Nieuwe worm vernietigt alle bestanden in 20 seconden

vbimport

#1

Nieuwe worm vernietigt alle bestanden in 20 seconden

Geplaatst op: 19 mei 2000, 12:53 uur

Vrijwel alle anti-virusmakers waarschuwen voor een nieuwe, destructieve worm die de computer
onklaar maakt. 

Door Joris Evers

"Alles op de computer wordt vernietigd", zegt het Symantec Anti-Virus Research Center
(SARC). "Dit is de nachtmerrie-versie van I Love You", verklaart Computer Associates. "In 20
seconden kan het een machine onbruikbaar maken."

Donderdagavond werd de nieuwe worm voor het eerst ontdekt. Het gevaar arriveert in de
mailbox met een leeg e-mailbericht, met als afzender vrijwel altijd een bekende. Het bijgevoegde
bestand heeft - net als het bekende I Love You - de extensie .vbs.

Wanneer het attachment wordt geopend, begint het virus alle bestanden op de computer en het aangesloten netwerk te
overschrijven, de bestandsgrootte wordt daarbij gereduceerd tot nul. Volgens de anti-virusmakers is er dan geen redden
meer aan. Het besturingssysteem moet opnieuw worden geïnstalleerd.

Muterende worm
De worm maakt het virusbestrijders niet makkelijk. Iedere keer dat het zichzelf doorstuurt, net als bij de Love Bug via het
adresboek van Outlook, muteert het. Doordoor worden standaard virusscanners om de tuin geleid. Voor
computergebruikers is het daardoor ook moeilijker de worm te herkennen.

Het muteren gebeurt op drie plekken. Eerst wordt de onderwerpregel van het e-mailbericht gewijzigd. Het virus selecteert
een willekeurig bestand op de computer en plaatst daarvoor: 'FW:'. Veel mailprogramma's gebruiken dit als
standaardafkorting bij het doorsturen, ook wel forwarden, van e-mail.

Vervolgens wordt de naam van het attachment veranderd in de geselecteerde bestandsnaam. Daaraan wordt de extensie
.vbs toegevoegd.

Om het nog lastiger te maken voor de virusbestrijders wordt het aangehangen bestand vergroot met wat extra tekst.

Niet wijdverspreid
Volgens de diverse softwarebedrijven is de nieuwe worm nog niet wijdverspreid. Een klant van virusbestrijder Trend
Micro trof de worm aan op 5.000 computers. Onbekend is of de gebruikers de worm ook hebben geactiveerd.
Symantec meldt dat enkele klanten in Israël en de VS het vernietigende mailtje hebben ontvangen.

Symantec geeft de nieuwe plaaggeest de naam VBS.Loveletter.FW.A. De Britse anti-virusmaker Sophos noemt het
VBS/NewLove-A. Volgens Symantec is de worm echter geen nieuwe versie van I Love You. Hoewel beide zijn
geschreven in de Visual Basic Scriptingtaal en zich verspreiden via het mailprogramma Outlook, verschilt de broncode.

Microsoft heeft al een update van Outlook aangekondigd. Volgende week wordt die beschikbaar. Volgens Symantec is
die update afdoende om wormen als deze te detecteren.

Alle fabrikanten van anti-virussoftware werken aan een tegengif voor de nieuwe worm.
http://www.sarc.com/


#2

hmmmmm stopt toch niet na update zullen er weer nieuwe komen

strijd tegen virri makers is lang en zal waarschijnlijk altijd gewonnen worden door de makers zelf aangezien anti4ussen altijd nakomen en soms zeer lang enzo

<A HREF=“http://thereds.virtualave.net” TARGET=_blank> </A>


#3

Dit schreef de HCC

Er waart wederom een kwaadaardig virus rond. Het virus kan grote schade
toebrengen aan de computer. Dit virus is moeilijker te herkennen dan het
‘I Love You’ virus van enkele weken geleden. Symantec noemt het nieuwe
virus VBS.Loveletter.FW.A. Een andere anti-virusmaker (Sophos) noemt het
VBS/NewLove-A.

Het virus Je krijgt een leeg e-mailbericht van een bekende toegestuurd.
Het bijgevoegde bestand heeft de extensie .vbs.

Het virus wordt doorgestuurd via het adresboek van Outlook. Je ontvangt
dan een leeg e-mailbericht van een bekende. Het bijgevoegde bestand
heeft de extensie .vbs.
Iedere keer dat het zichzelf doorstuurt muteert het. Daarom is het
moeilijk het virus te herkennen.
Het muteren gebeurt op drie plekken:

  1. de onderwerpregel van de mail. Een willekeurige bestandsnaam wordt
    van de computer geplukt en wordt voorafgegaan door ‘FW:’.
  2. De naam van het attachment wordt gewijzigd, en hieraan wordt de
    extensie .VBS toegsvoegd.
  3. Het attachment wordt vergroot door extra toegevoegde tekst.

Let dus op de extensie .vbs bij het bekijken van mail. Open deze niet!!
Aan een tegengif wordt nog gewerkt.

Via Webprof - een mailinglijst voor webmasters - vonden we de volgende
tip om je computer enigzins te beschermen tegen een virus zoals het “I
LOVE YOU”- virus en tevens de meest recente variant van dit virus.
Het virus is gemaakt met behulp van Visual Basic Scripting en als de
ontvanger het virus opent door de attachment te openen, dan wordt de
Windows Scripting Host gestart. Dit is een programmaatje dat standaard
is geinstalleerd met Windows 98 en Windows 2000.
Via de volgende stappen is het mogelijk om deze instelling uit te
zetten.

Start
Instellingen
Configuratiescherm
Software
Windows Setup
Bureau Accessories (1x klikken)
Details
uitklikken Windows scripting host
OK

Meer over de precieze werking van een vbs virus is te vinden op http://www.antiviruspowercontrols.com/avcenter/wormen/monopoly.htm