Mysterieus verkeer op internet baart zorgen

De code is voor het eerst onderschept door het Amerikaanse beveiligingsbureau Intrusec. Deze noemt het Trojaans paard 55808, naar de omvang van de 'window' die in de header van het TCP/IP-bericht wordt gespecificeerd. Normaal staat deze grootheid, die specificeert na hoeveel bytes de zendende computer op antwoord van de ontvanger wacht, bij een eerste zending op 1024 bytes ingesteld. Uit analyse blijkt dat de onderschepte code internet op willekeurige wijze afzoekt naar open poorten. Het merkwaardige daarbij is dat het daarbij doet voorkomen dat het van een ander adres afkomstig is. Dit zogeheten 'spoofen' maakt het zeer lastig om het Trojaans paard te detecteren, maar voorkomt ook effectief dat de informatie over openstaande poorten teruggerapporteerd kan worden. Daarvoor vertrouwt het malicieuze stukje software op een zogeheten netwerksniffer; deze speurmodule vergaart terugmeldingen automatisch en slaat deze informatie op in een adresbestandje. Succes bij het vergaren van de adressen van open poorten is alleen verzekerd als er meerdere kopieën per netwerksegment actief zijn. Het Trojaans paard lijkt echter niet over een mechanisme te beschikken om zichzelf te verspreiden. Het moet derhalve - al of niet via internet - handmatig geïnstalleerd worden. Het afleveren van het bestandje met gevonden open poorten lijkt overigens ook niet te werken, en bovendien probeert de code zichzelf te vernietigen wanneer afleveren van dat bestand mislukt. Het bedrijf Internet Security Systems, dat het Trojaans paard 'Stumbler' noemt, meent dat met de code de oorzaak voor het toegenomen netwerkverkeer is gevonden. Intrusec twijfelt daaraan en sluit niet uit dat er andere varianten van het Trojaans paard 55808 op internet rondzwerven die wel effectief zijn in het verzamelen van poortinformatie. Ook andere mogelijke oorzaken van het toegenomen netwerkverkeer worden nog onderzocht. (jwy)