20 maart 2009

Het computervirus Conficker zou de potentie hebben landen en zelfs het hele internet te ontregelen. Op 1 april toont het virus zijn ware aard. Grap of niet? Computerexperts zeggen in de New York Times geen idee te hebben wie de makers zijn van Conficker of Downoadup, zoals de software ook wel heet. Microsoft heeft een beloning uitgeschreven van 250.000 dollar voor tips die tot de makers van het virus leiden. De software nestelt zich als een 'rootkit' op computers door gebruik te maken van ‘gaten’ in het besturingssysteem Windows van Microsoft. Hoeveel computers zijn besmet is onbekend, de New York Times houdt het op 12 miljoen. Wetenschappers stellen in die krant dat het in elk geval gaat om een besmetting op de schaal van het 'I love you'-virus dat in 2000 wereldwijd miljoenen computers infecteerde. Experts van het Amerikaanse onderzoeksinstituut SRI International verwachten dat Conficker wacht op instructies van de makers. Een analyse van het virusprogramma leerde hen dat geïnfecteerde computers zijn geïnstrueerd om op 1 april contact te maken met een besturingssysteem. Wat vervolgens zal gebeuren is onbekend. Mogelijk is Conficker een grote 1 april grap, stelt de New York Times, maar onderzoeker Phillip Poras van SRI verwacht van niet.

Volgens hem kan Conficker in het het meest positieve scenario worden gebruikt als platform voor internetfraude en diefstal van persoonlijke gegevens. In het slechtste geval kan Conficker worden ingezet voor elektronische oorlogvoering en daarbij niet alleen landen ontregelen, maar ook het hele internet. Het is niet duidelijk waar het virus vandaan komt. Zelfs de bedoeling van Conficker is onbekend. Het virus verspreidt zich en past zich telkens aan om antivirussoftware te omzeilen, maar verder doet het niets. De instructies van de makers, die op 1 april in werking zouden treden, zullen verlopen via een van de 50 duizend domeinnamen die de nieuwste versie van Conficker dagelijks ‘bedenkt’. Als de makers een van die domeinnamen activeren, zal het virus van deze site instructies downloaden voor een volgende stap. Het lek in Windows is al in oktober gedicht, maar doordat niet elke gebruiker zijn systeem voorzien van updates, kan Conficker zich toch verspreiden. Eenmaal geïnstalleerd laat de 'rootkit' zich lastig verwijderen, onder meer doordat het de toegang blokkeert tot antivirussites. Ook voorkomt het dat Windows een 'pleisterprogramma' installeert. Doordat het virus zich vooralsnog slapende houdt, merken veel gebruikers niet dat ze zijn geïnfecteerd. Diverse bedrijven hebben inmiddels hulpmiddelen ontwikkeld om het virus van een pc te verwijderen, maar het is onduidelijk of die ook werken voor de versie die op 1 april actief wordt. Het lijkt erop dat Conficker zich niet langer probeert te verspreiden, zeggen medewerkers van Symantec, maar dat het vooral probeert niet ontdekt te worden op machines waarin het zich genesteld heeft. Het meest intrigerende is, zoals de New York Times schrijft, 'the intricate design of the peer-to-peer logic of the latest version of the program, which security researchers are still trying to completely decode'. Volgens een onderzoeksaddendum toegevoegd aan een eerdere paper van onderzoekers van SRI over de Conficker C-versie van het programma, 'the infected computers can act both as clients and servers and share files in both directions. The peer-to-peer design is also highly distributed, making it more difficult for security teams to defeat the system by disabling so-called super-nodes'. De makers van Conficker 'could be planning to create a scheme like Freenet, the peer-to-peer system that was intended to make Internet censorship of documents impossible'. Volgens Stefan Savage is de bedoeling macchivallistisch van karakter: 'What if Conficker is intended to give the computer underworld the ability to search for data on all the infected computers around the globe and then sell the answers? Malware already does this on a focused basis using a variety of schemes that are referred to as 'spear phishing', in a reference to the widespread use of social engineering tricks on the Net. But to do something like that on a huge scale? That would be a dragnet — and a genuine horror story'.