Worm virus vermomt zich als bericht systeembeheerder

Nieuw virus grijpt snel om zich heen

De worm, die wordt aangeduid als 'Mimail', probeert een zwakke plek in Internet Explorer te misbruiken waardoor het mogelijk is de geÔnfecteerde machine een script te laten uitvoeren. Vervolgens probeert het virus dit script te gebruiken om zichzelf massaal per e-mail te verzenden, zodat mailservers kunnen vastlopen en het dataverkeer op netwerken vertraging oploopt. Symantec, leverancier van beveiligingssoftware, heeft dit bevestigd.

De worm begon zich afgelopen vrijdag snel te verspreiden op pc's in de Verenigde Staten, zo blijkt uit data van de Britse e-mailprovider MessageLabs. Dit bedrijf baseert zijn cijfers op het aantal exemplaren van de worm dat door de e-mailservers van zijn wereldwijde klanten is tegengehouden. Op het moment van schrijven werd de worm al ruim 52.000 keer geblokkeerd, voornamelijk in de VS (61 %) en Groot-BrittanniŽ (11 %).

Op maandagmiddag was Mimail ook koploper in de lijst van MessageLabs, gerangschikt op basis van het volume van de bedreiging. Daarmee verslaat de nieuwkomer zelfs de vaste koplopers van de afgelopen weken: Klez.H, Sircam.A en Yaha.E.

De verschijning van Mimail is met name verontrustend omdat de angst van overheids- en justitiŽle instanties voor een mogelijke massale internetaanval groeit. De Amerikaanse federale overheid waarschuwde vorige week al voor een wijdverspreid lek in Windows dat voor een dergelijke aanval kan ingezet worden.

Het e-mailtje met de worm heeft de woorden "your account" als onderwerp, aldus Symantec. De tekst van de boodschap luidt: "Hello there, I would like to inform you about important information regarding your email adress. This email adress will be expiring. Please read attachment for details." Het bericht is ondertekend met "Best regards, Administrator", en bevat een bijlage genaamd "message.zip" die de kwaadaardige code bevat.

Deze methode is enigszins gelijk aan eerdere mass-mailing virussen, vertelt Sharon Ruckman, senior director bij Symantec Security Response. Het gevaarlijke van deze worm is de manier waarop het bericht de gebruiker wil overhalen de bijlage te openen. "Inspelen op het menselijk gedrag is serieuzer", vindt Ruckman. "Je denkt dat de beheerder van je eigen domein het bericht heeft verstuurd, of dat nu je bedrijf is of je internet service provider."

Ruckman merkt verder op dat de code voor het massaal verzenden van de worm in een HTML-bestand is gestopt. Dit bestandstype wordt normaal gesproken niet geassocieerd met mogelijke virussen. De Symantec-woordvoerster raadt bedrijven aan de bijlagen al op de mailserver te verwijderen of berichten met de woorden "your account" in de onderwerpregel te blokkeren.

06/08/2003

Bron : ZDNet

Archief - Home