image

Irok en Kak wormen verspreiden zich wereldwijd

donderdag 30 maart 2000, 16:52 door Redactie, 0 reacties

F-Secure Corporation waarschuwt
computergebruikers voor twee nieuwe e-mailwormen die zich op dit moment vanuit verschillende locaties in de wereld snel verspreiden. De Irok en Kak wormen verspreiden zich beide via e-mail als elektronische kettingbrieven,
zeer overeenkomstig met de manier waarop het beruchte Melissa-virus dit precies een jaar geleden deed. F-Secure Anti-Virus beschermt gebruikers
tegen deze nieuwe bedreigingen.

Technisch gezien werken de Irok en Kak wormen op zeer verschillende
manieren, maar ze verspreiden zich beide via Microsoft Outlook e-mail en
zijn nu reeds zeer wijdverspreid. Het grootste verschil tussen beide wormen
is dat Irok binnenkomt via een attachment met de naam IROK.EXE, terwijl Kak
binnenkomt in een normale e-mail waar, op het eerst gezicht, geen attachment
bij zit.

Beide wormen zijn een gevaar voor Microsoft Windows gebruikers en beide
wormen verspreiden zich via de Microsoft Outlook e-mail applicatie.

De Irok worm verspreidt zich als een programma genaamd IROK.EXE van
10001-bytes. Het werkt onder Microsoft Windows 95, 98, NT en 2000. De worm
kopieert zich via e-mail wanneer Microsoft Outlook beschikbaar is. De worm
werkt niet met Outlook Express.

Wanneer IROK.EXE wordt geopend, verandert de worm het systeem zo dat wanneer
de machine een volgende keer wordt gestart, de worm naar 60 e-mail adressen
uit het Outlook adresboek een e-mailbericht stuurt. Deze adressen kunnen van
individuele personen zijn maar het kunnen ook groepen adressen zijn (zoals mailing-lists).

Het bericht dat de worm verspreidt ziet er als volgt uit:

From: (naam van de geïnfecteerde gebruiker)

To: (willekeurig e-mail adres uit het adres boek)

Subject: I thought you might like to see this.

Text: I thought you might like this. I got it from paramount pictures
website. It's a startrek screen saver.

Attachment: IROK.EXE

Het virus probeert ook de mIRC chat-client te lokaliseren en zal proberen om
dit aan te passen om zichzelf via chat-kanalen te verspreiden. Tevens zal de
worm COM en EXE programma-bestanden op de locale harde schijf infecteren.

Uiteindelijk zal het virus een lang bericht op het scherm laten zien en zal
het proberen bestanden op de harde schijf te overschrijven.

De Kak worm is geschreven in Javascript. Het werkt bij Engelse en Franse
versies van Windows 95/98 maar het werkt niet onder Windows NT of Windows
2000. Kak kopieert zich verder via e-mail, maar slechts wanneer Outlook
Express 5.0 is geïnstalleerd ? het werkt niet met de normale Microsoft
Outlook.

De worm gebruikt bekende zwakke punten in de beveiliging van Outlook Express
om zich te openen wanneer een e-mailbericht wordt bekeken. Wanneer de
gebruiker een geïnfecteerd e-mailbericht ontvangt en opent, of het bericht
bekijkt in de preview pane, past de worm het systeem zo aan dat bij een
volgende start van de machine de standaard e-mail signature van de
eindgebruikers wordt vervangen door een HTML bestand dat geïnfecteerd is
door het virus.

Het resultaat is dat ieder e-mailbericht daarna de worm zal bevatten en zo
de machine van alle ontvangers zal besmetten zodra het bericht wordt geopend
in Outlook Express.

De Kak worm activeert op de eerst dag van iedere maand wanneer de machine na
17:00 uur opnieuw wordt opgestart. Op dat moment zal het virus het volgende
bericht laten zien:

Kagou-Anit-Kro$oft say not today!


Daarna zal de worm Windows afsluiten maar er wordt geen permanente schade
aangericht.

Het Outlook Express beveiligingslek dat door deze worm wordt misbruikt kan
worden afgesloten door "Active Scripting" in Outlook Express Preferences uit
te zetten. Microsoft [NASDAQ: MSFT] biedt tevens een update om dit probleem
op te lossen. De update is beschikbaar sinds augustus 1999.

"Het is verontrustend om te zien dat virusschrijvers met hun creaties
onschuldige buitenstaanders blijven lastig vallen," zegt Mikko Hypponen,
Manager Anti-Virus Research bij F-Secure Corporation. "De virusschrijvers
hebben met het schrijven van virussen absoluut geen voordeel, eerder het
tegenovergestelde. Zij hebben duidelijk niets geleerd van wat er met de
schrijver van het Melissa-virus is gebeurd."

David L. Smith, de schrijver van de Melissa e-mailworm die vorig jaar de
wereld rond ging (28 maart, 1999), heeft schuld bekend aan tweedegraads
beschuldiging van computerdiefstal in december 1999 in het New Jersey
Superior Court. Hij kan vijf tot tien jaar gevangenisstraf krijgen en een
boete van $150.000.

Zowel de Irok als de Kak worm kunnen worden gestopt met up-to-date
anti-virussoftware. F-Secure Corporation heeft de detectie van deze wormen
toegevoegd aan de laatste versie van F-Secure Anti-Virus.

Gratis evaluatie-software van F-Secure Anti-Virus is verkrijgbaar op:
http://www.F-Secure.com/gallery/

Verder technische informatie en screenshots van de wormen zijn verkrijgbaar
op:
http://www.F-Secure.com/virus-info/v-pics/

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.