image

<b>Grootste virusuitbraken allertijden</b>

woensdag 19 januari 2005, 21:39 door Redactie, 8 reacties

Virussen en wormen lijken vooral een probleem waar computergebruikers vandaag de dag mee te maken hebben. De theorie voor zichzelf replicerende programma's stamt echter al uit 1949. De eerste experimentele zichzelf replicerende programma's werden in 1960 ontwikkeld, ver voor het ontstaan van de personal computer en het internet. Zo'n 25 jaar later, in 1984, werd door professor Fred Cohen de term "virus" voor het eerst gebruikt. We zijn inmiddels 21 jaar verder en "virussen" zijn nadrukkelijker aanwezig dan ooit tevoren.

Vroege virussen wisten zich vooral via floppy's te verspreiden. Hierdoor lag de snelheid waarmee ze zich konden verspreiden laag. Ook het aantal computergebruikers lag in vergelijking met nu een stuk lager. Grote en schadelijke virusuitbraken zijn dan vooral iets van de laatste jaren. Sinds de opkomst van het internet is het voor virussen en wormen een stuk makkelijker om zich te verspreiden. In dit artikel behandelen we een aantal van de eerste virussen en kijken we naar de grootste virusuitbraken van de laatste jaren.

1987: Jerusalem
Het Jerusalem virus, dat voor het eerst in Jeruzalem werd ontdekt, is een van de oudste virussen die we kennen en er zijn verschillende varianten van verschenen. Het virus kon zowel .EXE als .COM bestanden ifnecteren. De eerste versie van Jerusalem bevatte een bug waardoor het .EXE bestanden steeds opnieuw bleef infecteren (met elke infectie werden er 1808 bytes aan het bestand toegevoegd), totdat het bestand te groot voor de computer werd. Jerusalem werd op elke vrijdag de 13e actief en verwijderde alle programma's die op die dag gedraaid werden. De onderstaande afbeelding laat het verloop van het Jerusalem virus zien:



1991: Tequila
In 1991 verscheen het polymorfische Tequila virus dat zich zeer snel wist te verspreiden. Het virus werd door twee broers, van 18 en 21 jaar, in Zwitserland geschreven. Doordat Tequila een variabel encryptie algoritme gebruikte was het zeer lastig voor virusscanners om het te detecteren. Als een geinfecteerd programma gedraaid werd, infecteerde het virus het MasterBootRecord van de hardeschijf, waardoor het virus de volgende keer dat de computer werd opgestart actief in het geheugen was. Op deze manier konden .EXE bestanden die gedraaid werden ook door het virus geinfecteerd worden. Een van de interessante effecten van het virus was dat het een afbeelding van een Mandelbrot set liet zien. (zie afbeelding)

1999: Chernobyl / CIH
Eind april 1999 verscheen het Chernobyl virus, dat ook bekend staat als CIH, Win95.CIH, PE_CIH, Win32.CIH en W95/CIH.1003. Het CIH virus infecteerde uitvoerbare bestanden en verspreidde zich als een geinfecteerd bestand werd uitgevoerd. Aangezien veel bestanden tijdens gebruik geopend en uitgevoerd worden, wist het virus zich zeer snel te verspreiden. Later verschenen er verschillende varianten. Sommige werden elke 26ste van de maand geactiveerd, terwijl anderen alleen op 26 april (datum van de Tsjernobyl ramp) en 26 juni actief werden. Als het CIH virus eenmaal actief was, probeerde het de hardeschijf en de BIOS te overschrijven, waardoor de computer onbruikbaar werd. Het virus kon zich alleen op Windows 95/98 platformen verspreiden. Uiteindelijk wist de Taiwanese politie Chen Ing-hou aan te houden (CIH), die later bekende de auteur van het virus te zijn. Hij wilde met zijn virus wraak op anti-virusproducenten nemen en had niet verwacht dat zijn software zulke schadelijke gevolgen zou hebben.

2000: I Love You
Dat virusschrijvers graag gebruik maken van de nieuwsgierigheid van mensen bewijst de LoveLetter worm, ook bekend als Lovebug, I-Worm.LoveLetter en ILOVEYOU, op 4 maart 2000. De worm die van de Fillipijnen afkomstig blijkt te zijn, stuurt gebruikers een e-mail met het onderwerp "I Love You". Als bijlage bevat het bericht het bestand LOVE-LETTER-FOR-YOU.TXT.vbs. Opent de gebruiker het bestand, dan wordt het script uitgevoerd en kopieert de worm zich naar de Windows systeemmap en voegt het zichzelf toe aan het register. Na installatie van de worm wordt er geprobeerd een Trojaans paard te downloaden en installeren, zodat aanwezige wachtwoorden naar het adres "mailme@super.net.ph" gestuurd kunnen worden. De Filipijnse politie weet uiteindelijk een verdachte aan te houden. Doordat er geen adequate wetgeving in het land aanwezig is moet men de jongeman echter vrijlaten.

2001: Code Red
Op 12 januari 2001 verschijnt de eerste versie van de Code Red worm, die zich via een lek in Microsoft IIS servers weet te verspreiden. De worm kijkt of de datum zich tussen de eerste en negentiende van de maand bevindt. Als dit het geval is genereert de worm een willekeurige lijst met IP-adressen en gaat het elk adres in de lijst langs, in de hoop kwetsbare machines te vinden. Het genereren van de getallen werkt in de eerste versie van Code Red niet helemaal naar behoren. Hierdoor probeert worm al geinfecteerde machines te scannen of machines die niet geinfecteerd kunnen worden, wat uiteindelijk de verspreiding van worm niet ten goede komt. De worm is zo geprogrammeerd dat het elke 20ste van de maand stopt met het infecteren van andere machines. In de volgende aanvalsfase voert de worm tussen de 20ste en 28ste van de maand een denial of service aanval uit op de website van het Witte Huis.



Een half jaar later verschijnt de tweede variant van Code Red, die op dezelfde code gebaseerd is, maar zichzelf veel sneller weet te verspreiden. Binnen 24 uur worden meer dan 359.000 servers door de nieuwe Code Red geinfecteerd. Het Internet Storm Center geeft vanwege de ernst een "oranje waarschuwing" af. De totale schade die Code Red veroorzaakt heeft wordt op 2 miljard dollar geschat. Deze afbeelding laat zien hoe snel de worm zich wist te verspreiden.

2001: Nimda
Een andere schadelijke worm die zich in 2001 verspreidde was de Nimda worm. De worm, die op 18 september voor het eerst ontdekt werd, gebruikte vier manieren om zich te verspreiden. Als mass-mailing worm wordt het bestand README.EXE vanaf geinfecteerde computers gestuurd. Nimda was de eerste worm die bestaande websites aanpaste om daar vandaan geinfecteerde bestanden aan te bieden. Het was ook de eerste worm die PC's van thuisgebruikers gebruikte voor het zoeken naar kwetsbare websites. Voor het infecteren IIS web servers maakt de worm gebruik van de Unicode exploit. Verder verspreidde de worm zich ook via netwerken. Vanwege deze veelzijdige aanpak wist Nimda in een korte periode meer dan 2,5 miljoen computers te infecteren.

2003: Slammer worm
Op zaterdag 25 januari verscheen de snelst verspreidende worm ooit. Slammer, ook bekend als Sapphire, maakte gebruik van een lek in Microsoft's SQL Server en weet in korte tijd meer dan 75.000 servers te infecteren. De worm bevat zelf geen schadelijke payload, maar weet toch vanwege het overbelasten van netwerken en database servers voor een gigantische schade te zorgen. Het is vooral de snelheid waar Slammer zich mee weet te onderscheiden. De geinfecteerde populatie verdubbelt elke 8,5 seconden. Aangezien delen van het netwerk niet genoeg bandbreedte hebben om al het verkeer dat de worm genereert te verwerken, is Slammer na 3 minuten over zijn hoogtepunt heen. Binnen 10 minuten na het verschijnen van de worm zijn de meeste machines geinfecteerd. Pikant detail is dat Microsoft de patch voor het lek maanden voor het verschijnen van de worm beschikbaar had gesteld. Veel beheerders hadden die echter niet geinstalleerd. Op deze pagina is meer informatie en verschillende grafieken over de Slammer worm te vinden.


2003: MS Blaster
Begin augustus 2003 verschijnt een worm die zelfs vandaag de dag nog actief is. De MSBlaster worm, ook bekend als Lovsan en Blaster, infecteert talloze computers via een lek in Microsoft's Remote Procedure Call (RPC) Interface. De worm zoekt het internet af naar kwetsbare computers waar het zich, zonder interactie van de gebruiker, naar toestuurt. Duizenden gebruikers die hun machine niet geupdate hebben worden, zodra ze verbinding met het internet hebben, besmet met de worm. De worm gebruikt geinfecteerde computers voor het uitvoeren van een denial of service aanval op windowsupdate.com. Het is echter de eigenschap van de worm om de PC na een aantal seconden te rebooten waardoor veel mensen doorhebben dat er iets mis is met hun machine. Doordat de computer zichzelf opnieuw start krijgt men niet de kans om de betreffende Windows update te downloaden. Microsoft stelt een verwijdertool ter beschikking die geinfecteerde gebruikers moet helpen.

2003: Sobig
De naam doet het al vermoeden, maar de SoBig worm is een van de grootste wormen van de laatste jaren. De eerste variant, SoBig.A, werd begin januari 2003 ontdekt. Het was echter de F. variant die op 19 augustus de anti-virusindustrie deed verstommen. SoBig.F wist binnen uren sinds het actief worden miljoenen e-mailberichten te versturen. De SoBig worm is een "traditionele" e-mailworm die een e-mailbericht met geinfecteerde bijlage verstuurd. Wordt de bijlage geopend, dan zal de worm zich naar alle adressen die het op de computer kan vinden sturen. SoBig was zo geprogrammeerd dat het ook willekeurige bestanden kon downloaden, waardoor een aanvaller toegang tot de PC had. Iets wat de virusschrijver ook gebruikte, want dankzij deze backdoor functionaliteit werden talloze computers als spam relay servers gebruikt en werd er vertrouwelijke informatie van geinfecteerde computers gestolen. De levensduur van de worm was beperkt. De virusschrijver had namelijk een einddatum geprogrammeerd, waardoor de worm op 10 september 2003 stopte met verspreiden.

2003: Swen
Een andere beruchte worm die in 2003 verscheen was de Swen worm. Swen verspreidde zich via e-mail, lokale netwerken, IRC en de populaire bestandsuitwisselingsdienst KazAa. Het gebruikte een lek in Internet Explorer om direct vanuit de e-mail gestart te worden. De worm deed zich voor als een Windows Update, in de hoop dat gebruikers het bericht serieus zouden nemen en de bijlage zouden openen. Het liet gebruikers eerst een scherm zien voordat de worm tot installatie overging. Wilde een gebruiker de "update" niet installeren, dan deed de worm dit alsnog in de achtergrond. Klikte men wel op "Ja", dan verscheen er een scherm waarop de installatie van de "update" te zien was. Swen zorgde voor veel overbelaste mailservers. De worm hield een eigen teller bij waarop te zien was hoeveel computers er al geinfecteerd waren. Volgens de website met de teller zouden er meer dan 500.000 PC's geinfecteerd zijn, maar anti-virusproducenten denken niet dat dit getal correct is. Dat neemt niet weg dat Swen een van de schadelijkste virussen van 2003 werd.

2004: Sasser
De uitbraak van de Sasser worm wordt door sommige anti-virusproducenten de "MSBlaster gebeurtenis van 2004" genoemd. Op 1 mei van vorig jaar wordt de Sasser worm ontdekt. Sasser maakt gebruik van een buffer overrun in de "Local Security Authority Subsystem Service" (LSASS) van Windows en wordt zeventien dagen na het bekend maken van het lek ontwikkeld. De Blaster worm verscheen in vergelijking 26 dagen na het bekend worden van het lek. Door het lek kan de worm ongepatchte machines op afstand infecteren. Het scannen van kwetsbare computers kan er echter voor zorgen dat die crashen. Is de aanval succesvol, dan zal er op port 9996 een shell gestart worden. Via deze shell port krijgt de computer de opdracht om de worm te downloaden en aan andere kwetsbare computers aan te bieden. Uiteindelijk volgen er nog verschillende varianten van de Sasser worm, die later het werk blijkt te zijn van een Duitse tiener genaamd Sven Jaschan. Jaschan wordt eind vorig jaar voor het schrijven van de Sasser en Netsky wormen gearresteerd en zal binnenkort voor de rechter moeten verschijnen. Zijn wormen zouden voor miljoenen euro's schade veroorzaakt hebben.

2004: MyDoom
De eerste MyDoom worm werd eind januari 2004 ontdekt. MyDoom.A, ook bekend als Shimgapi en Novarg, verspreidde zich via het netwerk van KazAa en e-mail. Als de worm geopend werd plaatste het zichzelf in de KazAa map en doorzocht het de computer op zoek naar e-mailadressen. Tevens werd er een backdoor geinstalleerd waardoor de virusschrijver toegang had tot geinfecteerde machines. Besmette computers werden onder andere voor het uitvoeren van een grootschalige Denial of Service aanval op de website van Sco, www.sco.com, gebruikt. De worm was zo geprogrammeerd dat die na 12 februari stopte met verspreiden, toch zouden er nog vele varianten verschijnen en is vorige week de eerste variant van 2005 ontdekt.

2004: Netsky
Een van de meest succesvolle wormfamilies allertijden is die van de Netsky worm. De eerste variant wordt op 16 februari 2004 ontdekt. Wordt de bijlage van virusmail geopend, dan zal Netsky zich als het bestand "services.exe" naar de Windows map kopieren en een aanpassing in het register maken. Hierna gaat de worm op zoek naar aanwezige e-mailadressen op het systeem. Ondanks het feit dat de bijlage in een .zip bijlage zit, en de gebruiker deze bijlage eerst moet openen voordat de worm gedraaid kan worden, zijn er talloze internetgebruikers die dit doen en geinfecteerd raken. Doordat de virusschrijvers van Netsky met de schrijvers van de MyDoom en Bagle wormen in een ware "virusoorlog" terecht raken, verschijnen er zoveel varianten dat men het volledige alfabet rondgaat en met dubbele letters moet werken.

Tot slot
De snelste en meest veelzijdige virussen en wormen hoeven nog niet altijd de meest schadelijke te zijn. Eind 2003 publiceerde onderzoeksburea mi2g een overzicht van de 5 schadelijkste virussen allertijden. De cijfers zijn gebaseerd op kosten die ontstaan zijn door verloren produktiviteit en verstoring van de continuiteit.

1. Sobig: 36,1 miljard dollar
2. Klez: 18,9 miljard dollar
3. Yaha: 11,1 miljard dollar
4. Mimail: 9 miljard dollar
5. Swen: 9 miljard dollar

Reacties (8)
20-01-2005, 11:56 door Anoniem
Mijn complimenten voor een fraai historisch overzicht!

Er is natuurlijk altijd een grens aan wat je wel en wat
niet vermeldt, maar wellicht hoort de Nachi worm, ook bekend
als Welchia, ook in bovenstaand lijstje; deze was actief van
augustus 2003 tot januari 2004 (schakelde zichzelf toen
uit). Zie bijv.
http://www.sarc.com/avcenter/venc/data/w32.welchia.worm.html
voor een omschrijving. Deze wist op veel plaatsen blaster te
vervangen en viel op door de pings die hij verzondt.

Deze worm wist (vaak via notebooks) bedrijfsnetwerken binnen
te dringen, en werd zelfs op geldautomaten gesignaleerd; zie
http://www.theregister.co.uk/2003/11/25/nachi_worm_infected_diebold_atms/[url/]Erik van Straten
21-01-2005, 00:52 door Anoniem
Die miljarden horen, verdeeld over alle besmette systemen,
bij de TCO.
Helaas.
21-01-2005, 01:40 door Anoniem
Ik sluit me aan bij de eerste poster. 'n paar kanttekeningen:

Als ik schadebedragen van virusuitbraken in miljarden zie, is er maar een
mogelijke bron: mi2g. Mooi Internet speurwerk, maar wel een beetje
kritiekloos uitgevoerd.

Sensatie verkoopt kennelijk. mi2g heeft een geschiedenis van verspreiden
van wel zeer ongeloofwaardige FUD, alles wat zij zeggen is a priori
onbetrouwbaar. Je kan ook niets anders verwachten van een bedrijf wat
overgaat van het verkopen van reclame naar security. Het zou toch een
paar alarmbellen moeten doen afgaan.

http://www.google.com/search?q=vmyths+mi2g
http://www.google.com/search?q=mi2g+fud

Over ontbrekende virussen: ik mis WM97/Melissa, het eerst wijd
verspreide e-mail virus (in tegenstelling tot CIH werd dit virus wel in 1999
wijd verspreidt, CIH beleefde pas vrij laat een hoogtepunt in het Westen),
en meer recent: W32/Bagle.

Gelukkig geen spoor van Michelangelo!
21-01-2005, 01:44 door Anoniem
Door Anoniem
Die miljarden horen, verdeeld over alle besmette systemen,
bij de TCO.
Helaas.

Geloof niet alles wat je leest. Mary Landesman verwoord het zo:
http://archives.neohapsis.com/archives/fulldisclosure/2004-07/0825.html
23-01-2005, 22:07 door rob
En waarom is WANK (Worm Against Nuclear Killers) niet genoemd (lees: http://www.underground-book.com/)? Die is in iedergeval veeel ouder dan jerusalem. Maarja, als je gewoon over de PC hebt, dan heb je wel ergens gelijk natuurlijk.. Er waren nog wat belangrijke, weet ik zo niet meer hoe het heette.
Eentje van de eerste ARPANet wormen enzo.. Wel gaaf dat Jerusalem virus heb ik nog ergens op diskette staan :-).. Ik spaarde altijd virussen :-).. ging langs
mensen die virus hadden en fixte die dan, op voorwaarde dat ik geinfecteerd schijfje kreeg :-).. verder nooit wat mee gedaan.
28-01-2005, 02:50 door G-Force
Jaren geleden werkte ik in de bibliotheek in Maastricht, alwaar na
sluitingstijd plotseling een alarmbel afging. Iedereen kijken natuurlijk. Het
bleek dat 1 computer het Jeruzalem-virus had binnengekregen via een
diskette. Volgens de verhalen (die later ontstonden) zou het Jeruzalem-
virus 1 jaar nodig gehad hebben om de wereld rond te gaan. Met de
huidige e-mailvirussen en wormen is dit in een aantal uurtjes wel
geregeld. De digitale wereld is er in ieder geval niet veiliger op geworden.
28-01-2005, 03:19 door Anoniem
Door Peter V.
Jaren geleden werkte ik in de bibliotheek in Maastricht, alwaar na
sluitingstijd plotseling een alarmbel afging. Iedereen kijken natuurlijk. Het
bleek dat 1 computer het Jeruzalem-virus had binnengekregen via een
diskette. Volgens de verhalen (die later ontstonden) zou het Jeruzalem-
virus 1 jaar nodig gehad hebben om de wereld rond te gaan. Met de
huidige e-mailvirussen en wormen is dit in een aantal uurtjes wel
geregeld. De digitale wereld is er in ieder geval niet veiliger op geworden.

Uurtjes? Virussen en wormen zijn in milliseconden over de wereld
verspreid.

We hebben ook al flash wormen gehad die via een exploit in een mum van
tijd met een vrijwel alle vulnerable servers over de hele wereld besmetten.

Jeroen
05-01-2006, 14:06 door Anoniem
hallo ik ben nog niet zo goed met virussen maar ik heb een vraag:

ik had ooit een pc met windows 2000 en op een gegeven moment viel hij
uit. dus ik dee hem weer aan en ging hij naar 4 seconden weer uit. en hij
bleef dit maar doen. dus ik dacht dat de baterij op was van de pc. dus op
een nacht stond de pc op mijn kamer en rond 4 uur s 'avonds word ik
wakker van geluid. wat denk je? de pc gaat steeds aan en uit zonder dat ik
iets dee ik kon pas verder slapen toen ik de steker eruit trok!

nu heb ik een vraagje: was dit probleem op mijn pc toevalig de virus:
MS Blaster?

graag een reactie
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.