Nieuwe ontdekking in de ZippedFiles Internet Worm
Destructieve worm kan zelfs uw machine aantasten wanneer u geen E-mail gebruikt

Espoo, Finland, 14 juni, 1999 – Onderzoekers van het computervirus-laboratorium van Data Fellows hebben nieuwe functionaliteiten ontdekt in de wijdverbreide ZippedFiles (ook bekend als ExploreZip) Internet worm. Als het virus een machine binnen een bedrijfsnetwerk heeft besmet zal de worm gaan zoeken naar andere Windows werkstations in het netwerk.

Als een gebruiker gedeelde directories heeft op zijn machine voor een of meerdere anderen zal het virus deze machine(-s) proberen te infecteren over het netwerk.

Dit betekent dat uw machine geïnfecteerd kan raken met de ZippedFiles worm, zelfs als u zeer voorzichtig bent geweest met uw E-mail, geen attachments heeft geopend of zelfs helemaal geen E-mail meer heeft gebruikt. U zult niets van de infectie merken, maar uw machine zal automatisch beginnen met het beantwoorden van alle daarna binnenkomende E-mails. De antwoorden bevatten een geïnfecteerd attachement en zullen de worm verder verspreiden. Daarnaast zal de worm bestanden op lokale en netwerk-drives overschrijven.

Om het virus over een bedrijfsnetwerk te ontvangen moet uw machine op Windows 95 of 98 draaien en zal de systeemdrive of de Windows directory gedeeld moeten zijn met andere gebruikers met volledige toegangsrechten. De gedeelde drive hoeft niet vast te zitten aan het geïnfecteerde systeem om de worm te laten verspreiden want de worm zal zelf door de beschikbare gedeelde drives lopen. Windows zal standaard geen gedeelde drives beschikbaar hebben voor andere gebruikers, maar veel gebruikers doen dit wel om collega’s gemakkelijk toegang te geven tot hun bestanden.

“Dit lijkt een van de redenen te zijn, waarom we zulke wijdverbreide infecties zien binnen bedrijven", geeft Mikko Hypponen, Anti-Virus Research Manager bij Data Fellows als commentaar. "We moeten niet vergeten dat deze worm zich per E-mail niet half zo snel verspreidt als het Melissa-virus deed. Hij verspreidt zich met de snelheid van normaal E-mail verkeer. Als u vandaag tien E-mail berichten heeft ontvangen zult u de worm tien keer versturen." "Echter, wanneer een ZippedFiles zich eenmaal in uw bedrijfsnetwerk genesteld heeft, zal het zich snel verspreiden wanneer niet elk werkstation voorzien is van up-to-date bescherming." Vragen & Antwoorden over de ZippedFiles worm:
V: Wat is de naam van de worm?
A: De worm staat bekend als ZippedFiles of ExploreZip.

V: Wat is het verschil tussen een virus en een worm? A: Virussen infecteren de bestanden van de gebruikers zelf en ze verspreiden zich wanneer deze worden uitgewisseld. Wormen infecteren geen eigen bestanden. Ze gebruiken uw computer alleen maar om zichzelf te versturen naar andere machines.

V: Waar is ZippedFiles geschreven?
A: De eerste infectie werd gerapporteerd in Israel; dus het zal in die regio zijn.

V: Wanneer is ZippedFiles geschreven?
A: Dit weten we niet zeker. Het eerste monster van het virus (virus sample) hebben we op 10 juni ontvangen vanuit de Tjechische Republiek. Het virus is daar zelfs al op 6 juni gemeld. Verder vermeldt het virus een datum: “1999/04/14 12:50".
Het is mogelijk dat het virus er al langer was, misschien zelfs wel weken.

V: Waarom is dit vermogen om zich via een netwerk te verspreiden nu pas ontdekt?
A: Het virus is groot, meer dan 200kB. Het is makkelijk om detectie en verwijdering toe te voegen van een worm als deze, maar het duurt dagen om het virus volledig uit elkaar te halen en om een programma van deze grootte te begrijpen.

V: Wie heeft het geschreven?
A: Dat weten we niet.

V: Zal hij/zij gepakt worden?
A: Als hij/zij voorzichtig was toen het virus losgelaten werd waarschijnlijk niet. Het is gemakkelijk om anoniem te blijven op Internet.

V: Hoe wijdverspreid is het?
A: Zeer wijdverspreid, alhoewel het tot op dit moment nog niet zo wijdverbreid is als het Melissa of CIH virus kortgeleden. De meeste besmettingen lijken voor te komen in Noord-Amerika en in het Verenigd Koningrijk.

V: Waarom Noord-Amerika en het Verenigd Koningrijk? A: Het virus antwoordt op elk E-mail dat door de geïnfecteerde computer ontvangen wordt. Het is echter geschreven in het Engels. Als een Nederlands sprekende gebruiker een E-mail stuurt naar een andere Nederlander zal hij waarschijnlijk achterdochtig worden als het antwoord in het Engels blijkt te zijn.

V: Werkt het virus alleen met Outlook?
A: Het virus probeert ook met andere mail-programma’s te communiceren (programma’s die MAPI ondersteunen). Echter, door een aantal programeerfouten lijkt dit niet te werken; behalve als de gebruiker Microsoft Outlook, Outlook Express of Exchange E-mail client heeft.

V: Zijn er andere wormen die zich over een bedrijfsnetwerk verspreiden als ZippedFiles?
A: Nee, dit is een zeer uniek kenmerk.

V: Wat voor een schade richt ZippedFiles aan?
A: Het probeert verschillende soorten bestanden op een lokale harde schijf en op netwerk-drives te overschrijven.

V: Wat voor een soort bestanden overschrijft ZippedFiles? A: DOC - Microsoft Word documenten
XLS - Microsoft Excel spreadsheets
PPT - Microsoft PowerPoint presentaties
ASM - Assembler source bestanden
CPP - C++ source bestanden
C - C source bestanden
H - C header bestanden

V: Waarom overschrijft het virus Assembler, C++ en C programmeertaal bestanden?
A: Misschien heeft de schrijver van het virus een hekel aan deze programmeertalen. Het virus zelf is geschreven in Delphi, een Pascal-achtige programmeertaal.

V: Waarom overschrijft het virus bestanden in plaats van ze te verwijderen? A: Het virus verminkt de bestanden tot nul bytes. Dit maakt het moeilijk om de bestanden terug te krijgen zonder backups. Als het virus de bestanden alleen zou verwijderen zou het makkelijker zijn om de bestanden terug te krijgen.

V: Zijn de verminkte bestanden terug te krijgen als er geen backups zijn? A: Een professionele data recovery service zou kunnen helpen. Er is een aantal freeware tools op het Internet die beweren te kunnen helpen, maar meestal is het resultaat niet erg goed. Bovendien maken ze professionele data recovery vervolgens vaak onmogelijk.

Over Data Fellows
Data Fellows is een van ‘s werelds toonaangevende ontwikkelaars van data-beveiligingsprodukten. Het biedt geïntegreerde security-oplossingen aan door software-produkten op het gebied van anti-virus, data-beveiliging en cryptografie te ontwikkelen, te vermarkten en te voorzien van support voor bedrijfsnetwerkomgevingen.

Data Fellows heeft klanten in meer dan 100 landen, waaronder veel van ‘s werelds grootste industriële bedrijven, bekende telecommunicatiebedrijven, grote internationale luchtvaartmaatschappijen, Europese overheden, posterijen, defensie-apparaten, en verschillende van ‘s werelds grootste banken. Ieder jaar ontvangt men talloze awards en eervolle vermeldingen van vooraanstaande software-magazines en andere publicaties wereldwijd. Zo werd men door het Red Herring Magazine in diens uitgave van september 1998 geselecteerd voor de Wereld-Top 100 van Technologie-bedrijven. Van PC Magazine kreeg men de aanbeveling “Editor’s Choice”.

Over TSP - The Security Provider B.V.
TSP - The Security Provider B.V. is opgericht in 1998. Alle werknemers binnen TSP hebben reeds vele jaren ervaring opgedaan in de Informatie-Beveiligingsbranche. Sinds de oprichting heeft de organisatie zich volledig gespecialiseerd in levering van hoogwaardige Informatie-Beveiligingsprodukten. Verder maakt consultancy aangaande Informatie-Beveiliging een groot deel uit van de activiteiten binnen TSP. Door middel van een strategische alliantie met het software-ontwikkelbedrijf Data Fellows in Finland is TSP - The Security Provider in Nederland dé leverancier van Informatie-Beveiligingsprodukten geworden.

Voor meer informatie kunt u contact opnemen met:

TSP – The Security Provider B.V.
Schoenaker 10 F
6641 SZ BEUNINGEN
Tel.: 024 6770366
Fax: 024 6770161
E-mail: press@tsp.nl
Internet: http://www.tsp.nl

Deel: ' Nieuwe ontdekking in ZippedFiles Internet Worm '




Lees ook