Storm Worm hardnekkiger dan ooit

"Antivirusbedrijven zijn zich er niet van bewust"

27 juli 2007 | Janneke Scheepers U heeft het misschien niet gemerkt, maar de afgelopen weken werd uw mailbox geteisterd door de grootste virusaanval in lange tijd. Nog altijd is de Storm Worm niet gaan liggen. En menig antivirusbedrijf lijkt de foute mailtjes niet eens te detecteren.

Postini trok deze week aan de bel. Volgens dit beveiligingsbedrijf bestoken Storm Worm-auteurs de wereld momenteel met e-mails die op zich ongevaarlijk zijn. Ze bevatten geen virussen of bijlagen. Vaak wordt de ontvanger uitgenodigd om een e-card te bekijken. Soms is er helemaal geen tekst. Wel is er een link. Wie zijn computer wil reduceren tot zombie in een botnet, moet vooral op die link klikken.

Adam Swidler, senior manager bij Postini, sprak deze week tegenover InformationWeek van "een ongelooflijk grote aanval". Vorige week donderdag alleen al detecteerde Postini 42 miljoen Storm-gerelateerde e-mails. Ter vergelijking: op een normale dag onderschept het bedrijf in totaal één miljoen virusmails. Het zou al met al gaan om de grootste aanval in twee jaar tijd; ongekend bestendig van aard bovendien.

Van 16 tot en met 23 juli heeft Postini meer dan 235 miljoen van deze e-mails opgespoord en geblokkeerd, verklaart Marty Tacktill, senior directeur public relations bij het bedrijf, in een e-mail aan ZDNet. "Het was een vervolg op de aanval van 2 tot en met 9 juli, toen we ruim 123 miljoen berichten detecteerden en blokkeerden."

Beide aanvallen zijn volgens hem respectievelijk vijf en drie keer zo groot als eerdere aanvallen van de afgelopen twee jaar. "De hoeveelheid virusboodschappen nam af op 24 juli maar trok weer aan op 25 juli. We zijn bezig om vast te stellen of het om hetzelfde type e-card met toegevoegde URL gaat."

Geen groot alarm
Het is wel wat vreemd dat er geen groot alarm is geslagen over een dergelijke bijzonder grote virusaanval. Er is hier en daar wel gewaarschuwd de afgelopen weken, onder anderen door McAfee-onderzoeker Vinoo Thomas in een bericht op de Avert Labs-blog. Maar de grote antivirusbedrijven hebben er niet groots mee uitgepakt. Misschien vinden ze de situatie niet zo ernstig?

Mikko Hypponen, hoofdonderzoeker bij F-Secure, laat desgevraagd aan ZDNet weten dat zijn bedrijf de valse e-cardmails zeker heeft opgemerkt. "We zien ze absoluut al een hele tijd in groten getale rondgaan. Maar ik denk niet dat het werkelijk zo enorm is."

Postini is echter zeker van deze zaak, benadrukt Tacktill: "Postini verwerkt bijna twee miljard e-mailverbindingen per dag via onze eigen datacentra. Dus we raden niet naar onze cijfers; we weten precies wat er gebeurt in de e-mail die via onze datacentra passeert."

Misschien blokkeren sommige antivirusbedrijven de bewuste e-mails gewoon niet, oppert hij. "Onze cijfers zijn de meest betrouwbare in de industrie, omdat de e-mail werkelijk door onze datacentra gaat. Software-en applicatieverkopers zouden zulke accurate cijfers niet kunnen presenteren."