Microsoft: MSBlast heeft 8 miljoen Windows-pc's besmet

Aantal besmette pc’s hoger dan verwacht
Uit nieuwe data die Microsoft heeft verzameld blijkt volgens de softwarereus dat sinds augustus vorig jaar minstens acht miljoen Windows-pc's zijn besmet door de MSBlast-worm, ook bekend als Blaster. Dat zijn veel meer systemen dan voorheen werd aangenomen.

De softwareleverancier verzamelde zijn data door het gebruik van een online tool te meten die door zijn ontwikkelaars beschikbaar is gesteld om geïnfecteerde pc's van de worm te verlossen. Sinds de uitgifte van deze tool in januari dit jaar zochten meer dan zestien miljoen systemen verbinding met Microsofts Windows Update-dienst, die constateerde dat ze besmet waren met MSBlast en ze een patch en het gebruik van de ontsmettende tool aanbood. In dezelfde periode deden acht miljoen systemen een beroep op Update voor de patch om een nieuwe infectie te voorkomen. Deze laatste systemen gebruikten ook de speciale tool om de worm te verwijderen.

Hoewel Microsoft gelooft dat het totale aantal door de worm geïnfecteerde gebruikers waarschijnlijk dichter bij de zestien miljoen ligt, geeft het aantal van acht miljoen volgens het bedrijf een betere indicatie van het minimale aantal besmette systemen. Het grotere cijfer kan systemen bevatten die meer dan eens contact met update zochten, bijvoorbeeld doordat druk bezette computergebruikers weigerden direct af te rekenen met de worm, of het proces annuleerden toen het was begonnen.

Later zochten ze dan opnieuw contact met Update om het probleem op te lossen. Als de systemen eenmaal ontsmet en gepatched zijn worden ze niet opnieuw meegeteld. Microsoft heeft niet specifiek geregistreerd welke soort systemen gebruik maakte van zijn dienst, maar alleen of de tool werd gebruikt.

"Eind vorig jaar kregen we nog steeds signalen van klanten die rapporteerden dat ze nog steeds symptomen van Blaster registreerden", vertelt Stephen Toulouse, security program manager bij Microsofts security response center. "Onze ISP-partners zagen ook veel door Blaster veroorzaakt verkeer op hun netwerken."

De worm sloeg zelfs zo hard toe dat de softwareleverancier enkele ontwikkelteams snel de opdracht gaf te stoppen met het werk aan de volgende Windows-versie. Deze teams moesten zich richten op het leveren van een tijdelijke update, te weten Service Pack 2, om de beveiliging van Windows XP. Toen de klachten enkele maanden aanhielden besloot Microsoft ook zijn Windows Update-dienst te voorzien van de online tool om de MSBlast-worm te detecteren en verwijderen.

De omvang van de digitale epidemie overtreft de schattingen van verschillende onderzoekers die de ontwikkeling van de worm al sinds zijn verschijning bijhouden. Zij schatten de omvang van virusaanvallen veelal op data die ze verzamelen uit rapporten van netwerkapparaten, zoals firewalls. Door de informatie van deze apparaten te verzamelen kunnen de onderzoekers het aantal internetadressen tellen dat een worm gebruikt om zichzelf te verspreiden. Op basis van dergelijke data schatten verschillende internetbeveiliging-organisaties het aantal door MSBlast besmette systemen op ongeveer 500.000.

"Ik trek het nieuwe aantal van Microsoft echter niet in twijfel", vertelt Johannes Ullrich, chief technology officer van het Internet Storm Centre, een organisatie die logbestanden van firewalls ontvangt van duizenden vrijwilligers en zo de verspreiding van verschillende digitale bedreigingen bijhoudt. In de vrijwillig doorgesluisde data telde het centrum genoeg internetadressen om te schatten dat de MSBlast-worm tussen de 200.000 en 500.000 pc's had besmet.

Virusbestrijder Symantec gebruikt, met toestemming van de klant, de data van meer dan 20.000 netwerkapparaten, om de bedreigingen via internet te analyseren. Toen MSBlast meer dan 40.000 pc's besmette stopte het bedrijf met tellen, maar Alfred Huger, senior director of engineering bij Symantec, schat het totale aantal besmettingen op enkele honderdduizenden en is verbaasd door Microsofts hoge aantal. "Ik kan het echter niet bestrijden, zij hebben het beste inzicht."

Met een bijdrage van CNet's Robert Lemos

Winamp zet deur open voor hackers

Upgrade naar 5.03 aanbevolen
Onderzoekers van het securitybedrijf NGSSoftware hebben een ernstig lek in WinAmp 5 ontdekt. In een gisteren verspreid bericht waarschuwen de experts dat hackers via een aangepast muziekbestand kunnen inbreken op een pc. Een slachtoffer moet er daarnaast van worden overtuigd om het fatale liedje af te spelen. Dat kan bijvoorbeeld door hem naar een website te lokken waar zo'n bestand zich ophoudt, aldus NGSSoftware.

De malafide code houdt zich schuil in Fasttracker 2-mediabestanden (mod's). Slim bedacht is dat het bestand niet per se de extensie .xm (standaard voor Fasttracker 2) hoeft te dragen, maar slechts intern op een mod-bestand moet lijken. Alleen letten op mogelijk verdachte .xm-bestanden is dus niet voldoende om besmetting te voorkomen. "Het malafide bestand kan een extensie dragen van elk van de ondersteunde mod-typen die met het kwetsbare onderdeel geassocieerd zijn", zo schrijven de onderzoekers.

De oplossing voor het probleem: upgraden naar de nieuwste uitvoering van Winamp, versie 5.03. Deze versie is ook te vinden in de downloadsectie van ZDNet. Weet je niet zeker over welke uitvoering je beschikt, kijk dan onder 'Nullsoft Winamp…' in het menu van de mediaspeler. Wie om een of andere reden liever niet upgradet, kan er voor kiezen om de Fasttracker2-module in Winamp uit te schakelen via de instellingen van de plugins.