Virusbestrijders trekken aan alarmbel over SCO-virus

Valt aan via e-mail en KaZaA

27 januari 2004 | Jamie Biesemans Zowat elk antivirusbedrijf stuurt stevige waarschuwingen over een nieuw virus de wereld in. MyDoom of Novarg blijkt dan ook op korte tijd zeer welig te tieren en heeft het gemunt op de website van softwarefirma SCO. Die heeft wel meer last, nadat het bedrijf licentiegeld begon te eisen voor het gebruik van Linux.

Over de naam van het nieuwe virus is er nog discussie, over de impact al heel wat minder. Zowel F-Secure, McAfee, Panda Software als Symantec beschouwen MyDoom, Novarg of Shimgapi als een ernstige bedreiging voor thuis- en zakelijke gebruikers. Op korte tijd blijkt het wereldwijd duizenden pc's te hebben besmet. Zo heeft MessageLabs in de voorbije twee dagen 270.000 MyDoom-mails geblokkeerd, voornamelijk in de V.S., wat een hoog aantal is.

Het virus is succesvol omdat het via twee heel verschillende wegen een pc aanvalt. Meer klassiek is dat MyDoom zich verbergt in een bijlage van een e-mail met een onderwerp en inhoud dat sterk kan uiteenlopen. Enkele voorbeelden van onderwerpen zijn "Error", "hello", "hi" of - meer verraderlijk - "Mail Transaction Failed" of "Mail Delivery System". In het bericht staat tekst als "The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment." of "Mail transaction failed. Partial message is available.", waardoor het op een foutbericht van een mailserver lijkt.

Hierdoor zijn gebruikers misschien sneller geneigd om op het bijgevoegde bestand te klikken. Ook de naam is heel veranderlijk; en dankzij de keuze voor bepaalde extensies (.pif en .scr, bijvoorbeeld) opent het bestand automatisch bij het lezen van de virusmail op oudere mailprogramma's.

MyDoom probeert zich ook via KaZaA te verspreiden. Dat doet het door een kopij van zichzelf achter te laten in de gedeelde folder van het ruilprogramma. Mogelijke namen zijn winamp5, icq2004-final, activation_crack, strip-girl-2.0bdcom_patches, rootkitxp, office_crack en nuke2004.

Als een pc besmet raakt, toont het virus een Kladblok-tekstdocument gevuld met onleesbare lettertekens. Ondertussen kopieert het zichzelf onder de naam 'taskmon.exe' naar de System-folder van Windows. Het virus zal vanaf dan altijd samen met Windows opstarten.

Erger is dat MyDoom een achterdeur opent op poorten 3127 tot 3198, waardoor een aanvaller toegang kan krijgen tot gegevens op een pc of netwerk. "Daarnaast kan de backdoor bestanden downloaden en uitvoeren (zichzelf updaten en nieuwe commando's krijgen)", waarschuwt Symantec Security Response. Een firewall met een blokkering op dit poortbereik kan alvast voorkomen dat MyDoom met het Internet communiceert.