Nieuw zichzelf updatend virus

Op ZDNet staat een stuk over een nieuw soort virus. Het virus is in staat zichzelf d.m.v. versleutelde plug-ins aan te passen en via nieuwsgroepen met zijn "broeders" te communiceren. Het is gewoon een 32bit Windows app. die als bijlage bij e-mail wordt verstuurd. Daarna gaat het als volgt:

Zodra de gebruiker de bijlage opent, infecteert Hybrid de Windows-netwerksoftware, die bekend staat onder de naam Winsock32.dll. Ondertussen plaatst de worm een kopie van zichzelf in de systeemmap van Windows. Het virus zoekt, nadat hij is geactiveerd, naar e-mailberichten die hij naar zichzelf kan sturen.

Het meest geavanceerde wapenfeit van deze worm is de ondersteuning voor ongeveer 32 plug-ins, die hij kan downloaden van het internet. Met de plug-ins is de worm in staat elk van zijn eigenschappen te veranderen. Zo kan hij de tekst van te sturen e-mails veranderen en locaties wijzigen waar hij nieuwe update's kan downloaden. "Degene die het virus schrijft, kan door middel van de componenten zijn creatie op elk moment veranderen", zo zegt Kaspersky.

Kaspersky Lab heeft al vijf plug-ins geïdentificeerd waarmee ZIP- en RAR-files kunnen worden geïnfecteerd. Bovendien kan het virus berichten versturen met versleutelde plug-ins naar de virusonderzoek nieuwsgroep alt.comp.virus. Vorig weekend werd deze nieuwsgroep overstroomd met meer dan 3000 berichten die de worm naar deze nieuwsgroep had gestuurd. Met deze berichten kan het virus computers opsporen en infecteren die al zijn aangetast door de bekende SubSeven achterdeur. Ook kan hij kopieën van zichzelf aanpassen, zodat ze niet zijn op te sporen.

Zowel Network Associates (van de McAfee virusscanners) als Kaspersky Lab (van de AVP virusscanners) bieden bescherming tegen de worm in hun nieuwste anti-virusdefinities.