תולעת חדשה, Qakbot, המתפשטת כאש בשדה קוצים, גנבה פרטים אישיים חסויים ממחשבים ברשת שירות התעסוקה של מסצ'וסטס.
פרטים אישיים חסויים של כ-210,000 איש אשר נרשמו כמובטלים או כמחפשי עבודה בשירות התעסוקה של מדינת מסצ'וסטס, נחשפו ככל הנראה על-יד תולעת שחדרה אל רשת משרד העבודה של המדינה, והתפרצה לאחר מכן בתוך הרשת. מנהל בכיר במשרד מסר כי גירסה חדשה של התולעת, התפרצה ברשת המשרד הראשי של השירות, וכן על מחשבים הנמצאים בסניפים מרוחקים של השירות ברחבי המדינה.
הפרטים האישיים החסויים שנחשפו הינם ככל הנראה: שמות, מספרי ביטוח לאומי (המקבילים בארה"ב למספרי ת.ז.), זהות המעסיק (או המעסיק הקודם), כתובות מייל, כתובת מגורים ו/או מקום עבודה ופרטי חשבון הבנק.
התולעת מקליטה ומתעדת את כל הקלדות המשתמש על המחשב הנגוע, ושומרת אותן לקובץ; לאחר מכן, מנסה התולעת לשלוח את הקובץ אל שרת חיצוני באינטרנט אשר מופעל על-ידי התוקפים. מטרתה העיקרית של התולעת הינה השגת מידע על חשבונות בנק.
התולעת נתגלת לאחר שהחלו להגיע קריאות משתמשים ל-Help Desk, עם תלונות על כך שהמחשבים "מתנהגים מוזר". בהמשך נמצא כי פתרון האנטי-וירוס שהיה מותקן במשרד - ה-End-Point Security של סימנטק - לא הצליח להתמודד עם התולעת בשלב ההתפרצות הראשוני, וכי מידע הועבר (דלף) מתוך הרשת החוצה אל האינטרנט.
בשל מאפייני ההתפרצות המהירים של התולעת, קיים גם חשש כי 1,200 עסקים וחברות במדינה אשר נמצאים בקשר שוטף עם שירות התעסוקה, ואשר מחוייבים בהגשת דו"חות רבעוניים ועושים שימוש במחשבי המשרד, נמצאים אף הם בסיכון לפגיעה.
התולעת תוקפת מחשבים פגיעים לפרצות אבטחה ב-Internet Explorer וב-Apple Quick Time, ומתקינה את עצמה על מחשב פגיע אשר גולש אל אתר נגוע בה נמצאת חבילת ההתקנות שלה. לא נדרשת כל התערבות של המשתמש על-מנת שהתולעת תותקן על מחשבו, ועל כן גם אין למשתמש כל אפשרות לדעת בזמן אמיתי כי הוא מותקף.
הסברה הרווחת הינה כי התולעת חדרה אל הרשת לאחר גלישה של אחד המשתמשים אל אתר נגוע; משם והלאה הפיצה את עצמה התולעת ברשת ה-LAN הארגונית באמצעות תיקיות שיתופיות ברשת (Network Shares) ואמצעים נתיקים (דוגמת דיסק-און-קי).
"אני מניח שעשינו ככל יכולתנו ברמת עידכוני האנטי-וירוס בכדי להגן על הרשת האירגונית שלנו," אמר ג'ון גלנון, ה-CIO של המשרד, "ועדיין נפגענו ומידע דלף". הוא הוסיף כי כעת תבוצע הערכה מחדש של אמצעי ופתרונות ההגנה.
זוהי אינדיקציה (או הוכחה) נוספת לכך שפתרון האנטי-וירוס אינו יכול עוד לשמש ככלי יחיד לזיהוי מזיקים ותקיפות, וכי מומלץ להשתמש בפתרונות נוספים אשר יוכלו לזהות ולהתריע על התפרצויות תולעים ופעילויות חשודות נוספות ברשת בזמן אמיתי.
על פי סימנטק, תולעת ה-Qakbot מכילה פונקציונליות אשר מקשה מאוד על גילויה, והיא מנסה לגנוב אינפורמציה תוך פתיחת דלת אחורית על המחשב הנגוע, ובו-בזמן מורידה מעת לעת קבצי הפעלה עדכניים משרת הפיקוד והשליטה שלה (CnC).
"התולעת מתפשטת כמו אש בשדה קוצים", אמר ביום ששי האחרון ויקראם תאקור מסימנטק, "במיוחד החל מחודש אפריל, אז הופצה גירסה חדשה שלה; על אירגונים וחברות לגלות עירנות מיוחדת לפעילות התולעת, בעיקר בשל מאפייני הפגיעה וההתפשטות שלה", הוא מוסיף.
למאמר אודות הסוג החדש והמתקדם של המזיקים - Crimeware - אשר תולעת ה-Qakbot נמנית עליו - כאן
