Wat is MyDoom-malware? Geschiedenis, hoe het werkt en bescherming
Wat is MyDoom-malware? Geschiedenis, hoe het werkt en bescherming
Wat is MyDoom-malware? Geschiedenis, hoe het werkt en bescherming
Sommige mensen noemen MyDoom een virus. Sommige mensen noemen het een worm. Sommige mensen gebruiken de schrijfwijze My Doom.Weer anderen noemen het "het Doom-virus".
Hoe MyDoom ook wordt genoemd of geschreven, het is een serieus gevaar. Dit kleine pakketje code verspreidt zich van de ene computer naar de andere via e-mailbijlagen. Als u zo'n bericht ontvangt en de bijgevoegde bestanden opent, komt het programma op uw computer terecht. Iedereen in uw adresboek krijgt dan al snel een bericht van uw computer.
Mensen kwamen in 2004 achter het bestaan van MyDoom en er zijn al een tijd geen aanvallen meer geweest. Maar er zijn wel nog steeds heel veel geïnfecteerde computers. Het is dus belangrijk om te weten hoe deze wormen werken en hoe u de code van uw computer kunt verwijderen.
Ontwikkeling van het MyDoom-virus
In januari en februari 2004 ontvingen gebruikers over de hele wereld ineens mysterieuze e-mailberichten met de tekst “Ik doe alleen mijn werk, dit is niet persoonlijk. Sorry.". Bij elke e-mail zat een bijlage en elke keer dat mensen hun inbox openden, kregen ze een nieuw exemplaar. Hier zat het MyDoom-virus achter.
MyDoom is een zeer effectieve worm die ontworpen is om honderdduizenden computers in zombies te transformeren. Hackers kunnen elke gekaapte terminal dan gebruiken voor een denial of service (DoS)-aanval op de organisatie die ze als doelwit hebben uitgekozen.
In 2004 wist niemand wie de code ontwikkeld had. Er waren mensen die vonden dat de MyDoom-worm erg leek op andere wormen van Russische makelij. Maar een vermoeden is geen waterdicht bewijs en uiteindelijk is nooit bekend geworden wie de code gemaakt heeft en waarom.
Maar de experts waren het over één ding wel eens: MyDoom was gevaarlijk. Mensen die melding maakten van de code, dichtten deze de volgende eigenschappen toe:
- Snel. Een virus had zich nog nooit eerder zo snel verspreid.
- Effectief. MyDoom besmette in slechts één week meer dan 500.000 computers.
- Kostbaar. De schade bedroeg naar schatting 38,5 miljard dollar of meer.
Het virus nam host-computers over en er was vooral aandacht voor de vraag wat gebruikers moesten doen om de code te verwijderen. Maar de daadwerkelijke slachtoffers waren twee organisaties.
De eerste versie van de worm gebruikte de geïnfecteerde computer om SCO Group te bombarderen met homepage-verzoeken. De organisatie kon de grote hoeveelheid bezoekers niet aan en de site crashte dan ook. Na een uur van constante aanvallen besloot de organisatie haar website-adres zelfs helemaal te wijzigen.
De tweede versie van de worm deed twee dingen:
- Aanvallen: de geïnfecteerde computers bombardeerden de website van Microsoft.
- Bescherming: na de infectie hadden computers geen toegang meer tot 65 antiviruswebsites. Het komt erop neer dat de worm belemmerde dat mensen hun computers opschoonden.
Vóór de release van MyDoom door hackers wisten experts al wel dat een aanval van deze aard mogelijk was. Maar ze hadden geen idee welke vorm de aanval zou aannemen, hoe deze in zijn werk zou gaan en wat gebruikers konden doen om hun computers op te schonen. In de maanden erna zouden ze alles over deze aanvallen te weten komen.
Hoe werkt MyDoom?
De personen van wie de computer geïnfecteerd is, hebben geen idee dat er iets gaande is. Het kan zijn dat hun computer wat langzamer is of af en toe hapert. Maar ze zullen hierover waarschijnlijk geen waarschuwing hebben ontvangen. En de code die diep in de Windows-omgeving actief is, heeft er al voor gezorgd dat de worm zich heeft kunnen verspreiden.
Dit is wat de MyDoom-worm doet:
- Een download uitlokken. Als de bijlage wordt geopend, kan de code zich in de Windows-omgeving verspreiden. De worm kan zijn "werk" niet doen in andere omgevingen dan Windows.
- Zich verspreiden. De code zoekt de contacten op die zijn opgeslagen op de computer van het slachtoffer. Elk adres dat de code vindt, krijgt een nieuwe versie van de worm als e-mailbijlage.
- Verzoeken lanceren. Op een specifieke datum lanceren de geïnfecteerde computers verzoeken aan de website van SCO Group of Microsoft.
- De deur openhouden. De aanvallers laten de achterdeur openstaan, voor het geval ze nog een keer naar binnen willen.
Hackers hebben de wormen dan wel gemaakt om een specifieke website aan te vallen, maar de code vervalt niet en wordt niet gede-installeerd. Uw computer kan nu geïnfecteerd zijn als gevolg van een bericht waarvan u niet eens meer weet dat u het hebt geopend.
Kan het MyDoom-virus u schade berokkenen?
Elke computer die is geïnfecteerd met MyDoom heeft een openstaande achterdeur die aanvallers in theorie kunnen kapen. U kunt dan ineens onderdeel zijn van een zombie-aanval.
Als uw computer voor zo'n aanval wordt gebruikt, kunt u dat merken aan de volgende dingen:
- Traagheid. Het openen, sluiten, opslaan enzovoort van Windows-bestanden kan veel langer duren dan verwacht.
- Irritatie. Als uw computer willekeurige berichten begint te versturen naar iedereen in uw adresboek, kan dat boze reacties opleveren.
- Meldingen. Als u op een beheerd netwerk zit, kan de beheerder zich afvragen waarom u zoveel bandbreedte nodig hebt om uw werk te doen.
Maar misschien zult u niets merken. Het kan zijn dat uw computer nooit meer wordt gebruikt voor een nieuwe aanval op een organisatie of land. Maar de achterdeur staat open, mochten hackers daar gebruik van willen maken. Als u hier niets aan doet, blijft dat een risico.
Manieren om u tegen MyDoom te beschermen
Als u denkt dat u bent geïnfecteerd met MyDoom, is het zaak dat u de besmetting lokaliseert en verwijdert. Vervolgens moet u preventieve maatregelen nemen om herhaling te voorkomen.
Doe het volgende als u denkt dat uw computer geïnfecteerd is:
- Wis het bestand. Volgens melders is het meestal op de volgende locatie te vinden: %system%\drivers\etcwhere %system% is het Windows-systeembestand: C:\windows\system32 voor Windows XP, C:\winnt\system32 voor NT/2000 of C:\windows\system voor Windows 9x/Me.
- Windows updaten. De worm infecteert alleen Windows-computers. En programmeurs weten dat. Als u de update naar de laatste versie van Windows nog niet hebt uitgevoerd, doe dat dan nu.
- Antivirussoftware runnen. Download de meest recente patches zodat uw antivirussoftware de nieuwste bedreigingen aankan. Schoon uw systeem vervolgens volledig op.
- Controleren. Neem contact op met mensen in uw adresboek om te vragen of ze nog verdachte berichten van u krijgen. Ga vervolgens naar veelgebruikte antiviruswebsites en kijk of u de pagina kunt laden.
- Opnieuw beginnen. Is uw computer nog steeds geïnfecteerd? Herhaal het proces dan.
Wormen als MyDoom kunnen alleen op uw computer terechtkomen als u het virus downloadt. Dat betekent dat infectie voorkomen kan worden. Om te beginnen is het belangrijk om goed te kijken wie de afzender van een bericht is. Open geen berichten van mensen die u niet kent. En klik in verdachte e-mails nooit op bijlagen.
Als u een security professional bij een grote organisatie bent, zorg dan dat alle medewerkers deze regels kennen. Spoor ze aan om elk verdacht bericht ter controle naar u door te sturen.
Okta kan u helpen
Met de security-oplossingen van Okta kun u de risico's beheersen en alleen de juiste mensen toegang geven tot de resources die ze nodig hebben. Kom meer te weten over hoe we kleine en grote organisaties helpen.
Referenties
Who Made MyDoom? (Februari 2004). New Scientist.
More Doom? (Februari 2004). Newsweek.
MyDoom Shows Vulnerability of the Web. (Februari 2004). Network Computing.
Update: New Mydoom Worm Discovered. (Januari 2004). Computerworld.
Worm:W32/MyDoom. F-Secure.
MyDoom: The 15-Year-Old Malware That's Still Being Used in Phishing Attacks in 2019. (Juli 2019). ZD Net.
How to Thwart Renewed "MyDoom" Email Bug. (Januari 2006). ABC News.