2min

Tags in dit artikel

, , ,

Momenteel word er een virus via e-mail verspreid, die door de kwetsbaarheid van de Internet Explorer een relatief simpele opmars kan maken. De worm genaamd Winevar is een zeer geavanceerde worm, die zeer vernietigend te werk kan gaan. Zoals vele virussen probeert het virus allereerst de virussoftware uit te schakelen, als deze al geinstalleerd is. En als of dat nog niet genoeg is, zal Winevar bestanden van je harde schijf proberen te wissen, en een DoS (Denial of Service) aanval uitvoeren. Men denkt dat het virus uit Zuid-Korea komt.

Het virus biedt zich aan via een e-mail met een variabel onderwerp en inhoud. Een afzender kan een bekende zijn, aangezien Winevar mailadressen plukt van een besmette pc. Voor inspiratie wordt er ook gekeken naar de gebruiker en organisatie die in de registratiegegevens van Windows staan. Soms is de afzender een bekend mailadres, maar staat er de misleidende naam ‘Antivirus’ bij.

Mogelijke onderwerpen van de besmette e-mails kunnen zijn: Re: AVAR(Association of Anti-Virus Asia Reseachers) of N`4? met daarbij de naam van de geregistreerde organisatie of Trand Microsoft Inc.. Het bericht zelf bevat de tekst AVAR(Association of Anti-Virus Asia Reseachers) – Report. Invariably, Anti-Virus Program is very foolish. of de naam van de geregistreerde gebruiker en organisatie in de besmette Windows-versie van waar de mail komt. Bij de mail zitten twee bijgevoegde bestanden, eentje met een CEO-extensie van 91 KB en één HTML-bestand van 1 KB.

Bij infectie haalt het virus heel wat fratsen uit. Eerst kopieert het zichzelf onder een variabele naam naar de Windows-folder en onder de naam Explorer.PIF naar de desktop. De volgende stap is het aanpassen van het Register zodat Winevar in de toekomst gelijktijdig met Windows opstart. Daarna begint de worm de harde schijf af te speuren naar mailadressen. Die worden gebruikt om nieuwe exemplaren van Winevar de wereld in te sturen. Ondertussen wordt ook een offensief tegen antivirus- en beveiligingssoftware uitgevoerd. Een heel aantal van die soort applicaties wordt door Winevar uitgeschakeld. De vreemdste verassing komt bij het opnieuw opstarten van de pc. Eenmaal in Windows teruggekeert verschijnt er een melding als deze:

Een waarschuwingsvenster met de tekst "Make a fool of oneself" en de tekst "What a foolish thing you have done!", met daaronder een OK-knop verschijnt. Als de gebruiker daarop drukt, worden vrijwel alle bestanden van de harde schijf gewist.