Gezipte foto's bevatten nieuw virus

Dumaru.y brengt achterdeur aan

26 januari 2004 | Jamie Biesemans De Britse virusbestrijder MessageLabs heeft het voorbije weekend een groot aantal mails met een nieuwe variant van het Dumaru-worm geblokkeerd. Zoals de meeste virussen tegenwoordig vermomt het malafide programma zich in een mail met een gestolen afzenderadres. Je kan het virus herkennen via het bijgeleverde bestandje myphoto.zip.

Het oorspronkelijke Dumaru-virus was dankzij een vermomming, waardoor het virus leek op een patch afkomstig van Microsoft, relatief succesvol. Veel mensen liepen in de val en voerden het bijgevoegde bestandje uit, wat leidde tot de installatie van een programma dat alle toetsinslagen registreerde.

Dumaru.y bevat mogelijk ook een keylogger of een achterdeur waardoor een hacker achteraf toegang kan krijgen tot een besmette pc. Eigenlijk gebeuren er twee dingen: poort 2283 wordt geopend als TCP-proxy, terwijl via poort 10.000 een FTP-server draait die toegang geeft tot alle bestanden op de harde schijf van een pc. Gelukkig lijkt deze variant voorlopig relatief zeldzaam.

De Dumaru-variant is te herkennen aan het onderwerp "Important information for you. Read it immediately !" en de boodschap "Hi! Here is my photo, that you asked for yesterday.". Problemen zijn er pas als myphoto.jpg.exe in het bijgevoegde bestand, myphoto.zip, wordt geopend. Dat het over een EXE- en niet een JPG-bestand gaat, wordt verhuld door tussen de .jpg- en .exe-extensie 56 spaties aan te brengen. Lees meer artikels over : dumaru, patch, -----

bron: ZDNet