MyDoom-virus houdt huis op Kazaa en mailservers

Aanvallen op SCO via besmette pc's
Alle antivirusbedrijven luiden de noodklok over een nieuw virus: Mydoom of Novarg blijkt huis te houden op Kazaa en duizenden mailservers en heeft het gemunt op de website van softwarefirma SCO. Dat bedrijf is al vaker het doelwit geweest, nadat het licentiegeld begon te eisen voor het gebruik van Linux.

Over de naam van het nieuwe virus is er nog discussie, maar over de impact zijn de virusbestrijders het wel eens. Zowel F-Secure, McAfee, Panda Software als Symantec beschouwen MyDoom, Novarg of Shimgapi als een ernstige bedreiging voor thuis- en zakelijke gebruikers. Op korte tijd blijkt het wereldwijd duizenden pc's te hebben besmet. Zo heeft MessageLabs in de voorbije twee dagen 270.000 Mydoom-mails geblokkeerd, voornamelijk in de V.S.

Het virus is succesvol omdat het op twee verschillende manieren een pc aanvalt. De klassieke aanpak is dat Mydoom zich verbergt in bijlage van een e-mail met een onderwerp en inhoud dat sterk kan uiteenlopen. Enkele voorbeelden van onderwerpen zijn "Error", "hello", "hi" of – meer verraderlijk – "Mail Transaction Failed" of "Mail Delivery System". In het bericht staat tekst als "The message cannot be represented in 7-bit ASCII encoding" of "Mail transaction failed.", waardoor het op een foutbericht van een mailserver lijkt.

Hierdoor zijn gebruikers sneller geneigd om op het bijgevoegde bestand te klikken. Ook de naam van deze is heel veranderlijk; en dankzij de keuze voor bepaalde extensies (.pif en .scr, bijvoorbeeld) opent het bestand automatisch bij het lezen van de virusmail op oudere mailprogramma's.

Mydoom probeert zich ook via Kazaa te verspreiden. Dat doet het door een kopie van zichzelf achter te laten in de gedeelde folder van het ruilprogramma. Mogelijke namen zijn winamp5, icq2004-final, activation_crack, strip-girl-2.0bdcom_patches, rootkitxp, office_crack en nuke2004. Als een pc besmet raakt, toont het virus een tekstdocument met onleesbare lettertekens. Ondertussen kopieert het zichzelf onder de naam 'taskmon.exe' naar de System-folder van Windows.

Erger is dat Mydoom een achterdeur opent op poorten 3127 tot 3198, waardoor een aanvaller toegang kan krijgen tot gegevens op een pc of netwerk "Daarnaast kan de backdoor bestanden downloaden en uitvoeren (zichzelf updaten en nieuwe commando's krijgen)", waarschuwt Symantec Security Response. Een firewall met een blokkering op deze poortrange kan alvast voorkomen dat Mydoom met internet communiceert.

De tweede payload of lading van het virus is vrij opmerkelijk. Als een geïnfecteerde pc na 1 februari wordt aangezet, wordt het systeem ingezet in een Denial-of-Service aanval op www.sco.com. Dat is de website van SCO, de firma die een groot deel van de openbrongemeenschap tegen zich in het harnas joeg door te beweren dat Linux vol steekt met gestolen code uit het Unix-besturingssysteem.

Het softwarebedrijf heeft daar de rechten op en eist daarom een schadevergoeding van een aantal Linux-bedrijven, zoals IBM. Bovendien zouden gebruikers van Linux bij SCO een licentie moeten nemen. Veel reactie vanuit de zakelijke wereld op de eisen is er nog niet.

In de voorbije maanden zegt SCO wel vaker het doelwit te zijn geweest van een DoS-aanval – al wordt door een deel van de internetgemeenschap getwijfeld aan de waarachtigheid van de claims over bepaalde incidenten.