F-Secure Corporation waarschuwt voor twee nieuwe veel voorkomende computerwormen
Irok en Kak wormen verspreiden zich wereldwijd

Espoo, Finland, 30 maart 2000 - F-Secure Corporation, een van de meest vooraanstaande aanbieders van informatie-beveiligingsproducten, waarschuwt computergebruikers voor twee nieuwe e-mailwormen die zich op dit moment vanuit verschillende locaties in de wereld snel verspreiden. De Irok en Kak wormen verspreiden zich beide via e-mail als elektronische kettingbrieven, zeer overeenkomstig met de manier waarop het beruchte Melissa-virus dit precies een jaar geleden deed. F-Secure Anti-Virus beschermt gebruikers tegen deze nieuwe bedreigingen.

Technisch gezien werken de Irok en Kak wormen op zeer verschillende manieren, maar ze verspreiden zich beide via Microsoft Outlook e-mail en zijn nu reeds zeer wijdverspreid. Het grootste verschil tussen beide wormen is dat Irok binnenkomt via een attachment met de naam IROK.EXE, terwijl Kak binnenkomt in een normale e-mail waar, op het eerst gezicht, geen attachment bij zit.

Beide wormen zijn een gevaar voor Microsoft Windows gebruikers en beide wormen verspreiden zich via de Microsoft Outlook e-mail applicatie.

De Irok worm verspreidt zich als een programma genaamd IROK.EXE van 10001-bytes. Het werkt onder Microsoft Windows 95, 98, NT en 2000. De worm kopieert zich via e-mail wanneer Microsoft Outlook beschikbaar is. De worm werkt niet met Outlook Express.

Wanneer IROK.EXE wordt geopend, verandert de worm het systeem zo dat wanneer de machine een volgende keer wordt gestart, de worm naar 60 e-mail adressen uit het Outlook adresboek een e-mailbericht stuurt. Deze adressen kunnen van individuele personen zijn maar het kunnen ook groepen adressen zijn (zoals mailing-lists).

Het bericht dat de worm verspreidt ziet er als volgt uit:

From: (naam van de geïnfecteerde gebruiker)

Text: I thought you might like this. I got it from paramount pictures website. It's a startrek screen saver.

Attachment: IROK.EXE

Het virus probeert ook de mIRC chat-client te lokaliseren en zal proberen om dit aan te passen om zichzelf via chat-kanalen te verspreiden. Tevens zal de worm COM en EXE programma-bestanden op de locale harde schijf infecteren.

Uiteindelijk zal het virus een lang bericht op het scherm laten zien en zal het proberen bestanden op de harde schijf te overschrijven.

De Kak worm is geschreven in Javascript. Het werkt bij Engelse en Franse versies van Windows 95/98 maar het werkt niet onder Windows NT of Windows 2000. Kak kopieert zich verder via e-mail, maar slechts wanneer Outlook Express 5.0 is geïnstalleerd – het werkt niet met de normale Microsoft Outlook.

De worm gebruikt bekende zwakke punten in de beveiliging van Outlook Express om zich te openen wanneer een e-mailbericht wordt bekeken. Wanneer de gebruiker een geïnfecteerd e-mailbericht ontvangt en opent, of het bericht bekijkt in de preview pane, past de worm het systeem zo aan dat bij een volgende start van de machine de standaard e-mail signature van de eindgebruikers wordt vervangen door een HTML bestand dat geïnfecteerd is door het virus.

Het resultaat is dat ieder e-mailbericht daarna de worm zal bevatten en zo de machine van alle ontvangers zal besmetten zodra het bericht wordt geopend in Outlook Express.

De Kak worm activeert op de eerst dag van iedere maand wanneer de machine na 17:00 uur opnieuw wordt opgestart. Op dat moment zal het virus het volgende bericht laten zien:

Kagou-Anit-Kro$oft say not today!

Daarna zal de worm Windows afsluiten maar er wordt geen permanente schade aangericht.

Het Outlook Express beveiligingslek dat door deze worm wordt misbruikt kan worden afgesloten door "Active Scripting" in Outlook Express Preferences uit te zetten. Microsoft biedt tevens een update om dit probleem op te lossen. De update is beschikbaar sinds augustus 1999.

"Het is verontrustend om te zien dat virusschrijvers met hun creaties onschuldige buitenstaanders blijven lastig vallen," zegt Mikko Hypponen, Manager Anti-Virus Research bij F-Secure Corporation. "De virusschrijvers hebben met het schrijven van virussen absoluut geen voordeel, eerder het tegenovergestelde. Zij hebben duidelijk niets geleerd van wat er met de schrijver van het Melissa-virus is gebeurd."

David L. Smith, de schrijver van de Melissa e-mailworm die vorig jaar de wereld rond ging (28 maart, 1999), heeft schuld bekend aan tweedegraads beschuldiging van computerdiefstal in december 1999 in het New Jersey Superior Court. Hij kan vijf tot tien jaar gevangenisstraf krijgen en een boete van $150.000.

Zowel de Irok als de Kak worm kunnen worden gestopt met up-to-date anti-virussoftware. F-Secure Corporation heeft de detectie van deze wormen toegevoegd aan de laatste versie van F-Secure Anti-Virus.

Gratis evaluatie-software van F-Secure Anti-Virus is verkrijgbaar op: http://www.F-Secure.com/gallery/

Verder technische informatie en screenshots van de wormen zijn verkrijgbaar op:
http://www.F-Secure.com/virus-info/v-pics/

Over F-Secure Corporation
F-Secure Corporation (voorheen Data Fellows) is een toonaangevende ontwikkelaar van geautomatiseerde netwerk-beveiligingsoplossingen. Het bedrijf biedt een volledige lijn van high end software-producten aan op het gebied van anti-virus, bestandsencryptie en VPN oplossingen voor werkstations, servers en gateways.

F-Secure producten en het Framework zijn uitermate geschikt voor het leveren van “Security as a Service™” door zowel corporate IT afdelingen als een breed scala van partners, inclusief Internet Service Providers, outsourcing-bedrijven en All Service Providers. Voor de eindgebruiker is “Security as a Service” onzichtbaar, automatisch, betrouwbaar, altijd operationeel en up-to-date. Voor de beheerder betekent “Security as a Service” policy-gebaseerd management, meldingen en gecentraliseerd management van massaal gedistribueerde gebruikersgroepen.

Het bedrijf dat in 1988 is opgericht, staat genoteerd op de Helsinki Stock Exchange (HEX:FSC). Het hoofdkantoor heeft als locatie Espoo, Finland en daarnaast is er een Noord-Amerikaans hoofdkantoor in San Jose, Californië. Verder zijn er vestigingen in Canada, Duitsland, China, Frankrijk, Japan en Engeland. F-Secure Corporation wordt ondersteund door een netwerk van VAR’s en distributeuren in meer dan 90 landen over heel de wereld.

Over TSP - The Security Provider
"TSP-The Security Provider stelt zich ten doel de continuïteit van organisaties te waarborgen door het aanwezige computernetwerk en het data-verkeer maximaal te beveiligen. Als security-specialist biedt TSP hiervoor op maat gesneden totaaloplossingen aan".

TSP heeft haar focus volledig gericht op het terrein van informatiebeveiliging. TSP inventariseert, adviseert en begeleidt haar klanten bij het beveiligen van PC’s en netwerken en biedt daarmee binnen zijn specialisatie een totaaloplossing.

Door het nog steeds groeiend aantal toepassingen van automatisering (bijv. Internet, E-Commerce) neemt ook de behoefte aan professionele ondersteuning toe. Computernetwerken worden steeds complexer, maar een goede toegankelijkheid dient gewaarborgd te blijven. Om echter te garanderen dat binnen uw organisatie de juiste persoon op het juiste moment op de juiste plaats over de juiste informatie kan beschikken is het van wezenlijk belang dat u specifieke voorzorgen neemt. Informatiebeveiliging is dan het kernwoord.

Voor meer informatie kunt u contact opnemen met:

Astrid Venhorst
TSP - The Security Provider B.V.
Schoenaker 10 F
6641 SZ BEUNINGEN
Tel.: 024 6770366
Fax: 024 6770161
E-mail: press@tsp.nl
Internet: http://www.tsp.nl

Deel: ' Computerwormen Irok en Kak wormen verspreiden zich '




Lees ook