonesië met een kleine 20%. India is met ruim acht procent derde.

Volgens Randy Abrams van ESET hebben de makers van Stuxnet zeer bewust voor de certificaten van Realtek en JMicron gekozen. "Door het certificaat van een betrouwbare leverancier te stelen, verkleinen ze de kans dat hun kwaadaardige software snel wordt opgemerkt." In tegenstelling tot wat een analist van Kaspersky Lab dacht, denkt Abrams niet dat beide bedrijven met de Zeus Trojan zijn besmet, maar dat het waarschijnlijk om een 'inside job' gaat.

Toekomst
De makers van Stuxnet waren bekend met het wachtwoord-lek in Siemens WinCC systemen voordat ze de malware ontwikkelden. Ze hadden niet alleen de kans om voor SCADA-systemen te programmeren, maar wisten ook precies waar het probleem zat. "Dat is een ernstig probleem en iets dat we in de nabije toekomst mogelijk vaker zullen zien", zegt Dennis Fisher. "Gerichte aanvallen, waar grondig onderzoek en planning aan vooraf gaat, zijn aan de orde van de dag, en zoals Stuxnet laat zien, doen de aanvallers zeker hun huiswerk."

Microsoft heeft inmiddels een Fix-it oplossing voor het probleem uitgebracht en maakt duidelijk dat het lek ook via websites en documenten is te misbruiken. Eerder werd al bekend dat de exploit ook aan hackertool Metasploit was toegevoegd. Deze demonstratie laat zien hoe eenvoudig dit het voor aanvallers maakt.