'Yoohoo' virus aast op filesharing

Nadat virusbakkers en scriptkiddies er lange tijd plezier in hadden de hele wereld te overstelpen met Melissa en Yaha via e-mail, is de nieuwste trend gericht op een andere populaire toepassing van het Internet: peer-to-peer filesharing. Het nieuwe virus, wat 'Yoohoo' gedoopt is, wordt weliswaar niet als erg gevaarlijk ingeschat door Symantec, maar het is natuurlijk wachten op de lamer die er een wél gevaarlijke variant op knutselt. Voor de verandering maakt het virus eens geen gebruik van VB-script of gaten in Windows, maar is het een 'gewone' executable, geschreven in Delphi. Het Yoohoo-virus en varianten hierop kopieren zichzelf in de Shared Folder van programma's als KaZaA, Bearshare, Morpheus en eDonkey2000 en nemen daar de naam aan van obscure, maar gewilde programma's:

Virus - groene doodskop
  • Hotmail_account_sniffer
  • Win2k_serial
  • Divx_repair
  • Catherine_zeta_jones_anal
  • Shakira_paparazzi_collection
  • Xbox_emulator_beta
  • Iis_shellbind_exploit
  • Counter strike_cd_keygen
  • Delphi 6 keygen
  • Icq_hackingtools
  • Kazaa
  • Edonkey_serverlist
  • Linux_rootaccess

Met dank aan dezero, die ons verblijdde met deze tip.

Door Maxim Burgerhout

Nieuwsposter

Feedback • 30-08-2002 12:06 70

30-08-2002 • 12:06

70

Bron: TechTV

Lees meer

Eerste virus ontdekt voor Windows CE
Eerste virus ontdekt voor Windows CE Nieuws van 17 juli 2004
"Virusschrijvers zijn jonge contactarme computernerds"
"Virusschrijvers zijn jonge contactarme computernerds" Nieuws van 19 maart 2003
Orange en Microsoft onderzoeken mogelijk telefoonvirus
Orange en Microsoft onderzoeken mogelijk telefoonvirus Nieuws van 15 januari 2003
Slechts 20% van Chinese computers virusvrij
Slechts 20% van Chinese computers virusvrij Nieuws van 11 oktober 2002
Gevaarlijk Bugbear virus op komst
Gevaarlijk Bugbear virus op komst Nieuws van 1 oktober 2002
Tiscali sluit sponsordeal met Kazaa in versie 2.0
Tiscali sluit sponsordeal met Kazaa in versie 2.0 Nieuws van 23 september 2002
Film en muziek industrie mag (bijna) hacken op je PC
Film en muziek industrie mag (bijna) hacken op je PC Nieuws van 25 juli 2002
Providers blokkeren mail van virusverspreiders
Providers blokkeren mail van virusverspreiders Nieuws van 27 juni 2002
MessageLabs meldt wederom grote toename virussen
MessageLabs meldt wederom grote toename virussen Nieuws van 19 juni 2002
Worm 'Benjamin' treft KaZaA netwerk
Worm 'Benjamin' treft KaZaA netwerk Nieuws van 22 mei 2002
AOL Instant Messenger nog steeds niet veilig
AOL Instant Messenger nog steeds niet veilig Nieuws van 7 mei 2002
Virus vermomd als Microsoft security bulletin
Virus vermomd als Microsoft security bulletin Nieuws van 12 maart 2002
Meer producten en artikelen
Bedrijfsnieuws

Reacties (70)

-Moderatie-faq
70
70
54
33
15
7
Wijzig sortering
gilead 30 augustus 2002 12:09
Nou lekker dan, het zat eraan te komen naatuurlijk. Kan je hier nu ook je virusscanner op configgen...
Aetje @gilead30 augustus 2002 12:17
Meeste virusscanners zijn hier al op geconfigureerd. Voor McAfee is het simpel "Download Scan" aanzetten.

En ik geloof dat we zojuist een zeer zwakke plek in P2P netwerken gevonden hebben...
bamboe @Aetje30 augustus 2002 12:38
Dit is waar RIAA op zat te wachten,
Waarschijnlijk zal er dus snel een virusje komen waarvan de bouwer nooit gevonden zal worden.
Fatamorgana @bamboe30 augustus 2002 12:49
Maar ALS ze hem WEL vinden dan is ie net zo goed de sigaar want moedwillig virussen maken en verspreiden om schade aan te richten is verboden voor iedereen, ook voor het almachtige RIAA.
Verwijderd @bamboe30 augustus 2002 13:48
Zij het zo dat er in de VS een wetsvoorstel op tafel ligt waardoor het wel zou mogen.... Amerikaanse politiekers willen namelijk dat de industrie zich kan "beschermen" door zulkse wormen en virussen...

Als je ziet wat voor doelgroep Yoohoo beoogt met de namen die er op staan, dan is het wel duidelijk wie de auteur will pakken...

Diep triest...

|:(

{edit extra urls}


http://www.cnn.com/2002/TECH/08/06/hln.wired.legislation/index.html


http://siliconvalley.internet.com/news/article.php/10862_1377581

http://www.computeruser.com/news/02/02/18/news4.html
Verwijderd @bamboe30 augustus 2002 15:47
Toch verdenk ik dat RIAA zelf de virussen heeft verzonden... De bedoelingen van de virussen zijn dat ze de netwerk van p2p in de war brengen en het kan het gebruik van filesharing flink verminderd door meerdere bestanden te besmetten! Zodat de gebruikers beseffen dat p2p niet meer veilig is!

Wat denken jullie van mijn theorie?
BasHouse @Aetje31 augustus 2002 13:43
de zwakke plek heet al een tijdje spyware volgens mij en kun je opsporen met bijv. AD-Aware...
SWINX @gilead30 augustus 2002 12:16
In Norton 2003 zit een P2P-optie die je aan kunt zetten voor virusscanning.
jesternl @SWINX30 augustus 2002 14:44
Ehhh waar dan, misschien ben ik kippig, maar ik kan 'm niet vinden :?
SWINX @jesternl30 augustus 2002 22:36
ik ben bang dat ik me vergist heb met instant messengers

Sorry ;(
PowerFlower @gilead30 augustus 2002 13:50
Nou lekker dan, het zat eraan te komen naatuurlijk.
Tis ook niet de eerste of zo hoor. Er bestond ook al de W32/Benjamin.worm die zichzelf via Kazaa shared onder gewilde bestandsnamen (ontdekt op 16 mei al).
Vriend van me kwam aanzetten met zn computer die zo traag was geworden en waar bijna geen vrije HD ruimte meer op zat... hij had over de 3.000 Bejamin bestandjes die samen over de 3Gb in beslag namen 8-)
Dat noem ik al redelijk schadelijk, trouwens!
Verwijderd @gilead30 augustus 2002 12:24
Heb jij dan 1 vd programma's of ben je van plan deze te DL-en? Voor mij is het antwoord 2x neen.

Op zich vind ik dit virus wel grappig, omdat het 'stoute' files aanpakt, zoals hacks en cracks. Alleen DivX repair lijkt me 'onschuldig'. Ff zoeken wat die eigenlijk doet.
progster @Verwijderd30 augustus 2002 15:08
Das redelijk simpel, het programma maakt het mogelijk beschadigde avi's af te spelen.

~Progster
NiGeLaToR 30 augustus 2002 12:11
Oke, iedereen z'n virusscanner updaten.

Mijn Norton 2002 pikt tot nu toe alle virussen, trojans en reclame spyware (=trojan) uit Kazaaa voordat het een kans krijgt. Ook virus geinfecteerde downloadables worden al gepakt voordat de file meestal compleet gedownload is.

Als je geen virusscanner hebt en willekeurige bestanden via een P2P binnen haalt ben je trouwens knap stom. Heb al een paar honderd virussen gepakt die van kazaa af kwamen namelijk :)
Jeroen 98675432 @NiGeLaToR30 augustus 2002 12:16
Heb al een paar honderd virussen gepakt die van kazaa af kwamen namelijk
dat waren dus hoogstwaarschijnlijk echte appz/mp3z/moviez/etc. die met een virus besmet waren, maar in het geval van yoohoo zijn de executables het virus zelf.
NiGeLaToR @Jeroen 9867543230 augustus 2002 12:21
Klopt, maar wel met onverwijderbaar virus. Ik vind het niet erg dat m'n virusscanner z'n werk doet. Sterker nog ik heb em zo ingesteld.. Op me server heb ik Mcafee voor servers draaien en dat werkt wellicht nog wel beter. Die heeft iig geen last van 'file is in use' want die verwijderd ze al voordat ze uberhaupt een plekje op me schijf in nemen ;) Norton wil ze nog wel es in quarantine plaatsen tot je kazaa uit zet voordat je kan deleten.
gday @NiGeLaToR31 augustus 2002 10:51
Eh, ik denk dat NiGeLaToR bedoelt, dat de executable het virus zelf is.. je kunt dus niet de executable cleanen, en vervolgens een normaal werkend programma overhouden...

In dat opzicht is het inderdaad onverwijderbaar :).
Verwijderd @NiGeLaToR30 augustus 2002 23:02
niks is onverwijderbaar
mocht je toch zo'n bestand hebben ga je simpel weg naar command mode(real command dus opnieuw opstarten naar command) of dos dan delete file en voila weg is bestandje
en nee het blijft echt niet zitten want die dingen worden niet op je schijf ingebrand ofzo en kunnen in dos niet resident gemaakt worden
Rudie_V @NiGeLaToR30 augustus 2002 15:55
Knap stom ? Het is pas stom als je die bestandjes nog eens wil openen, want dan wordt het virus pas actief... Want ik neem aan dat je ze nog steeds moet uitvoeren(in dit geval) voordat het actief wordt :)
De gebruikers zelf zouden, in mijn ogen(hoe moeilijk dat ook is), eens moeten kijken wat ze nou precies gedownload hebben voordat ze er zomaar in het wilde weg op dubbelklikken...
lintux @Rudie_V30 augustus 2002 16:23
Nee hoor, mensen die een virusscanner draaien denken vaak dat ze zelf niet meer na hoeven te denken. En mensen die te stom zijn om Windows zonder virusscanner te draaien denken ook dat die ene EXE geen kwaad zal kunnen. Net zoals dat ene zwarte stukje vlees geen kwaad kan, maar tien achter elkaar wel. ;)

Jij bent slim, ik ben slim (euhh...), maar dat betekent niet dat de hele wereld slim is, helaas.
The UnknownXprience @lintux30 augustus 2002 18:35
Een .PIF extensie is op internet in veel gevallen schadelijk. Dit is een soort DOS snelkoppeling (DOS versie van de windows .LNK snelkoppeling) Deze wordt namelijk AUTOMATISCH uitgevoerd (of gelezen)
Dus je hoeft het virus echt niet zelf uit te voeren, dat doet Windows wel voor je.

Voornamelijk wordt deze methode voor het Yaha virus gebruikt. Nu niet als een gek alle .PIF documenten verwijderen. Alleen als je deze per e-mail binnen krijgt zijn ze verdacht.

Ik had laatst weer een super trage pc, wat bleek! Er zat een Yaha.g@MM in de prullenbak. Die is waarschijnlijk weer per e-mail binnengekomen. Ik ben er pas achtergekomen toen ik de virusscanner installeerde en deze wou vervolgens niet opstarten.
Als je ook heel snel even wil controleren of toevallig een soort gelijk virus op je computer zit, kijk dan even in je registry onder de sleutel:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
in de sleutel hoort alleen ["%1\" %*"] te staan. Staat er een verwijzing naar een executable, dan is dit mogelijk een virus.
Voor verdere detail voor verwijdering vraag ik je een e-mail te sturen naar mij (e-mail staan in me profile)
Grauw @lintux3 september 2002 17:56
Een kennis van mij had ook Yaha, plus nog drie andere virii (heeft mij nog een flinke duit opgeleverd om dat te ontdekken en eraf te halen :)). Yaha is een van de virussen die een bug in oudere, niet-geupdate versies van Outlook Express exploit waardoor het bestand zichzelf automatisch kan uitvoeren. Naar mijn weten heeft die niet met de LNK extensie te maken (het is niet zo dat alle .LNK bestanden zichzelf automatisch uitvoeren), maar eerder met een aanpassing in de mail-header, die het mime-type op zo'n manier aanpast dat het automatisch wordt uitgevoerd.

Verder zijn PIF of LNK bestanden die je via email ontvangt bijna altijd executable (.EXE) bestanden die zijn hernoemd. Dat ze na hernoemen toch nog werken komt doordat de 'uitvoerder' voor al deze bestandstypes hetzelfde is, en verder niet aan de hand van de extensie bepaalt wat het is en wat 'ie gaat doen, maar aan de hand van de inhoud van het bestand. Met andere woorden het maakt niet uit of je een uitvoerbaar bestand .EXE, .PIF, .LNK of .COM noemt.

Er, dit wou ik even kwijt :).


~Grauw
Verwijderd @NiGeLaToR30 augustus 2002 12:15
Ach, zo'n vaart zal het niet lopen aangezien ik Kazaa via wine draai! Laat het virus dan maar eens iets verknoeien
NiGeLaToR @Verwijderd30 augustus 2002 12:19
Dan niet nee, maar dan heb je ook nix aan applicaties downloaden :P je moet die rommel namelijk nog wel zelf downloaden hoor :)
Verwijderd 30 augustus 2002 12:10
Komt dit van de beruchte platenmaatschappijen???

Hier is in ieder geval nog dat symantec bericht
http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.yooho o.html
baskabas 30 augustus 2002 12:15
Dat komt me bekend voor... heeft dat virus een nijntje als icoon en is deze ongeveer 48k groot?

Hij had zichzelf bij mijn broertje in de Windows\Media map genesteld... zo'n 40 executables met soortgelijke namen als in het lijstje hierboven.

Gelukkig waren ze zo te verwijderen... op 1 .exe bestand (zonder naam, alleen de extensie) na wat in de root stond... die was aanwezig in het geheugen.
Jorn 30 augustus 2002 12:15
Zolang de bron niet openbaar gemaakt word door de schrijver, zal het ook niet door anderen herschreven kunnen worden, een exe is namelijk gecompiled, en (bijna) onaanpasbaar.
In tegenstelling tot visualbasicscript(vbs), dit is gewoon een script, met een open broncode!
The UnknownXprience @Jorn30 augustus 2002 12:36
Het klinkt misschien raar j_iscool, maar die gecompileerde exe file is altijd wel aan te passen. Zelfs zijn deze Delphi programma vaak ook te decompileren. Als je dat doet heb je de bron dus weer. (Beveiligen tegen decompileren kan ook wel, met bijv. AsPack.)
Ik ga er vanuit dat de broncode van dit virus staat al lang en breed op pc's van vrienden van de schrijver en lang zal het ook niet duren voordat deze op internet komt. Het wachten is dus ook op een nieuwe wel schadelijke versie.
Verwijderd @The UnknownXprience30 augustus 2002 15:46
Het is wel altijd mogelijk een executable te disassemblen, maar het is over het algemeen niet mogelijk executables te decompilen.
De originele broncode wordt door de compiler zwaar geoptimaliseerd, en deze geoptimaliseerde code wordt gecompiled. Dus als je kan decompilen, krijg je nog razend ingewikkelde code die meer doet denken aan assembler dan aan VB of Delphi.

Je kan dit virusje dus wel disassemblen of decompilen en dan de code aanpassen, maar dat zal niet echt gebeuren. Het is waarschijnlijk makkelijker om je eigen virus te schrijven.
The UnknownXprience @Verwijderd30 augustus 2002 18:24
Tja mijn ervaring met Delphi is dat deze code niet perfect word geoptimaliseerd. C++ daar in tegen denk veel langer, deze optimaliseerd ook veel meer. Na een behandiling met AsPack over een Delphi Executable is deze meestal 40% size van het origineel en iets sneller (meestal niet merkbaar)

Je hebt wel gelijk wat betreft de moeilijkheid van de code. Deze is bij een simpel programma al bijna niet meer leesbaar. Dus laat mijn idee maar hangen. |:(
Verwijderd @Jorn30 augustus 2002 12:28
hmmm... er bestaat toch ook nog zoiets als RE? Niets is onmogelijk ;)
Jazzy Moderator SWS 30 augustus 2002 12:16
Sinds een paar dagen gebruik ik ook een P2P-netwerk om bestanden te delen. Het viel me gelijk al op (en tegen) dat er van alles word aangeboden odner een naam die niet juist is. Soms zie je dat direct aan de grootte of aan een duidelijk van de omschrijving afwijkende bestandsnaam. Ik wil niet weten wat ik in huis haal als ik het bestand 'Key for all Windows-products WORKING!!!' op mijn pc zet en opstart.

Dit is dus sowieso een enorm veiligheids-probleem omdat veel n00bs met breedband ieder willekeurig aantrekkelijk lijkend bestand downloaden en blindelings opstarten.

Een beetje bewustzijn is dus wel op zijn plaats lijkt mij.
B. Stuff @Jazzy30 augustus 2002 13:46
Absoluut. Of een bestand "Windows 2000 Server ISO.exe". En dat is dan een exe file van 500KB ofzo. Een beetje common sense is wel op zijn plaats.

Overigens heb ik dat bestand ff gedownload en gekeken welke API calls ie gebruikt, blijkt dus dat dat programma iets met je Dial Up Networking gaat doen. Waarschijlijk dus een nieuwe verbinding aanmaken naar een of ander 0900 nummer (of buitelands) ofzo.

Met cracks & keygens moet je zowieso al oppassen, je kan het in eerste instantie nooit helemaal vertrouwen. De beste methode is nog om ze van een crack site af te halen en niet van een P2P netwerk IMHO.
Ortep @B. Stuff30 augustus 2002 15:32
De beste methode is nog om ze van een crack site af te halen en niet van een P2P netwerk IMHO.
Bij eDonkey is het geen probleem hoor. Je moet alleen niet in het wilde weg zoeken. Je moet als startpunt Filenexus of Sharereactor gebruiken. Dan krijg je de goede link en kan het niet mis gaan. Alle eDonkey en ook OverNet files hebben een unieke hash code. Verander je maar 1 bit in die file dan klopt de code niet meer en zie je dat je wat anders download.
Grauw @B. Stuff3 september 2002 17:48
Die ISO .exe bestanden zijn (als ze echt zijn en geen virus) altijd self-extracting archives. Dit is zo gedaan omdat bijv. Kazaa onder software alleen .exe bestanden verstaat een geen .zip of .rar files. Een andere reden ervoor is dat self-extracting archives altijd uitgepakt kunnen worden, zonder dat je de software ervoor nodig hebt.

In ieder geval, mijn point, heb je zo'n ge'sfx'-ed ISO bestand, wees dan niet zo dom om het uit te voeren, maar gebruik gewoon je favoriete uitpakker (WinRAR, uiteraard :)). Weet je ook weer zeker dat je geen virus binnen krijgt.


~Grauw
Sir_Killalot 30 augustus 2002 12:13
Als je veel kennisen en vrienden heb die Kazaa op hun pc hebben staan, zou je die lijst hierboven in de block list kunnen zetten zodat ze het niet kunnen downloaden :)
Verwijderd @Sir_Killalot30 augustus 2002 14:25
Ik heb op dit moment 2.053.781 vrienden op Kazaa, aangezien ik alles gratis van ze mag downloaden :) Word wel een grote ban-list dan...
Sir_Killalot @Verwijderd30 augustus 2002 14:34
Je moet wel goed lezen wat ik gepost heb :)

Je moet die namen van virussen blocken, niet je vrienden en kennisen :)
AleXtc @Sir_Killalot30 augustus 2002 12:15
en nemen daar de naam aan van obscure, maar gewilde programma's:

Dit helpt dus niet want je gedownloade mp3 ofzow die wordt veranderd in 1 van die namen evt. met extensie
Verwijderd 30 augustus 2002 12:10
Er moeten maar eens strenge straffen komen tegen mensen die computer virussen met opzet verspreiden :(

Hoveel KB in size is dir virusje?
Verwijderd 30 augustus 2002 13:23
Niks nieuws onder de zon hoor. Zo'nworm hebben we al eerder gehad.

Dat was Benjamin (klinkt als zo'n verschrikkelijke orkaan ;))
Onder andere hier meer info

Ik zie dit niet als zwakke plek in P2P netwerken dit kan ook net zo goed op het WWW gebeuren of op IRC (op IRC gebeurd dit al actief)
gumkop 30 augustus 2002 16:22
Sorry hoor, maar als ik een programma download van iemand via Kazaa vertrouw ik het in eerste instantie nooit en gooi de desbetreffende virusscanners er over heen.

Dus dat er nou toevallig een proggie gemaakt is die het bij onschuldige gebruikers doet ... tja, maar vertrouw gewoon nooit direct iets wat je download. Dus een beetje paniek om weinig vind ik.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq