Hoe raak ik het Yaha-virus kwijt?

Duiken in het Register

20 juni 2002 | Jamie Biesemans Hoe werkt het?
Yaha heeft het gemunt op Windows-systemen met IE en Outlook. Het maakt gebruik van een kwetsbaarheid die eind maart door Microsoft in een veiligheidsbulletin werd gesignaleerd. Die laat een hacker toe om een HTML-bericht uit te rusten met een attachment die automatisch wordt uitgevoerd als de e-mail wordt geopend. Ook als het wordt bekeken via het previewvenster in Outlook heeft een gebruiker het zitten.

Dat komt omdat er een fout optreedt in de afhandeling van MIME-headers, die informatie bevatten over ingebedde componenten in mails, zoals beelden. Het is mogelijk om via deze weg je mailprogramma te misleiden. Dat kan door bijvoorbeeld in de MIME-informatie te zeggen dat een bestand een WAV-geluidsbestand is, terwijl het eigenlijk gaat om een uitvoerbaar EXE-bestand. Dat is catastrofaal omdat bepaalde bestandstypes (onder meer WAV's, PIF's, SCR's, GIF's en JPEG's) in oudere Outlook-versies worden geopend zonder eerst toestemming te vragen aan de gebruiker.

Gelukkig dichten de nieuwste versies van Internet Explorer het lek, waardoor enkel systemen met Internet Explorer 5.01 (zonder Service Pack 2) of 5.5 kwetsbaar blijken. Overigens is dit identiek hetzelfde lek dat wordt misbruikt door het veel voorkomende Klez-virus.

Hoe voorkomen?
Een goede zet is het installeren van Internet Explorer 6 (maar geen Minimal-installatie) of IE 5.01/5.5 te patchen. De relevante patches vind je hier, ook voor de Nederlandstalige versie van IE. Een meer drastische methode is het afzetten van File Downloads in de veiligheidszone Internet (te bereiken via de opties van Internet Explorer).



Het is natuurlijk nog altijd het beste om vreemd uitziende mails gewoonweg niet te openen, ook al komen ze van mensen die je kent. Voor bijgevoegde bestanden gaat dat dubbel op.

Meer technisch aangelegde mensen kunnen Yaha-mails ook herkennen door de Properties/Eigenschappen van een mail te bekijken. Je krijgt die door in de inbox op een verdachte mail met de rechtermuisknop te klikken. Uit het menuutje kies je dan Properties of Eigenschappen, naargelang de taalversie.

In Outlook Express moet je kijken bij de tab Details, in Outlook in het Internet Headers-venster onderaan. Hierin verschijnt veel informatie over de mail, onder meer welke soort attachment de mail bevat. Als een bericht een verdacht bestandstype bevat (Content-Disposition:attachment; filename="bestandsnaam"), zoals bestandsnaam.MP3.SCR, kan het gaan om een virusmail.