Wormvirus slaat eerste kerstdag toe

Symantec waarschuwt ons, computergebruikers, voor een nieuw virus dat zij in het wild hebben aangetroffen. Dit wormvirus combineert de vernietigende kracht van het W32.Kriz-virus met de besmettelijkheid van de W32.hllw.bymer.worm. Oftewel, het tracht het BIOS uit te schakelen zodat een geïnfecteerde computergebruiker moet hotswappen of nieuwe hardware kopen. Het virus wordt eerste kerstdag actief en kan dus veel schade veroorzaken:

André Post, Senior Researcher van het Symantec AntiVirus Research Center (SARC) in Leiden: “W32.Kriz/W32.hllw.bymer.worm is een hybridevirus. Dit type virus ontstaat wanneer een virus een computer aanvalt, die reeds is geïnfecteerd door een ander virus of worm. Het resultaat is meestal een virus dat de lastigste eigenschappen van beide ‘ouders’ combineert. Kriz is een virus dat zich langzaam verspreidt, maar zeer destructief is. Daarentegen is Bymer een worm dat snel zijn weg vindt naar andere computers. Wanneer de virus en de worm worden samengevoegd ontstaat er een wormvirus dat zeer destructief en besmettelijk is.”

[..]W32.Kriz is een Windows 9x/NT-virus dat Portable Executable (PE) Windows-bestanden infecteert. Het virus installeert zich in het geheugen om elk bestand te besmetten dat door de gebruiker of door applicaties wordt geopend. Bovendien verandert het virus het KERNEL32.DDL-bestand, een essentieel operating system-file. Dankzij deze wijziging kan het virus zich door het gehele systeem verspreiden. Daarnaast tracht het sommige PE-bestanden te besmetten, waardoor het noodzakelijk wordt deze bestanden te vervangen door schone back-ups of ze opnieuw te installeren.

Symantec heeft al een virusdefinitie update uitgebracht, meer kun je hier lezen.
loekd tipte ons, dank daarvoor.

Lees meer

Reacties (94)

Verwijderd 21 december 2000 14:05

Is het niet zo dat veel moederborden een stukje onwisbare bios hebben die het mogelijk maakt om toch nog via de floppy een nieuwe bios te installeren?

Jasper Janssen @Verwijderd • 21 december 2000 14:27

Klopt..

Van de Abit KT7 weet ik het zeker.

Die heeft dus, in ROM ipv flash-EEPROM, een stukje basic bios wat alleen floppy en basis vga ondersteunt, speciaal voor flashen.

De intel i8xx serie chipset hebben zo'n stukkie rom overigens in de chipset ingebouwd zitten.

pica @Verwijderd • 21 december 2000 14:08

Jupz, je kan je cmos flashen.. maar hoe kom je in hemelsnaam in de DOS prompt zonder BIOS?

Engage!

Verwijderd @pica • 21 december 2000 14:17

Het klinkt misschien vaag, maar je kan in dos komen door een oude ISA videokaart in je comp. te plaatsen!

zaadstra @pica • 21 december 2000 14:37

Er zijn biossen waar altijd een heel klein stukje van overblijft die bij een boot naar de flop kijkt en daar bepaalde flash bestanden verwacht. Als die er staan gaat 'ie de boel opnieuw flashen

Verwijderd @Verwijderd • 21 december 2000 14:11

Ja dat is zo.

Hotswappen is volgens mij de BIOS flash ROM chip van je vriendje met hetzelfde bord lenen, je eigen bord ermee starten, dan je oude chip terugzetten en er de oude BIOS terug in flashen met de utility.

Als je PC opgestart is is je ROM BIOS namelijk in je RAM gekopieerd (na decompressie)

Woy Moderator PRG/SEA @Verwijderd • 21 december 2000 22:58

Ja das lache heb het laats ook nog gedaan bij mijn oude mobo

had alleen per ongeluk ff de bios er verkeerd om in gedaan toen ging het stickertje op de bios smelten

en hij deed het erna gelukkig ook nog

456 21 december 2000 14:03

Bovendien verandert het virus het KERNEL32.DDL-bestand, een essentieel operating system-file

Win2k werkt toch niet met deze dll?
Dus kan die niet besmet raken?
En hoe kun je zien (zonder 4us scanner) hoe je comp. is besmet?

Sander Schrier @456 • 21 december 2000 14:08

Ik weet zeker of Win2k met dit DLL-bestand werkt, maar hoe zit het met de ingebouwde bescherming van de voor het operating system belangrijke bestanden? Dat zou toch door moeten hebben dat er zaken gewijzigd worden, die met rust moeten worden gelaten?

jacobvdm @Sander Schrier • 21 december 2000 14:15

Jij hebt duidelijk nog nooit een virus gehad

Dacht je nou echt dat virii toestemming aan windows moeten vragen om zichzelf te manifesteren?

Jordi @jacobvdm • 21 december 2000 14:22

Jij hebt duidelijk nog nooit NT gehad

Dacht je nou echt dat virii toestemming krijgen om zichzelf te manifesteren?

Verwijderd @jacobvdm • 21 december 2000 14:34

Dacht je nou echt dat virii toestemming van MIJ krijgen om zichzelf te manifesteren?

Aaargh! @jacobvdm • 21 december 2000 17:41

oei, mischien infecteerd ie kernel32.so

Verwijderd @jacobvdm • 21 december 2000 15:46

Jij hebt duidelijk nog nooit DOS gehad
Dacht je nou echt dat virii in dos 5 dat dll bestand krijgen om zichzelf te manifesteren?

imdos @jacobvdm • 21 december 2000 16:11

En zeker geen Linux; die heeft nog nooit van dll gehoord

mister X630 @jacobvdm • 22 december 2000 16:42

he chillout,

dacht je nou echt dat ik JOU toestemming geef om toestemming te geven aan dat virii om zichzelf te manifesteren?

WausMaus @456 • 21 december 2000 14:14

Onder Win2k heb je zowiso geen problemen je werkt immers met een NT-Kernel en de HAL laat het gewoon niet toe dat software direct met de hardware gaat kloten. Het virus kan dus niet je bios vernagggellen door het te flashen omdat het er gewoonweg niet bij kan.

hilgo @WausMaus • 21 december 2000 15:03

Onder NT4 gaat dat HAL verhaal nog wel op maar onder Win2K is HAL er eigenlijk alleen nog maar voor de sier. Om bijv. je videokaart op snelheid te laten lopen spreekt de driver toch echt direct met de hardware en gaat dat niet meer via de HAL. De HAl was een dusdanig vertragende factor dat deze links en rechts wordt gepasseerd. De enige reden dat HAl er toch nog in zit is om de indruk te wekken dat Win2K ook op andere hardware platformen zou kunnen draaien. Maar om op het virus verhaal terug te komen: Als mijn video driver (om bij het voorbeeld te blijven, onder win2k geldt dit voor alle hardware) direct met de hardware praat kan een virus dit ook !

Verwijderd @hilgo • 21 december 2000 15:32

Klopt niet helemaal, er zit wel degelijk een hal tussen. Je kunt niet direct naar de hardware schrijven probeer maar met assembly wat naar je grafische kaart geheugen te sturen, dit lukt niet. Alleen heeft microsoft met directX in windows 2000 een truukje uitgehaald zodat directX wel direct naar de kaarten kan schrijven. Daarom kon je in winNT4 niet hoger dan directX3 (dacht ik, misschien in latere SP's hoger).

hilgo @hilgo • 21 december 2000 16:11

Je hebt helemaal gelijk, maar truukje of niet, je kan direct de hardware aansturen onder Win2k. En aangezien 99% van de drivers via directX loopt (geluidskaart, videokaart, etc.) is de HAL imho er alleen nog voor de sier. Trouwens, directX 3 zat in de NT software ingebakken en kon daardoor niet ge-upgrade worden d.m.v. service pack's. Maar goed, genoeg off-topic hal gepraat, feit blijft dat óók Win2k p.c.'s slachtoffer kunnen worden van dit schadelijk. Nog even dit: Sophos (het pakket dat wij op de zaak gebruiken) kent dit virus al een tijdje dus wij zitten safe

RRX @WausMaus • 21 december 2000 14:32

Hoe is het dan mogelijk dat ik vanuit WIN2000 mijn BIOS kan updaten????

Verwijderd @456 • 21 december 2000 14:48

Jongens jongens, lees nou toch eens goed!!

W32.Kriz is een Windows 9x/NT-virus

...en dus géén WIN2K-virus..

GmR @Verwijderd • 21 december 2000 15:06

Jongens jongens, lees nou toch eens goed!!

W32.Kriz is een Windows 9x/NT-virus

...en dus géén WIN2K-virus..

Neeheej, lees JIJ nou eens goed, Win2K = NT5
dus windows 2000 valt weldegelijk onder win9*/NT

LinuxMan @Verwijderd • 21 december 2000 16:04

en dus géén WIN2K-virus

lees de Symantex site: het virus werkt ook onder win2k, zelfs als je het als guest user zou starten.

brammus @Verwijderd • 21 december 2000 16:36

Jongens jongens, lees nou toch eens goed!!
W32.Kriz is een Windows 9x/NT-virus
...en dus géén WIN2K-virus..

Oh jah!! Dan hoef ik me met met mijn WinME dus nergens zorgen over te maken...

witchdoc @456 • 21 december 2000 15:04

"Bovendien".. niet alleen dat bestand wordt verneukt dus.. andere bestanden kunnen dus wel kwetsbaar zijn

Verwijderd 21 december 2000 14:01

Volgens de laatste berichten vernietigt het virus zichzelf rond de paasdagen

Verwijderd 21 december 2000 14:03

De virusscanners van symantic verkochten zeker slecht de laatste tijd ?

Hebben hun programmeurs weer genoeg tijd over om een nieuw virus te maken

Redje 21 december 2000 14:07

Zet gewoon je klokkie een paar dagen terug of vooruit... en daar zet je hem weer goed als het over is.

Mister_X @Redje • 21 december 2000 14:57

dat helpt toch ook wel meestal? maar dan kan je denk ook effe je i'net stekker er uithalen!

Verwijderd @Mister_X • 21 december 2000 20:44

of gewoon je pc het raam uit flikkeren

en wat is nou de kans dat je zo'n virus binnenkrijgt...

(moet toegeven dat ik laatst na 3 weken niet scannen, er wel een paar uitvisten, maar dat waren over het algemeen onschuldige kleintje...

maarja, we zullen het wel merken...

Gene812 21 december 2000 14:11

hè bah, was ik net over mijn liefdesverdriet heen van het "I love you" virus krijgen we dit weer.
Jammer inderdaad dat er niet bijstaat op welke wijze het deze maal verspreid wordt/is.
Is het firewall bestendig? enz. enz.

Aan de andere kant... wie gaat er nu op 1e kerstdag achter de PC zitten. Achter de kerststol is in ieder geval een beter idee en met een beetje geluk gaat het zelfs nog sneeuwen dus lekker naar buiten en plezier hebben maar. Alhoewel... ook daar kun je dan een VIRUSJE oplopen.....sh*t, het leven zit ook vol met dillemma's.

Verwijderd 21 december 2000 14:13

Met het volgende programma van Symantec kun je je system scannen op dit Wormvirus

www.symantec.com/avcenter/fixkriz.exe

TricTrac 21 december 2000 14:01

Tja.. Kon je verwachten in dit seizoen....
Ik vraag me alleen af hoe deze worm zich verspreid naar andere computers... via files, e-mails?

Verwijderd @TricTrac • 21 december 2000 14:36

Het virus verspreidt zich via gedeelde mappen in je netwerk, zie:
www.symantec.com/avcenter/venc/data/w32.hllw.bymer.html

LinuxMan @Verwijderd • 21 december 2000 16:01

Werkt dat ook als de fileserver een Samba server op Linux is? (indien niet ben ik heel happy

)

Verwijderd 21 december 2000 14:35

Jack heeft gewoon een Chaintechboard

en die heeft jawel TWINbios

dus bios 1 dood no problemo bios 2 werkt nog wel
en flashed on the fly bios 1 weer ff terug .....

Te gek spul van chaintech

Ehh oh ja k draai linux en die heeft geen kernel32.dll

Sorry......

VHware @Verwijderd • 21 december 2000 21:13

Heeft Gigabyte ook, namelijk DualBios

iGadget @Verwijderd • 22 december 2000 12:28

Yeah... je eerste BIOS is geinfect, je pc start niet meer op. Je 2e BIOS neemt het over, maar je pc is nog wel geinfect, dus je 2e BIOS wordt direct ook geinfect, weg 2e BIOS. Nee dat gaat werken.

Ik hoop voor je dat je 2e BIOS _geen_ flash-geval-ding is...

actieman 21 december 2000 14:15

security.norton.com/default.asp?productid=kris&langid=us&venid=sym

daar kun je mee online scannen of je dit virus hebt.

nog wat meer info over dit virus

www.sarc.com/avcenter/venc/data/w32.kriz.html

dit is ook een link naar de removal:

www.sarc.com/avcenter/fixkriz.exe

[edit]
WTF layout linkjes helemaal gef*cked na editten

tomic @actieman • 21 december 2000 14:42

Ja, inderdaad!

Als ik een bericht met url's erin post, dan staat er een hoop html code bij! Waarom

En waarom kan je hier ook niet zelf de ubb code gebruiken waarbij je mooie links krijgt? Voorbeeld:
[url=[url="http://www.tweakers.net]"]www.tweakers.net][/url] klik hier!

Op dit item kan niet meer gereageerd worden.

Wormvirus slaat eerste kerstdag toe

Lees meer

Reacties (94)

Sorteer op:

Weergave: