Phatbot loopt zich warm. Het nieuwste computervirus deed dat de afgelopen weken onder meer via de UT-server. Gevolg: een nacht geen netwerk en een artikel in de Washington Post.
Phatbot is een wormvirus dat begin deze maand werd ontdekt door de cyberterreurafdeling van de Amerikaanse overheid. De worm verzamelt mailadressen om te spammen, steelt wachtwoorden, maakt antivirussoftware onklaar en wordt gebruikt voor aanvallen die complete sites moeten plat leggen. Nieuw aan deze gevaarlijke wormvariant is, dat het aanhaakt op peer-to-peer netwerken als Kazaa.
Op de UT is het ergste leed inmiddels geleden. Volgens netwerk- en systeembeheerder Igor Ybema van de dienst ITBE is de activiteit van Phatbot in de UT-gelederen al duidelijk aan het afnemen. Volgende week is de rust weergekeerd, verwacht hij.
Maar de afgelopen weken gonsde het van de Phatbot-activiteit rond de UT-server. Twee weken geleden zag Ybema het aantal bezoeken aan de UT-server snel stijgen van - de normale - 25.000 stuks naar een half miljoen per dag. Voor het grootste deel afkomstig van Phatbot-geïnfecteerde computers. Prompt kreeg Ybema de Washington Post aan de lijn. `Ze belden me mobiel. Geen idee hoe ze aan m'n nummer kwamen. Dat wilden ze ook niet zeggen.'
Hoe dan ook, de Post had er lucht van gekregen dat Phatbot het wereldwijd voorzien had op 22 specifieke servers met snelle netwerken. Twente was daar een van, net als Stanford University. `Het leek eerst een gerichte aanval op de server van de UT, aldus Ybema. `We hebben wel een nacht zonder netwerk gezeten, maar het bleek geen gerichte actie te zijn.' Het ging `slechts' om een test, waarbij gedurende een aantal dagen honderdduizenden computers tegelijk de opdracht kregen om pakketjes te versturen naar en terug te ontvangen van de UT-server. Daarmee testen de makers van het virus de gezamenlijke uploadcapacitiet van de geïnfecteerde computers.
De kracht van het Phatbot-virus zit hem er volgens Ybema in dat de makers via peer-to-peer-netwerken als Kazaa hun opdracht aan geïnfecteerde computers versturen om aanvallen uit te voeren. Waar de `test' van de afgelopen weken uiteindelijk toe moet leiden, is onduidelijk. Ybema: `Massale spam-acties, aanvallen, of gewoon voor de lol. Ik weet het niet. Feit is wel dat met Agobot, een voorganger van Phatbot een aanval op CNN is gedaan. Al hun sites gingen toen plat.'
Het aantal geïnfecteerde pc's onder UT-studenten en -medewerkers is vooralsnog uiterst klein. Toch dringt onder meer Studentennet Twente, de belangenbehartiger van UT-netwerkgebruikers, er vooral bij thuisgebruikers op aan om de nodige voorzorgsmaatregelen te nemen: de laatste windows updates downloaden (het liefst automatisch instellen via het configuratiescherm) en zorgen voor afdoende antivirus software (gratis te installeren via de SNT-website www.snt.utwente.nl).
