Staatssecretaris Fred Teeven van Veiligheid en Justitie noemde de uitbraak van het Dorifel-virus deze week bij BNR een komkommerverhaal, maar dat is een onterechte onderschatting, aldus IT-journalist Brenno de Winter tegenover Security.nl. De Winter maakte voor Webwereld een uitgebreide analyse van de malware. Daaruit blijkt dat de malware via een profielfoto op een gameforum werd aangestuurd. Verder werd ontdekt dat de malware met andere Command & Control-servers verbinding kan maken.
Probleem
Ondanks de uitlating van Teeven is De Winter te spreken over het optreden van de overheid, en dan met name het Nationaal Cyber Security Center (NCSC). "Ik ben zeer tevreden over de eerste communicatie van het NCSC. Ze hebben duidelijk geleerd van DigiNotar. Ook verdienen de gemeenten lof dat zij na de ontdekking naar buiten zijn getreden. Dat helpt. Wel zou de overheid meer informatie kunnen verstrekken met betrekking tot de aanpak van het virus."
De Winter ziet echter ook onderschatting bij de overheid, met name de manier waarop Teeven de uitbraak als 'komkommerverhaal' bestempelt. "Het is een beetje komkommertijd inmiddels, maar het valt echt mee deze keer", aldus de Staatssecretaris tegen BNR.
"Dat doet geen recht aan de problematiek: het virus is verspreidt via eerdere besmettingen en diverse overheden hebben her en der Trojaanse paarden die toegang geven tot vertrouwelijke informatie. Ook een ministerie bleek geïnfecteerd. Dat noem ik toch echt een probleem", aldus De Winter.
IP-adres
Wat betreft zijn analyse vond De Winter het opmerkelijk dat er continu aandacht was voor de twee IP-adressen die de malware benadert. Maar uit relatief eenvoudig onderzoek bleek dat er ook een derde IP-adres was. "Op basis van die informatie hebben anderen ontdekt dat er op die site ook phishingsites stonden."
Daarnaast blijkt de malware via het profielplaatje op een gamingsite nieuwe adressen te kunnen doorgeven. "Dat is op zichzelf ook een interessant gegeven. Maar de hele anti-virusindustrie heeft dat niet ontdekt. Zij hadden dagen om dit naar boven te krijgen, terwijl ik uiteindelijk een nacht had."
Een ander opmerkelijk detail is dat Kaspersky anti-virus niet de malware herkent, maar de werking. Tijdens het onderzoek kwam in de malware de naam van Kaspersky naar boven. "We wilden weten wat dit betekende en installeerde de software. Maar die detecteerde het virus niet. Pas toen er contact werd gezocht met de C&C merkte Kaspersky de software op."
Virusscanner
Zelf gebruikt De Winter nog een virusscanner, maar zijn vertrouwen erin is laag. "Het is een beschermingslaag, maar wel een zwakke. Ook ben ik niet te spreken over het gebrek aan publieke uitwisseling van informatie over virussen. Liever zou ik een goed samenwerkende industrie zien, die op basis van methodieken concurreert. Op dit moment functioneren virusscanners onvoldoende."
Deze posting is gelocked. Reageren is niet meer mogelijk.