De venijnige trucs van de Madi-worm

Luie makers

Uit de structuur van de worm valt ook af te leiden dat de makers ervan zich niet echt hebben ingespannen om een superworm te maken. "Het is meer een rudimentair stuk code geworden, waarbij de makers slordig zijn omgesprongen met een tool als Delphi. Ze hadden er veel meer van kunnen maken", aldus de analyse.

Hoe komt de worm binnen?

De kunst is om een worm zo te verpakken dat het toekomstige slachtoffer de code graag binnenhaalt. "Er is duidelijk gekozen voor social engineering", zegt Brulez, "met een verpakking die is afgestemd op de ontvanger. In dit geval ging het om plaatjes, video's en documenten met een kennelijk belangwekkende inhoud."

Daarnaast werd gebruik gemaakt van onmerkbare downloaders, modules die de malware binnenhalen zonder dat de gebruikers daar iets van merken. Die downloaders worden meegesmokkeld met een e-mailbericht. Zo'n downloader werd gepresenteerd als een update voor Office.

Hoe pikt dat ding?

Na installatie wordt een groot aantal files geïnstalleerd op het te infecteren systeem. De belangrijkste daarvan is door Kaspersky de 'infostealer' gedoopt. De infostealer zit open en bloot op het systeem. Brulez: "Redelijk brutaal is dat. Het programma tooit zich met het icoon van Internet Explorer. De gebruiker ziet dat wel staan, maar het is dermate bekend dat het geen argwaan oproept."

De infostealer is bijna achteloos geprogrammeerd, met een groot aantal bugs. "We gaan daar niet al te diep op in, want we willen de makers natuurlijk niet helpen om hun malware te verbeteren", zegt Brulez. De infostealer bevat een keylogger, die alle aanslagen op het toetsenbord afvangt en verzamelt. Daarnaast gaat het programma op de diskdrives op zoek naar bestanden met mogelijk belangwekkende informatie.

Brulez: "Er wordt alleen gekeken op 'echte' schijven, zowel ingebouwd als extern; eventuele USB-sticks worden ongemoeid gelaten." Een uitgebreide beschrijving van het analysewerk is te vinden op securelist.com.