geplaatst
Nieuw Bagle-virus is slechts beperkt 'houdbaar'
Diverse antivirusdeskundigen hebben dit weekend last gehad van de Bagle-worm. Bagle richt niet zoveel schade aan en is slechts kort actief.
W32.Bagle.A is een 'massmailer', een worm die zichzelf per e-mail doorstuurt naar andere adressen. Het virus vindt die adressen door alle html-, htm-, wab- en txt-bestanden op getroffen pc's te screenen op e-mailadressen.
Bagle is maar actief tot 28 januari. Als een pc besmet raakt, installeert Bagle enkele bestanden en voegt het enkele sleutels toe aan het register. De bijlage van de worm heeft diverse namen, maar het is herkenbaar als exe-bestand met een grootte van 16 Kb.
De worm opent de rekenmachine (calc.exe) en zou een website moeten open. Alleen blijken de in de code voorgeprogrammeerde sites niet actief te zijn. Ook het '1.php'-script in de code werkt niet. Dit zou volgens experts op elk moment gebruikt kunnen worden om geďnfecteerde pc's te signaleren en er toegang tot te krijgen.
Het virus is vooral aangetroffen in de Duitsland, Australië, Japan en Verenigde Staten. Zoals bij de meeste virussen lopen ook hier alleen Windows-pc's risico om besmet te worden.
Berichten: 3613 | Plaats: Venray | Geregistreerd: Jul 2002
| IP: Gelogd |
geplaatst
Schadelijkere variant Bagle na 28 januari verwacht
De Bagle/Beagle worm, die zich het afgelopen weekend begon te verspreiden is inmiddels over zijn hoogtepunt heen. De worm was echter een korte levensduur beschoren, want op 28 januari zou Bagle zichzelf uitschakelen. Het gevaar is echter nog niet geweken. Security experts, zoals Daniel Zatz van Computer Associates, zijn van mening dat de worm bijna zeker door een schadelijkere variant zal worden opgevolgd. Het is dan ook zeer aannemelijk dat een copy-cat virusschrijver de worm als basis voor een nieuwe versie gaat gebruiken.
-------------------- People are like pieces of a puzzle. We all fit together, but not all of us connect. Berichten: 6985 | Plaats: Zeist | Geregistreerd: Jul 2002
| IP: Gelogd |
geplaatst
Experts bang voor massale uitbraak Sasser-worm
Experts vrezen dat de Sasser-worm aan het begin van de nieuwe werkweek voor problemen zal zorgen. De worm start besmette pc's opnieuw op.
Experts verwachten dat maandag, als de kantoren weer open gaan, miljoenen pc's en laptops besmet zullen raken met deze worm. Het virus kan namelijk actief worden zonder dat de gebruiker een e-mailbijlage opent.
De Sasser-worm maakt gebruikt van een lek dat Microsoft op 13 april dit jaar heeft gemeld. Gebruikers met pc's met Windows XP, Windows 2000 en Windows Server 2003 die geen patch voor dit beveiligingslek hebben geĂŻnstalleerd, lopen risico om besmet te raken.
Via tcp-poort 5554 installeert het een ftp-server waardoor het zichzelf verspreidt. Sasser scant willekeurige ip-adressen via poort 445 op de aanwezigheid van het betreffende Windows-lek.
Opstarten
De worm maakt misbruik van het zogeheten lsass-lek (local security auhtority subsystem service) waardoor op afstand een buffer overrun veroorzaakt kan worden. Als een pc besmet raakt, wordt het Windows systeembestand LSASS.exe overschreven. Dit nieuwe bestand zorgt ervoor dat de machine steeds opnieuw opstart, maar werkzaamheden op de pc onderbreekt of blokkeert.
De eerste Sasser-worm is op 30 april gesignaleerd. Inmiddels is er ook al een B- en C-variant van. De worm richt nauwelijks schade aan en is vrij eenvoudig te verwijderen.
Het verwijderprogramma is hier te downloaden.
Berichten: 3613 | Plaats: Venray | Geregistreerd: Jul 2002
| IP: Gelogd |
Een 18-jarige programmeur van het computervirus Sasser is in Nedersaksen in Duitsland gearresteerd. Dat heeft een woordvoerder van de gerechtelijke politie in Hannover zaterdag gezegd.
De eerste variant van Sasser verscheen vorig weekeinde en verspreidde zich in enorm tempo, waardoor alle computerbeveiligers alarm sloegen. Het virus maakt misbruik van een zwakke plek in besturingssysteem Windows van Microsoft dat enkele weken geleden hiervoor waarschuwde.
De producent van virusberschermer McAfee meldde woensdag dat de schade die het nieuwe computervirus Sasser veroorzaakt, meeviel. Aangezien de worm zich niet verspreidt via e-mail, maar via de achteringang computers binnendringt, beperkt de overlast zich vooral tot consumenten. Aan het eind van de week leek het virus over zijn hoogtepunt heen te zijn.
-------------------- People are like pieces of a puzzle. We all fit together, but not all of us connect. Berichten: 6985 | Plaats: Zeist | Geregistreerd: Jul 2002
| IP: Gelogd |
De achttien jarige Duitse scholier die heeft toegegeven dat hij de Sasser-worm heeft geschreven is ook verantwoordelijk voor alle Netsky-virussen. Hij legde deze bekentenis af na zijn arrestatie vorige week vrijdag.
De politie kwam de scholier op het spoor na een tip van bekenden. Na veroordeling van de verdachte kunnen deze personen aanspraak maken op het beloningsgeld van 250 duizend dollar per aangebrachte virusschrijver. Microsoft stelde dit potje met in totaal vijf miljoen dollar aan tipgeld in november vorig jaar in. De Sasser-verdachte zei de virussen ontwikkeld te hebben om besmette pc’s te ontdoen van Mydoom- en Bagle-virussen. Uit de verschillende Netsky-virussen, die alle als bijlage bij een besmette mail gevoegd zijn, ontstond later Sasser. In de softwarecode claimt de Sasser-auteur ook verantwoordelijk te zijn voor de Netsky-virussen. De Sasser-worm verspreidde zich zelfstandig naar computers op internet die niet van de laatste Microsoft-lapmiddelen voorzien waren.
Naast de Sasser-verdachte arresteerde de Duitse politie vorige week drie andere vermeende hackers, die verantwoordelijk zouden zijn voor de Trojaanse paard-software Phatbot, die vertrouwelijke informatie op pc’s verzamelt en pc’s misbruikt als doorzendstation voor spam. Deze kwaadaardige code gebruikte het succes van de Sasser-worm om de eigen code op met Sasser besmette computers te krijgen.
-------------------- People are like pieces of a puzzle. We all fit together, but not all of us connect. Berichten: 6985 | Plaats: Zeist | Geregistreerd: Jul 2002
| IP: Gelogd |
UBBFriend: Email deze pagina naar iemand!
Printer-versie van dit onderwerp
![[Kiss]](graemlins/kiss.gif)
