Producenten van antivirussoftware waarschuwen voor een nieuwe worm die bij slachtoffers probeert binnen te dringen via de MSN Messenger van Microsoft. Het gaat hierbij om de uit Noorwegen afkomstige worm Rodok.A die ook bekend staat onder de namen Henpeck en W32.Fleming.
De in Visual Basic geschreven worm doet zich voor als CD-Key-generator en bouwt een venster op met de knoppen"Generate" en "Quit". Wordt gekozen voor "Generate", dan verstuurd Rodok aan alle contactpersonen in de MSN-Messenger een bericht. In dit bericht wordt de ontvanger gevraagd om voor de afzender een zelfgeschreven programma te testen. Dit programma is te bereiken via een meegeleverde link. Klikt de ontvanger op die link, dan is zijn computersysteem meteen geïnfecteerd.
Verder haalt Rodok.A twee updates, update35784.exe en hehe2397824.exe, op van de website home.no.net en plaatst deze in de root van de C-drive. Ook wordt er in het Register naar serienummers voor de spellen Half-Life en Counterstrike gezocht. Deze worden verstuurd naar een hotmailadrs. Tenslotte installeert de worm ook nog een Backdoor waarmee het mogelijk is om via IRC een DoS-aanval uit te voeren.
Alle websites die bij de verspreiding van Roko.A zijn betrokken zijn inmiddels afgesloten. Daardoor is het directe infectiegevaar weliswaar geweken maar de kans bestaat dat een nieuwe variant van Rodok.A in de komende dagen opduikt.
Opvallend aan Rodok.A is dat de worm niet probeert te verbergen dat het gaat om een programmabestand. De worm gokt meer op de sociale gevoelens van zijn slachtoffers: de boodschap komt van een bekende die dan ook nog eens om hulp vraagt. Dan zeg je toch geen nee? Of wel soms?
10 uur geleden
