Tweede MyDoom-virus valt Microsoft aan

Blokkeert toegang tot sites van virusbestrijders

29 januari 2004 | Jamie Biesemans Slechts enkele dagen na het verschijnen van het MyDoom-virus steekt een potentieel even virulente variant de kop op. Enkele details zijn verschillend, zoals het feit dat deze keer niet sco.com in het vizier wordt genomen, maar wel de website van Microsoft. De Amerikaanse overheidsdienst CERT waarschuwt dat ook deze MyDoom-variant zich snel verspreidt.

Qua opbouw lijkt MyDoom.b niet veel te verschillen van de eerste MyDoom-worm (ook Novarg). Ook dit virus arriveert in een mail die van een bekende afkomstig kan zijn, met een onderwerp en inhoud die op toevalsbasis uit een lijst wordt getrokken. De namen waarmee MyDoom.b zich vermomt op het KaZaA-netwerk zijn wel een beetje anders. Het CERT biedt een bloemlezing: attackXP-1.26, BlackIce_Firewall_Enterpriseactivation_crack, MS04-01_hotfix, NessusScan_pro, icq2004-final, winamp5, xsharez_scanner en zapSetup_40_148.

Wellicht het belangrijkste verschil tussen de a- en b-varianten is dat deze laatste een Denial-of-Service-aanval uitvoert op microsoft.com. Mogelijk zal een pc die besmet is met MyDoom.b ook sco.com bombarderen, als is daar op dit punt geen zekerheid over, zegt het CERT. Het Roemeense antivirusbedrijf BitDefender denkt wel dat het nieuwe virus een dubbel DoS-aanval uitvoert.

Geniepig is dat het nieuwe virus de toegang tot de sites van antivirus- en softwarefirma's blokkeert. Zo is het moeilijker om oplossingen te vinden die het onding van de pc kunnen verwijderen. Onder meer de sites van F-Secure, Kasperksky, McAfee, Microsoft, Sophos en Trend Micro worden door een aanpassing van het host-bestand onbereikbaar, rapporteert AVERT van Network Associates.

De b-variant vermomt zich ook als een ander bestand. In plaats van taskmon.exe kopieert MyDoom.b zich als explorer.exe en dtfmon.dll naar de Systeem-map van Windows. Het Trojaans paard-gedeelte van het virus opent dezelfde poorten én de - nieuwe - poort 10.080. Wellicht heeft de auteur dit element toegevoegd om beveiligingsmaatregelen te omzeilen. Beheerders en sommige ISP's hebben immers de poorten die door MyDoom.a werden geopend, preventief geblokkeerd. Dit houdt de verspreiding van het virus niet tegen, maar zorgt er wel voor dat het achterdeurcomponent niet kan worden uitgebuit.

Het computerbeveiligingsagentschap meldt verder dat hackers schijnbaar sleutelen aan tools om gemakkelijk de achterdeur te gebruiken die MyDoom op een pc installeert. Hiermee zou een aanvaller geheel automatisch op grote schaal besmette pc's kunnen opsporen en eigen programma's kunnen aanbrengen.

Voorlopig zijn er geen cijfers die aangeven hoe welig de nieuwe MyDoom-variant tiert. BitDefender-onderzoeker Mihai Neagu vreest het ergste: "Het lijkt, op basis van de grote hoeveelheid van de eerste versie die op dit punt door het Internet wordt gestuurd, dat veel gebruikers zonder het te willen een nieuwe grote uitbarsting zullen veroorzaken." Lees meer artikels over : virus, mydoom, novarg

bron: ZDNet