De leveranciers van antivirussoftware waarschuwen voor een reeks nieuwe virussen die gebruikmaken van gaten die al lang gedicht hadden moeten zijn.
Het meest verontrustende virus staat bekend onder de namen Tanatos en Bugbear. Het gaat om een combinatie van een wormvirus en een Trojaans paard. Het virus werd eerst in Maleisië gedetecteerd, maar verspreidde zich ook al in India, de Verenigde Staten en Groot-Brittannië.
De worm kopieert zichzelf in het Windows-systeembestand en de opstartmap als een bestand met een naam van vier willekeurig gekozen karakters. Op die manier wordt het virus telkens bij het opstarten van het systeem geactiveerd. Daarbij probeert de worm de actieve programma’s uit te schakelen. Wanneer het zichzelf geïnstalleerd heeft, deactiveert het firewall- en antivirussystemen, waarna het een Trojaans paard installeert die bijhoudt wat de pc-gebruiker intoetst. Wanneer de gebruiker informatie zoals paswoorden of creditcardnummers intikt, worden deze gegevens opgeslagen, die vervolgens van afstand gelezen kunnen worden. Bovendien verspreidt het virus zich via het adresboek van e-mail-programma’s en via netwerken.
Wie Internet Explorer 6 gebruikt, is in principe beschermd tegen doorsturen via e-mail. Bugbear maakt gebruik van het iframe-probleem in het beveiligingssysteem van Explorer. Hiervoor is al sinds maart 2001 een patch beschikbaar bij Microsoft. "Het is onvoorstelbaar dat virussen hier nog steeds misbruik kunnen maken", zegt Mark Toshack van MessageLab. Ook het befaamde Klez-virus maakt gebruik van deze kwetsbaarheid. "Klez voert nog steeds onze lijst van meest verspreide virussen aan", meldt Kasperky Labs. "Het is dus niet onwaarschijnlijk dat het nieuwe virus evenveel schade zal aanrichten."
Het nieuwe virus tast alleen Windows-pc’s aan. Mactinosh, Unix en Linux ondervinden geen last van het virus. De worm werd afgelopen weekend ontdekt. De meeste leveranciers van antivirussoftware hebben nieuwe virusdefinities ter beschikking gesteld.
Alsof het al niet genoeg is, dook gisteren nóg een nieuw virus op, Opasoft of Opaserv genoemd. Ook hier gaat het om een combinatie van worm en Trojaans paard. In het geval van Opasoft maakte het Trojaans paard zelf een verbinding naar een site waar updates van het virus gedownload werden. Deze site is intussen gesloten, zodat dat deel van het virus niet meer actief is. Opasoft installeert zich als ‘scrsvr.exe’ in het Window-systeembestand. Ook voor Opasoft zijn al oplossingen beschikbaar bij de leveranciers van antivirussystemen.
even een reactie op opasoft,ben zelf besmet met dit virus wat zich op 1 of andere manier vanzelf weer terug kopieerd,zelfs na het terug zetten van een backup incl. root mocht dit niet helpen.
heb zo het idee dat ze je pakken op je IP adres.
In nieuwsgroepen is te lezen dat er zelfs mensen zijn die hun harddisk feformateerd hebben en na dat ze met hun nieuwe windows het internet kiezen binnen 15 min weer besmet zijn.
ben al 3 dagen bezig maar weet hier geen oplossing voor.
Graag zou ik wat meer willen weten (virusalert weet het ook niet).
MvG John