Bubbleboy

VBS/Bubbleboy

VBS/Bubbleboy is een nieuw type worm: Anders dan eerdere wormen die via e-mail werden verspreid, is dit nieuwe worm-type geen uitvoerbaar attachment. In plaats daarvan infecteert VBS/Bubbleboy PC's op het moment dat het e-mail-bericht wordt geopend. Dat is een opmerkelijke vernieuwing. In het verleden was het niet mogelijk een virus of worm te activeren door simpleweg een bericht te openen. VBS/Bubbleboy markeert daardoor het begin van een nieuw tijdperk.

VBS/Bubbleboy wordt verspreid via een e-mail bericht met als onderwerp "Bubbleboy is back!" Het infecteert alleen PC's met Windows 98 gecombineerd met Internet Explorer 5 en Outlook of Outlook Express. PC's met Outlook worden geinfecteerd bij het openenvan het e-mail-bericht, terwijl Outlook Express gebruikers geinfecteerd kunnen raken door het bekijken van het bericht met het "Preview Pane" van Outlook Express. Wanneer het bericht is geopened, creert de worm een file genaamd UPDATE.HTA. De volgende keer dat de PC wordt opgestart verzendt de worm zichzelf, verpakt in een e-mail-bericht, naar ELK adres in ELK MS Outlook address book op het systeem. Dit is eenmalig.

Microsoft heeft een patch voor Internet Explorer 5 uitgebracht, die het uitvoeren van de worm verhindert bij default security settings.
Informatie hierover is te vinden in dit Microsoft Security Bulletin.

Als de worm wordt gedetecteerd voordat deze zichzelf heeft verzonden, volstaat het om het bestand UPDATE.HTA op te zoeken en te verwijderen. Als de worm zichzelf al heeft verzonden, doe dan niets. De worm doet verder niets meer en biedt door zijn aanwezigheid bescherming tegen een volgende herinfectie. Om besmetting te voorkomen kan Windows Scripting Host worden uitgeschakeld door het volgende te doen: klik op: Start button, Settings, Control Panel. Selecteer Add/Remove Programs, dan de Windows Setup tab, dubbel-klik op Accessories, scroll naar beneden naar Windows Scripting Host, en uncheck de checkbox. Bewaar de verandering en sluit het venster.

W32/ExploreZip.worm

Inleiding

Op 11 juni 1999 werd in de media melding gemaakt van een nieuw virus met de naam ExploreZip, dat gevaarlijk is en zich snel kan verspreiden. Hieronder treft u informatie over deze worm en hoe ervan af te komen. De worm gebruikt vergelijkbare technieken als de eerder ontdekte Melissa worm.

Op 30 November 1999 werd een nieuwe variant van deze worm ontdekt: ExploreZip.Pak, welke nog gevaarlijker is.

Beschrijving

W32/ExploreZip.worm is een worm die Windows systemen infecteert. Het is zeer gevaarlijk en potentieel meer vernietigend dan Melissa. Het reproduceert zichzelf door binnenkomende e-mail berichten te beantwoorden, met zichzelf als bijlage in een zelfstartend bestand "zipped_files.exe". De worm heeft een payload: de harddisk wordt doorzocht en alle bestanden met als extensie .c, .cpp, .asm, .doc, .xls, .ppt worden verwijderd.

BELANGRIJK — Bij ontvangst van een e-mail met de boodschap "I received your e-mail and I shall send you a reply ASAP. Till then, take a look at the attached zipped docs.", VERWIJDER HET DIRECT! Het bericht bevat een attachment genaamd "zipped_files.exe"; DE BIJLAGE NIET DUBBEL-KLIKKEN OF UITVOEREN! Als dat gedaan wordt, wordt het systeem besmet met bovenvermelde gevolgen!

Werking

De eigenlijke worm is een bestand met de naam EXPLORE.EXE. Onder Windows 95/98 wordt dit gestart vanuit WIN.INI tijdens het opstarten van Windows via de regel run=C:\WINDOWS\SYSTEM\EXPLORE.EXE; onder Windows NT wordt het gestart via de registry-entry [HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows] die de volgende key bevat run=C:\\WINNT\\System32\\Explore.exe

Verspreiding

De worm verspreidt zich met behulp van de MS Outlook client door binnenkomende e-mail berichten te beantwoorden, met zichzelf als attachment in de vorm van een selfextracting zip-file genaamd ZIPPED_FILES.EXE. Als geen MS Outlook wordt gebruikt, kan de worm zich niet verspreiden, maar u bent nog steeds kwetsbaar voor besmetting!

Payload

Alle bestanden op de harddisk van de types .c, .cpp, .asm, .doc, .xls, .ppt worden verwijderd, hetgeen inhoudt dat c- en assembler-sources, documenten, Excel spreadsheets en PowerPoint presentaties verloren gaan.

Oplossing

Het meest belangrijke is natuurlijk, niet besmet te raken. Open en/of bekijk het attachment niet! Maar als besmetting eenmaal heeft plaatsgevonden, moeten de volgende stappen worden genomen:

WIN.INI en de registry zijn systeem-bestanden; pas op met het aanpassen daarvan!