Nieuw virus gebruikt zelfde lek als Klez
Yaha verkrijgt e-mailadressen via ICQ en MSN Messenger
20 juni 2002 | Jasper Koning
Deze week is een nieuw virus ontdekt dat van dezelfde kwetsbaarheid in Outlook gebruik maakt als Klez. Deze worm heet Yaha.F en kan nieuwe slachtoffers vinden via de adreslijst van MSN Messenger, Yahoo! Pager en ICQ.
Klez is momenteel het meest voorkomende virus in de verschillende hitlijsten van antivirusbedrijven en heeft daarmee Sircam van de troon gestoten. Hoewel Yaha.F nog niet in de lijst voorkomt, maakt het virus van hetzelfde lek gebruik en is de kans dan ook groot dat ook dit virus wild om zich heen zal slaan. Omdat het kan putten uit een lange lijst van mogelijke onderwerpen is het moeilijk te herkennen. Mogelijke onderwerpen zijn bijvoorbeeld 'Who is ur Best Friend', 'Goldfish' of 'How sweet this Screen saver'. De volledige lijst van onderwerpen vind je in de virusomschrijvingen van de antivirusbedrijven.
De verschillende antivirusbedrijven hebben allemaal een eigen, licht afwijkende naam voor de worm. Symantec heeft het over W32.Yaha.F@mm, Trend Micro houdt het op Worm_Yaha.E, McAfee spreekt van W32/Yaha.g@MM en CentralCommand heeft het ten slotte over Worm/Lentin.F. Net zo wisselend als de onderwerpregel en de naam van het virus is de bijlage waar het virus zich daadwerkelijk in schuilhoudt. De naam van deze bijlage is samengesteld uit één van de volgende mogelijkheden:
resume, biodata, dailyreport, mountan, goldfish, weeklyreport, report of love. Die naam wordt gevolgd door één van deze valse extensies:
MP3, XLS, WAV, TXT, JPG, GIF, DAT, BMP, HTM, MPG of MDB. Tot slot volgt nog de echte extensie:
BAT of SCR.
Het aantal mogelijke onderwerpregels van het virus blijkt toe te nemen. Op de redactie van ZDNet ontvingen we inmiddels een exemplaar van het virus met een Nederlandstalige onderwerpregel: 'Afwassen tijdens de lentemarkt'. De bijlage bij de e-mail heeft dezelfde naam en de dubbele extensie .jpg.pif. Ook een andere Nederlandstalige versie van het virus kwam binnen met flarden van een discussie uit MSN Messenger in de body van het e-mailbericht.
Net zoals Klez richt Yaha zich op Windows-systemen met Internet Explorer en Outlook en maakt het gebruik van een eerder ontdekte
kwetsbaarheid die een hacker toelaat om een HTML-bericht uit te rusten met een bijlage die automatisch wordt uitgevoerd als de e-mail wordt geopend. Als het virus wordt uitgevoerd, kan er een berichtvenster verschijnen met teksten als 'Ur My Best Friend!!', 'Config' of 'I like U very much!!'. Verder kan het virus een screensaver installeren en probeert het diverse antivirusprogramma's en andere applicaties af te sluiten.
Tot slot probeert Yaha zichzelf te verspreiden via adressen uit het Microsoft Windows-adresboek, MSN Messenger, ICQ en Yahoo! Pager. Ook kijkt het in bestanden van Hotmail. Versturen doet het via de standaard SMTP-server. Om zichzelf op grote schaal te verspreiden kopieert Yaha zich in de map 'TEMP'.
Lees meer artikels over :
yaha, worm, virus
bron: ZDNet
