RootkitRevealer 1.01

Op jacht naar malware

Download: rootkitrevealer.zip (276 KB)
Rootkits proberen op vele manieren malware (virussen, spyware, trojans) verborgen te houden voor virusscanners en antispywareprogramma's. Er zijn verschillende soorten: Persisent rootkits bijvoorbeeld activeren de malware elke keer als het systeem opnieuw wordt opgestart, tewijl memory-based rootkits een reboot niet overleven. RootkitRevealer is een geavanceerde tool die helpt rootkits te ontdekken. Het programma ontdekt de meeste bekende soorten, waaronder AFX, Vanquish and HackerDefender.

De interface kan Spartaans worden genoemd. Door op 'scan' te drukken doorzoekt de tool uw systeem op rootkits. In het scherm krijgt u vervolgens een lijst systeembestanden die als 'verdacht' worden bestempeld. Het account waaronder u de tool draait, moet toegang hebben tot alle systeembestanden, inclusief de back-upfiles. U kunt de tool daarom het best draaien als beheerder (Administrator account). Nadeel van de tool is dat het wel alle waarschijnlijke rootkits geeft, maar geen oplossing biedt. U kunt ze niet vanuit de tool verwijderen. Er kunnen bovendien ook 'onschuldige' bestanden tussen zitten. RootkitRevealer vraagt dus wel enige kennis van zaken. Er zijn twee versies van de tool: een voor de user interface en een voor de commandline. In het gelinkte zip-bestand zijn beiden ondergebracht. Meer informatie over rootkits kunt u vinden op www.rootkit.com. Windows NT 4 en hoger [freeware]

Singapore investeert stevig in cybersecurity

Beveiliging ICT-infrastructuur grote prioriteit


Met een geplande investering van 23 miljoen dollar zet Singapore cybersecurity hoog op de agenda. In de komende drie jaar wil het land zijn best doen om zijn netwerk- en communicatie-infrastructuur te beschermen tegen aanvallen van hackers en terroristen.

HetInfocomm Security Masterplan werd dinsdag geïntroduceerd door het ministerie van defensie van Singapore, dat veel ICT-bedrijven herbergt. Die grote afhankelijkheid van de economie op het internet is dan ook de drijfveer achter de forse investering in cybersecurity.

Centraal staat de oprichting van een National Cyber-threat Monitoring Center, een organisatie die het internet 24 uur per dag in de gaten moet houden. De experts zullen zich onder meer concentreren op wormen, virussen, phishing-fraude en hackaanvallen die een bedreiging vormen voor Singaporese bedrijven en burgers. Volgens gegevens van de overheid is de helft van de inwoners actief op het internet.

Op de lange termijn wil het land ook een benchmark ontwikkelen om de effectiviteit van security-producten te testen.

De 17,7 miljoen euro gaat niet uitsluitend naar de monitoractiviteiten van het centrum, dat met het CERT-team van Singapore gaat samenwerken. Een percentage van het geld wordt verdeeld over verschillende agentschappen van de Singaporese overheid. Ook is er een bedrag gereserveerd voor training en voorlichting.

Met een bijdrage van Eileen Yu, CNet Asia.

Cabir-virus bereikt de VS

Den Haag, 7.48 uur - Een computerbeveiligingsbedrijf heeft het eerste virus dat mobiele telefoons treft ook in de Verenigde Staten ontdekt. Het virus 'vreet' de batterijen van mobieltjes 'op'. Het gaat volgens directeur Mikko Hypponen van het Finse anti-virusbedrijf F-Secure om de eerste, relatief onschadelijke, 'infectie' die de mobiele telefonie in de VS treft.

Het virus, Cabir geheten, is afkomstig van de Filipijnen. De 'worm' was eerder al opgedoken in Singapore en Rusland en verspreidt zich via het draadloze communicatiesysteem Bluetooth. Het heeft zich imiddels verspreid over circa twaalf landen en werd vorige week voor het eerst opgemerkt in een elektronica- annex computerzaak in Santa Monica, Californië. De besmette toestellen waren geavanceerde Nokia 6600 toestellen die telefoon- en computerfuncties combineren.

De circa 1,5 miljard mobiele bellers in de wereld hebben tot nu toe niet de hinder die computergebruikers ervaren met via internet verspreide virussen. De telecombranche verwacht wel dat virussen vaker zullen opduiken maar vrezen nog geen toestanden die vergelijkbaar zijn met die van de pc's. Daarvoor is er volgens Hypponen en branchevertegenwoordigers een te grote verscheidenheid in toegepaste technologieën. F-Secure heeft een programma om de met Cabir besmette telefoons te reinigen. (anp)

Encryptiestandaard lijkt minder veilig te zijn

Den Haag, 9.30 uur - Drie Chinese wetenschappers hebben naar eigen zeggen een methode ontwikkeld waarmee het Secure Hashing Algorithm SHA-1 aanmerkelijk sneller gekraakt kan worden. Dat meldt de nieuwsdienst CNet. SHA-1 wordt veel gebruikt om documenten te waarmerken. Als het algoritme gekraakt kan worden, kan een document waarvan de authenticiteit gewaarmerkt is met SHA-1 vervalst worden.

Details van de kraakmethode van de Chinese wetenschappers zijn niet vrijgegeven. Maar door CNet geraadpleegde experts stellen dat de kraakmethode deugdelijk lijkt.

In de praktijk zal een kraak echter ook met deze methode niet echt eenvoudig zijn. De complexiteit van het vinden van een sleutel wordt volgens experts met een factor 2000 teruggebracht. Maar dat betekent dat het kraken van een sleutel nog steeds de inzet van duizenden krachtige computers vergt, als het tenminste in redelijke tijd moet gebeuren. Bovendien kan het dan nog alleen gedaan worden door de partij die het te vervalsen document geproduceerd heeft, stellen de experts. (Jelle Wijkstra)

'Nederlandse adsl-modems eenvoudig te hacken'

Chipsets onveilig volgens GeenStijl

De modems van zeker 80.000 Nederlandse adsl-gebruikers zijn eenvoudig te hacken. Dat meldt GeenStijl.nl. De modems kunnen worden platgelegd, beschadigd en gebruikt om frauduleuze sites te onderhouden.

En dit alles vanwege de beveiliging van de gebruikte Conexant-chipsets (onder andere van de merken E-tech en Sweex), die volgens GeenStijl "aan het kinderlijke grenst."

De website komt tot zijn bevindingen na onderzoek. Het liet bij klanten van een aantal adsl-providers de poorten scannen. Bij 6,7 procent bleek het achterliggende modem slecht beveiligd te zijn. Volgens GeenStijl komt dit landelijk neer op ten minste 80.000 adsl-gebruikers.

Kabelmodems en modems van Alcatel (die onder andere door KPN worden geleverd) zijn vooralsnog veilig bevonden. Een provider die volgens GeenStijl veel onveilige modems levert, is Versatel. 11 procent van de door hen geleverde modems zou onveilig zijn.

"Dit is absoluut niet waar", aldus Anoeska van Leeuwen, woordvoerder voor Versatel. "90 procent van onze modems zijn usb-modems en op deze modellen is het probleem sowieso niet van toepassing. We hebben bovendien nooit één klacht gehad over een gehackt modem."

Van Leeuwen erkent dat er in het verleden wel modems zijn uitgebracht waarvan een poort openstond, maar benadrukt dat het om een kleine minderheid gaat. Bovendien zou Versatel die mensen aan het traceren zijn om ze de poort alsnog te laten dichtzetten.

"GeenStijl beweert dat al onze nieuwe klanten kwetsbaar zijn, maar dat slaat nergens op. Bij alle nieuwe modems staan de poorten dicht en is hacken dus onmogelijk", aldus Van Leeuwen. Versatel zegt op zijn minst een rectificatie te gaan eisen van GeenStijl.

Bescherming
Maar kunnen internetters zichzelf niet beveiligen? Een firewall helpt niet, aangezien die op de pc staat en het modem zich tussen het internet en de pc in bevindt.

Wie een onveilig modem heeft, moet het standaard wachtwoord van het modem wijzigen. Volgens GeenStijl staat echter in handleidingen van providers vaak niet hoe dit moet, waardoor met name onervaren internetters het slachtoffer kunnen worden.

Versatel gaat naar aanleiding van het bericht alle klanten per e-mail laten weten hoe ze het standaard wachtwoord kunnen veranderen, maar blijft erbij dat de hele zaak "een storm in een glas water" is.

Macrovision komt met nieuwe dvd-kopieerbeveiliging

Macrovision heeft aangekondigd dat het een nieuwe kopieerbeveiliging ontwikkeld heeft die 97 procent van de kopieersoftware voor dvd's kan verhinderen zijn werk te doen, zonder dat dvd-spelers problemen krijgen met het afspelen van de schijfjes. Vooral dit laatste is een belangrijke hinderpaal geweest tijdens de ontwikkeling van de nieuwe technologie, nadat DVD Jon erin slaagde de oorspronkelijke kopieerbeveiliging te omzeilen. Er zijn reeds miljoenen stand-alone dvd-spelers in omloop en deze moeten overweg kunnen met schijfjes die met de nieuwe technologie beveiligd worden. Volgens Macrovision lijdt de filmindustrie door het kopiëren van films jaarlijks ongeveer een miljard dollar schade op een totale omzet van 27,5 miljard dollar uit de verkoop en verhuur van dvd's.

Macrovision is zich ervan bewust dat sommige kopieertechnieken niet te stoppen zullen zijn, maar wanneer de inspanning te groot wordt voor het bekomen resultaat zal men wel de incidentele gebruiker tegenhouden. 20th Century Fox zou naar verluidt al bezig zijn met het evalueren van Macrovisions beveiliging, RipGuard genaamd. Vermoedelijk zullen dit jaar nog verschillende Hollywood-studio's RipGuard-dvd's lanceren, maar Macrovision wilde niet kwijt welke studio's dat zouden zijn. Hoewel de filmmaatschappijen het recht hebben onkopieerbare schijven te produceren, negeert men daardoor wel de vraag van de consument om backups van zijn dvd's te kunnen nemen. Sommigen zijn dan ook van mening dat de gebruiker toch gewend is uiteindelijk te krijgen wat hij wil, zodat volgens hen elke nieuwe kopieerbeveiliging vechten tegen de bierkaai is.

Philips ontwikkelt digitale vingeradruk voor bestanden

Films op afstand identificeren

Philips promoot momenteel een techniek om bestanden te voorzien van een unieke vingerafdruk, die rechthebbenden in stelt staat om films of muziek op afstand te identificeren. Hoewel nog niet uitgekristalliseerd, kan het systeem een belangrijk wapen worden in de strijd tegen de illegale ruilhandel in films.

De vingerafdruk is al tijdens de download te controleren, wat betekent dat downloads in een vroegtijdig stadium zijn te blokkeren. Soortgelijke technologie bestaat al voor audiobestanden, nadat oer-ruilplaats Napster in 2001 werd verplicht te filteren op auteursrechtelijk beschermd materiaal.

Adblock
Het bedrijf Audible Magic ontwikkelde daarna een soortgelijke technologie, die op diverse Amerikaanse universiteiten wordt ingezet om illegaal gekopieerde muziek te lokaliseren. De platenindustrie ziet zulke beveiliging het liefst zo snel mogelijk in ruilsoftware verwerkt.

Veel ruilbeurzen en software als BitTorrent halen bestanden in delen en niet in chronologische volgorde van diverse computers. Een moderne fingerprinting techniek moet desondanks in staat zijn films te herkennen, stelt Ronald Maandonks van Philips Nederland.

Maandonks werkt bij de afdeling die werkt aan automatische herkenning van muziek en films. Hij denkt dat de techniek eind dit jaar of begin 2006 al een stuk verder gevorderd is. "We zijn voorzichtig met voorspellingen over wat en wanneer", aldus Maandonks.

Een nadeel van de fingerprint-techniek is dat deze moet kunnen terugvallen op een database met eerder geregistreerde digitale vingerafdrukken. Om effectief te kunnen zijn, moet die database met miljoenen films en televisieprogramma's worden gevuld.

De filmindustrie zegt de ontwikkelingen met belangstelling te volgen, maar zich voorlopig te richten op het aanbrengen van watermerken, om zo de weg van een illegale kopie te kunnen volgen.

Met een bijdrage van John Borland, CNet

'Nederland populair doelwit bij cybercriminelen'

Vrijdag, 11 februari 2005 - Nederland behoort binnen Europa tot de populairste doelwitten van cybercriminelen. Het gevaar komt hoe langer hoe meer van professionele bendes.

Dit blijkt uit een Europees onderzoek dat is uitgevoerd in opdracht van beveiligingsbedrijf McAfee. Volgens het rapport heeft de Europese cybercriminaliteit zich de afgelopen jaren ontwikkeld van een hobby van computerfreaks vanuit hun slaapkamer naar een bezigheid van georganiseerde criminele bendes.

Zij hebben internet ontdekt als een aantrekkelijk speelveld om veel geld te verdienen. Bendes gebruiken internet niet alleen voor communicatie, zo stelt McAfee, maar ook voor het plegen van 'klassieke' misdaden als afpersing, fraude, witwaspraktijken, intimidatie en diefstal.

McAfee heeft met name aandacht voor zogenoemde botnets, computernetwerken van gekaapte pc's die op afstand kunnen worden bestuurd. Hiermee kan bijvoorbeeld een dos-aanval worden uitgevoerd. Dergelijke netwerken zijn voor nog geen honderd dollar per uur te huur.

Cybercriminialiteit zou inmiddels de snelst groeiende categorie van criminialiteit vertegenwoordigen in Europa. Samen met Groot-Brittannië, Frankrijk, Duitsland, Italië en Spanje wordt Nederland daarbij genoemd als favoriet doelwit voor de georganiseerde misdaad.

In Nederland is het gevecht tegen cybercriminaliteit momenteel onderverdeeld tussen de KLPD en zeven regionale groepen. Ons land bevindt zich door deze structuur in een 'minder sterke positie' dan andere landen bij het bestrijden, aldus McAfee. Wel zijn er plannen voor een nationaal centrum.

Adware infecteert explorer.exe met virustechnieken

Virussen en adware zijn niet meer uit elkaar te houden, nu de nieuwste variant van het 'Bube'-virus zelfs explorer.exe infecteert om daarna adware en trojans te gaan downloaden. Op Viruslist lezen we dat de hoeveelheid gevallen waarin computers besmet raken met infectueuze adware steeds groter wordt. 'Bube.d' is op dit moment het zich snelst verspreidende stuk adware. Dat explorer.exe, als vitaal onderdeel van Windows, het doel is, maakt het verwijderen van het virus een stuk moeilijker. Het simpelweg de toegang weigeren tot het proces is namelijk niet meer mogelijk.

Het virus maakt het voor zichzelf ook een stuk gemakkelijker om de adware binnen te krijgen, het begint door de beveiligingsinstellingen een stuk omlaag te schroeven. Eerder schreven we al dat adware virusachtig gedrag leek te gaan vertonen door ook bestanden te infecteren die verder niets met de adware te maken hadden. Nu zelfs systeemprocessen aangevallen worden, lijkt de synthese tussen virussen en adware met 'Bube.d' compleet.

Trojaans paard verwijdert Microsoft Antispyware

Bankash-A speurt naar online banking gegevens


Een nieuw trojaans paard heeft het niet begrepen op het antispywareprogramma van Microsoft. Bankash-A steelt niet alleen persoonlijke informatie, het verwijdert ook Microsoft Antispyware van de harde schijf. Antivirusexperts hebben Bankash-A al uitgeroepen tot het eerste virus dat de pijlen richt op Microsoft Antispyware, dat momenteel nog in bèta-fase verkeert.

Het trojaans paard onderdrukt alle waarschuwingsboodschapppen van Microsoft Antispyware en verwijdert vervolgens alle bestanden in de map van het antispywareprogramma. Net als alle andere trojaanse paarden probeert Bankash-A wachtwoorden te ontfutselen van Windows-gebruikers. Het heeft vooral interesse in de online banking gegevens van klanten van Britse banken als Barclays, Lloyds TSB, HSBC en Halifax.

Adblock
Graham Cluley, beveiligingsadviseur bij Sophos, verwacht dat Microsofts antispywareprogramma vaker het doelwit zal worden van virusschrijvers: "Zodra de software de bètafase ontgroeit en vaker op de computer van thuisgebruikers staat, zullen meer trojaanse paarden, virussen en wormen de werking ervan proberen te saboteren."

Antivirusbedrijf Sophos bedacht het trojaans paard met de naam Bankash omdat het klanten van online banken viseert en het bestand ash.dll neerplant op de harde schijf van een slachtoffer.

Met een bijdrage van Dan Ilett, ZDNet UK

Val voor spammers groot succes

E-mailadressen als lokkertjes

Project Honeypot, een ambitieus project om spam aan te pakken, gebruikt hi-tech wapens om spammers op te sporen en veroordeeld te krijgen. Centraal staat een digitale wespenval; de honingpot.

Deelnemers aan het project - die dienen te beschikken over eigen, te configureren webruimte - kunnen bij Project Honeypot gratis een stukje software ophalen. Wanneer dit op de webserver is geïnstalleerd, worden op een pagina regelmatig wisselende e-mailadressen getoond. Deze vormen een onweerstaanbaar lokkertje voor spammers, die met speciale software het internet afstruinen op zoek naar bruikbare mailadressen.


Spammers destilleren via deze crawlers mailadressen van potentiële klanten uit websites, fora, reactieformuleren en actieve sites (zoals weblogs). Adressen worden automatisch verzameld en daarna massaal aangeschreven. Wie reageert op spam, bevestigt dat het adres door een mens wordt uitgelezen en krijgt als dank nóg meer spam.

De door Project Honeypot als lokkertje geplaatste - nieuwe en unieke - mailadressen verdwijnen direct nadat ze door een crawler zijn geïndexeerd. Wie zo'n verdwenen adres op een later tijdstip nog steeds gebruikt, is per definitie een spammer.

De servers van Project Honeypot verwerken alle inkomende spam en de organisatie neemt automatisch actie tegen spammers en hun kwaadaardige crawlers. Een notoire spammer, Jeremy Jaynes, werd dankzij Project Honeypot opgespoord, gearresteerd en veroordeeld tot negen jaar cel. Nog niet eerder is een spammer tot zo'n hoge straf veroordeeld. Jaynes verstuurde gemiddeld tien miljoen (!) spamberichten per dag.

Het project, dat nog maar drie maanden actief is, boekt daarmee het eerste succes in een slepende oorlog tussen spammers, eindgebruikers en providers. Voor toekomstige successen wil het project zo veel mogelijk 'honingpotten' realiseren. Geïnteresseerden kunnen zich kosteloos aanmelden via de Project Honeypot-website.

Onkraakbare encryptie stap dichterbij

Versleutelen met licht

Het New Yorkse bedrijf Magiq Technologies brengt dit jaar een nieuwe productlijn op de markt die kwantumbeveiliging aantrekkelijk moet maken voor een groter publiek. Kwantumencryptie geldt als onkraakbaar.

Magiq Technologies zal voor haar nieuwe beveiligingsproducten chips gaan gebruiken van Cavium. Deze zullen een deel van de versleuteling gaan verzorgen die nu nog softwarematig gebeurt. Hierdoor neemt de encryptiesnelheid van de producten sterk toe; dat is nu nog een zwak punt van kwantumversleuteling.

Magiq Technologies en Cavium zullen bovendien beiden voorbeeldontwerpen gaan creeëren van netwerksystemen en -apparatuur voorzien van kwantumbeveiliging. Magiq verwacht dat netwerkleveranciers de configuraties zullen gebruiken voor hun toekomstige producten. "We hopen dat hierdoor de technologie sneller zal doorbreken", aldus Andy Hammond van Magiq.

Kwantumencryptie maakt gebruik van fotonen, de kleinste basisdeeltjes van licht, om beveiligde gegevens te versturen. De polarisatiefilter van de zender doet de fotonen in een bepaalde richting trillen en stuurt ze naar de ontvanger, die de reeks fotonen eveneens door een filter stuurt. Zender en ontvanger vergelijken voor elke bit de gemeten polarisatierichting en bepalen aan de hand daarvan de encryptiesleutel.

Kwantumbeveiliging steunt sterk op het Onzekerheidsprincipe van Heisenberg, een belangrijk principe in de kwantummechanica, dat stelt dat je niets kunt meten zonder het te veranderen. Wie de verstuurde boodschap probeert af te luisteren, verandert zo de richting van de fotonen en kan dus niets aanvangen met de onderschepte informatie. Dit betekent niet dat kwantumencryptie absoluut onkraakbaar is.

Toch is het onzeker of kwantumbeveiliging ingeburgerd zal raken. Experts wijzen er op dat beveiliging veel meer is dan een haast onkraakbare technologie. "Beveiliging is als een ketting: het is zo sterk als de zwakste schakel. Momenteel is encryptie de sterkste link; de rest - software, netwerken, mensen - is zwakker. Het heeft weinig zin om enkel de sterkste schakel nog sterker te maken," meent Bruce Steiner van Counterpane Internet Security.

Kwantumversleuteling is bovendien een dure aangelegenheid. Magiq verkoopt haar tweedelige oplossing voor 70.000 dollar. Het bedrijf telt hoofdzakelijk overheidsdiensten en universiteiten onder haar klanten. Door samen met Cavium standaarden af te spreken, hoopt het bedrijf de ontwikkelingskosten te doen dalen.

Met een bijdrage van Michael Kanellos, News.com

Peter R. de Vries en big bestrijden piraterij

Misdaadverslaggever Peter R. de Vries en een varkentje met een zonnebril gaan scholieren erop wijzen dat ze geen games mogen kopiëren.

"Een nieuwe vorm van criminaliteit neemt hand over hand toe." Aan het woord is Peter R. de Vries. Dit keer niet in zijn vertrouwde rol als misdaadverslaggever, maar als boegbeeld van een campagne tegen het kopiëren van games en andere software.

De NVPI, de brancheorganisatie van de entertainmentindustrie, gaf donderdagochtend de aftrap voor de campagne B.I.G. (Ban Illegale Games en Software). Doel is om de 'acceptatie van games- en softwarepiraterij duurzaam te verlagen'.

De NVPI richt zich daarbij met name op de jeugd. Uit onderzoek van de brancheorganisatie blijkt dat tweederde van de jongeren tussen 12 en 19 jaar het maken van kopieën van games en andere software als 'volstrekt normaal' beschouwd.

Peter R. de Vries kan erover meepraten. "Ik heb zelf twee kinderen die op de middelbare school zitten. Toen ik werd gevraagd voor deze campagne, heb ik eens op hun computer gekeken. Daar bleken ook programma's zonder licentie op te staan. Toen ik ze daar op aansprak, keken ze me verbaasd aan. 'Mag dat dan niet?'"
Opvoedkundig gesprek

Na een 'opvoedkundig gesprek' zijn de kinderen van De Vries er inmiddels van overtuigd dat het kopiëren van games niet mag. Maar er is nog een wereld te winnen volgens de misdaadverslaggever. "Op het schoolplein worden de mooiste en duurste games tegen afbraakprijzen aangeboden. In de meeste gevallen gebeurt dat niet uit kwaadwillendheid maar uit onwetendheid."

"Er wordt te laconiek tegen het probleem aangekeken", weet De Vries. "Als iemand bij de V&D een muis van vijfendertig euro steelt, dan wordt de politie erbij gehaald. Maar iemand die voor honderden euro's aan games kopieert, hoeft zich daar geen zorgen over te maken."

Volgens NVPI-directeur Paul Solleveld kost het kopiëren van games de industrie 'honderden miljoenen euro's en duizenden banen'. Negen van de tien jongeren wordt door familie en vrienden nooit aangesproken op het gebruik van gekopieerde games.
Aantal tonnen

Redenen genoeg om flink wat geld uit te trekken voor de B.I.G.-campagne die tot en met volgend jaar blijft lopen. Over het precieze bedrag hult de NVPI zich in nevelen. "Het is genoeg om de doelstelling te halen", zegt Wouter Rutten van de NVPI, om daar na enig aandringen aan toe te voegen: "In de eerste fase (voorjaar 2005) trekken we een aantal tonnen uit." Betekent dat een bedrag van twee miljoen euro voor de hele campagne? "Dat komt aardig in de buurt."

De NVPI gebruikt het geld onder meer voor advertenties in kranten en tijdschriften, commercials (met Peter R. de Vries op tv), de website bigweb.nl en de sponsoring van Niels van Tilborg, 'één van de zestien beste gamers ter wereld'. Mascotte van de campagne is een varkentje met een zonnebril op.

De doelgroep van de campagne blijkt na afloop van de persconferentie nog niet echt overtuigd. De commercial met Peter R. de Vries vinden ze wel aardig. Maar tot een gedragsverandering zal het niet leiden. "De games zijn veel te duur. Het kopiëren zal alleen maar erger worden."

Bropia-worm verspreidt zich via Messenger

Geen onbekende bestanden aannemen

Een variant van de Bropia-worm verspreidt zich momenteel via MSN Messenger, waarschuwen antivirusbedrijven. Een geïnfecteerde machine biedt zich via MSN aan alle contacten aan.


Dat gebeurt met behulp van de in Messenger ingebouwde bestandsoverdrachtsmodule. Wanneer een van de online contacten het bestand aanneemt en vervolgens ook start, raakt zijn pc geïnfecteerd, waarna het circus weer van voor af aan begint. Het is dus zaak goed op te letten welke bestanden je van Messenger-contacten accepteert en uitvoert.


Bropia-F, zoals deze variant is gedoopt, installeert een geavanceerd trojaans paard, dat de getroffen pc verandert in een zombie-machine die kan worden ingezet voor allerlei doeleinden - van gecoördineerde denial of service aanvallen tot het massaal versturen van spam.


Of een machine geïnfecteerd is geraakt, kan op een nogal bizarre manier worden nagegaan: in de hoofddirectory van de opstartschijf (meestal c:) bevindt zich een afbeelding met de naam "sexy.jpg", dat een gegrilde kip met bikini-afdruk voorstelt.


Antivirusbedrijven hebben hun virusdefinities inmiddels bijgewerkt en herkennen de F-variant van Bropia.