Symantec biedt remedie voor W32.Kriz/W32.hllw.bymer.worm

Symantec waarschuwt computergebruikers voor
een nieuw wormvirus. Dit wormvirus combineert de destructieve payload
van het W32.Kriz-virus met de zeer besmettelijke worm
W32.hllw.bymer.worm. Het hybridevirus W32.Kriz/W32.hllw.bymer.worm zal
op eerste kerstdag actief worden. Het tracht de BIOS van de computer uit
te schakelen, waardoor het systeem niet meer kan worden opgestart. Bij
infectie zal in de meeste gevallen de hardware moeten worden vervangen.

André Post, Senior Researcher van het Symantec AntiVirus Research Center
(SARC) in Leiden: ?W32.Kriz/W32.hllw.bymer.worm is een hybridevirus. Dit
type virus ontstaat wanneer een virus een computer aanvalt, die reeds is
geïnfecteerd door een ander virus of worm. Het resultaat is meestal een
virus dat de lastigste eigenschappen van beide 'ouders' combineert. Kriz
is een virus dat zich langzaam verspreidt, maar zeer destructief is.
Daarentegen is Bymer een worm dat snel zijn weg vindt naar andere
computers. Wanneer de virus en de worm worden samengevoegd ontstaat er
een wormvirus dat zeer destructief en besmettelijk is.?

Symantec adviseert gebruikers van Norton AntiVirus de meest recente
virusdefinities te downloaden via LiveUpdate of van
www.symantec.com/avcenter/download.html. Verder dienen gebruikers de
functie AutoProtect aan te zetten. Voor degenen die geen Norton
AntiVirus gebruiken, is op www.symantec.com/avcenter een gratis
detectie- en reparatietool beschikbaar. De tool is een standalone
executable dat zonder Norton AntiVirus kan worden geïnstalleerd De tool
zal in het geheugen en op de harde schijf op zoek gaan naar infecties
van de virussen Kriz en bymer en deze verwijderen.

Volgens Post zijn consumenten en kleine bedrijven het meest vatbaar voor
het nieuwe wormvirus. 'Dankzij virusuitbraken als Melissa en LoveLetter
zijn grote bedrijven zich bewust van virusdreigingen. Daarom hebben zij
hun Internetbeveiliging sterk verbeterd. Wij verwachten dat juist de
meer onervaren PC-gebruikers en degenen die hun virusdefinities zijn
vergeten te actualiseren, deze vervelende kerstverrassing ontvangen.'

Eigenschappen van W32.Kriz

W32.Kriz is een Windows 9x/NT-virus dat Portable Executable (PE)
Windows-bestanden infecteert. Het virus installeert zich in het geheugen
om elk bestand te besmetten dat door de gebruiker of door applicaties
wordt geopend. Bovendien verandert het virus het KERNEL32.DDL-bestand,
een essentieel operating system-file. Dankzij deze wijziging kan het
virus zich door het gehele systeem verspreiden. Daarnaast tracht het
sommige PE-bestanden te besmetten, waardoor het noodzakelijk wordt deze
bestanden te vervangen door schone back-ups of ze opnieuw te
installeren.

Payload

Op 25 december 2000 tracht het wormvirus de BIOS van de computer uit te
schakelen. Wanneer het hierin slaagt, kan de computer niet meer worden
opgestart. Dit heeft in de meeste gevallen tot gevolg dat de hardware
moet worden vervangen. Het wormvirus zal bovendien de bestanden
overschrijven die op alle beschikbare drives staan, inclusief drives die
via het netwerk beschikbaar zijn, floppydrives en RAM disks. De payload
van W32.Kriz/W32.hllw.bymer.worm is vergelijkbaar met die van het
W95.CIH-virus.

SARC

Het Symantec AntiVirus Research Center (SARC) is een van de grootste
teams virusexperts ter wereld. Met vestigingen in de Verenigde Staten,
Japan, Australië en Nederland bestrijdt SARC virussen 24 uur per dag,
zeven dagen in de week. Wanneer een nieuw computervirus opduikt, zorgt
SARC voor detectie van het virus en herstel van de schade die het virus
toebrengt. Doel van SARC is het snel aanbieden van wereldwijde remedies
voor computervirussen, pro-actief onderzoek, het ontwikkelen van
technologieën die virusdreigingen ongedaan maken en het stimuleren van
veilig computergebruik door het algemene publiek.