- 
Sans Handlers' Diary: "A malware jungle"
Category analyseBookmark :
Een boeiend verhaal vandaag in het Handlers' Diary van SANS - Internet Storm Center: "A Malware jungle". Veel van de Handlers' diaries zijn informatief maar niet boeiend; deze is het beide.
Het gaat over een beheerder, Robert, die zijn uitgaand netwerkverkeer monitort. Hij bemerkt dat één van zijn machines via de SMTP-poort 25 probeert te connecten aan andere, externe servers. Een analyse van het netwerkverkeer brengt een onbekende executable aan het licht, genaamd "extdrvr.exe". Dit blijkt een spambot te zijn. Nu is een spambot een vervelend ding, want die verstuurt spam vanaf jouw netwerk, en dat wil je natuurlijk niet. Maar dit is niet zomaar een spambot: behalve dat hij spam verzend, verbouwt hij de hosts file, download hij allerlei andere trojanen, dialers etcetera. Kortom, Roberts' machine blijkt een jungle van 'malware'.
Het interessante is, dat Robert zijn machine gewoon goed beveiligd had; alleen herkennen de meeste virusscanners dit speciale stukje software nog niet. Het is nog niet bekend hoe extdrvr.exe op de server terechtkwam. Ik ben wel benieuwd eigenlijk: een gewetensvolle beheerder, die zijn netwerk goed in de gaten houdt en zijn machines netjes beveiligd.. en toch loopt zijn server zo'n virus op!
Er zijn enkele lessen die we hieruit kunnen leren. Ten eerste, antivirus-scanning is geen garantie voor het virusvrij zijn van een machine; scanners lopen per definitie altijd achter de feiten aan. En ten tweede, ook als je denkt dat je alles goed beveiligd hebt, kan het zinvol zijn je uitgaande verkeer goed te monitoren.