Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 51 reacties
Submitter: Thyzz

Er blijkt een virus rond te waren op het Skype-netwerk, dat bij infectie op eigen houtje een instantmessaging-gesprek aangaat met de contacten van de ongelukkige gebruiker, in een poging ook hen te besmetten.

Skype logo Van de malware, die sinds vanochtend actief is, wordt melding gemaakt op het Skype-forum. De besmetting is door Skype zelf tevens officieel bevestigd; de worm heeft de naam w32/Ramex.A gekregen. Skype weet te melden dat F-Secure en Kaspersky hun antivirusproducten inmiddels hebben bijgewerkt om de malware te kunnen herkennen en verwijderen. Het bedrijf geeft ook een manier om de worm handmatig te verwijderen. Volgens Skype gaat het om 'slim geschreven' malware, die zich in verschillende gedaantes aanbiedt.

Volgens forumgebruikers zorgt het virus er na installatie voor dat de Skype-software op de achtergrond verbinding legt met alle personen in de contactenlijst en hen probeert over te halen een jpeg-plaatje of een screensaver te openen - het gaat in alle gevallen echter om een scr-bestand. Contactpersonen zullen sneller geneigd zijn in de val te trappen, omdat ze denken dat de link van een bekende komt, zo is de gedachte van de malwarebakker. Er zijn verschillende versies van de aanval in omloop, bij sommige krijgt het beoogde slachtoffer nota bene een verontschuldiging op het scherm dat de link eigenlijk voor iemand anders was bedoeld, met het vriendelijke verzoek er niet op te klikken. Die truc lijkt goed te werken, verschillende gebruikers geven aan hun nieuwsgierigheid niet te hebben kunnen bedwingen.

Skype - No malware, ondersteboven Omdat de worm zichzelf als standaardschermbeveiliging inschakelt gaat de malware ook aan het werk na het afsluiten van Skype en het actief worden van de screensaver. Het virus probeert zichzelf niet enkel door te sturen maar schakelt ook eventuele virusbeveiliging uit en wijzigt bovendien de hostsfile van het slachtoffer. Het effect hiervan is dat de sites van securitybedrijven zoals Kaspersky en Symantec onbereikbaar worden.

De malware, die herkenbaar is aan de aanwezigheid van de processen windrivs32.exe en mshtmldat32.exe, lijkt nog meer pijlen op zijn boog te hebben. Het zou in staat zijn om het starten van de Windows Registry-editor tegen te houden, evenals het draaien van de taskmanager via het drukken op control-alt-delete. Indien de gebruiker handmatig het taskmgr.exe-programma weet te starten, dan reboot de computer zestig seconden na het beŽindigen van het windrivs32.exe-proces. Skype raadt dan ook aan om de computer in veilige modus op te starten, dan kunnen de virusverwijderingsstappen in alle rust worden doorlopen. Enkel Windows XP-systemen zouden vatbaar zijn voor een besmetting met w32/Ramex.A.

Moderatie-faq Wijzig weergave

Reacties (51)

Deze zelfde soort discussies komen elke keer terug als er iets over een virus wordt gemeld en ik denk niet dat ik de enigste ben die er zat van is. Sommige hier moeten echt eens volwassen worden wanneer het gaat over het vergelijken van OS'n. Elk OS heeft voordelen en nadelen. Get over it!

Maar goed nog even in het kort nog even dit.
  • De titel van het bericht is duidelijk en het artikel ook. Het virus verspreid zich via het Skype netwerk. Skype is niet platform onafhankelijk dus dat lijkt me logisch.
  • Het is inderdaad een W32 worm dus alleen voor Windows. Windows en Mac worden nou eenmaal heel veel door onervaren mensen gebruikt. Dit is geen belediging maar een feit en betekend niet dat ik bijvoorbeeld "jou" onervaren vindt.
  • Daarnaast is het ook een feit dat dit standaard te programeren valt onder Windows maar onder MacOS moet je iets slimmer zijn en is het veel meer werk voor het zelfde resultaat.
  • Tenzij je hebt ingesteld dat een beperkte gebruiker geen screensaver mag instellen zal dit virus ook zonder admin rechten werken. Misschien wel met een paar beperkingen.
  • Vista, ook al hou ik er niet van, heeft qua beveiligingen redelijke vooruitgang geboekt dus dit zal misschien wel de reden zijn dat het daar niet op werkt.
Daarnaast, is het niet gewoon beter om even een simpel programma te maken om deze worm automatisch te verwijderen dan er over te "zeuren"? Voor al aangezien er misschien mensen zijn die niet weten hoe ze hem moeten verwijderen en deze te ingewikkeld vinden en dat hun vertrouwde AV niet meer update?

Wij zijn tweakers, wij horen oplossingen te vinden voor problemen. Wij horen niet onder elkaar te ruzzien. Elke keer weer.

Mocht niemand het kunnen stuur mij dan een kopie van het virus dan infecteer ik een VM en kijk ik wel of ik snel iets kan maken. Ook al kom ik om in het werk.

Peace! O-)
Ik neem aan dat je enkel besmet kan raken wanneer het virus je iets toestuurt?
Tjah, als jij dat virus van niemand krijgt toegestuurd, en dat ook niet handmatig opent (er van uitgaande dat je een functionerende firewall hebt), zal je inderdaad niet besmet raken ;)

Ook kan ik mij zo voorstellen dat als je onder windows geen admin gebruiker bent, het probleem/gevolgen ook niet zo erg zullen zijn.
Hoogstwaarschijnlijk zal je ondanks een firewall gewoon het virus kunnen krijgen aangezien het binnen de toegestane processen van skype gebeurt, dus, het enige wat je kunt doen is er niet op klikken nu je het weet. En als je geen admin bent maar wel een screensaver kunt openen is het waarschijnlijk ook gebeurd met je veiligheid.
Ja, bovendien moet je het zelfs accepteren door erop te klikken. De worm gebruikt echter trucs om nieuwschierige mensen over te halen om te klikken.
Mooi om te lezen dat Windows Vista niet geinfecteerd kan worden door deze worm. Hiermee wordt dus duidelijk dat de beveiliging van Windows Vista beter (is/kan zijn) dan die van Windows XP!
Slaap maar lekker verder....

Meuk die op XP werkt kan ook op Vista probleemloos worden uitgevoerd.
32 bit of 64 bits maakt in dit geval niets uit.

[Reactie gewijzigd door veltnet op 10 september 2007 17:10]

Tuurlijk... maar op Vista heeft het programma niet automatisch admin rechten.

Als Skype het goed aanpakt, dan zal het complete programma in dezelfde soort van sandbox mode draaien als IE7, en dan heeft het niet eens normale user rechten. Ik weet niet of dat nu al gebeurt, maar het zou logisch zijn om dat te doen.


Natuurlijk kun je via social engineering ook dat soort beveiligingen omzeilen. Maar dat geldt voor ieder OS. Zolang de gebruiker het admin password kent, kan hij zijn eigen computer om zeep helpen.
Tuurlijk... maar op Vista heeft het programma niet automatisch admin rechten.
Op Windows XP ook niet. Helaas zijn er massas domme prutsers die liever met Admin rechten werken, en een enorme hoeveelheid onwetende gebruikers die niet eens weten wat het is (en helaas vaak wel hun computer laten onderhouden door voorgenoemde prutsers)
juist.. waarschijnlijk alleen mensen die de UAC uitzetten en onder een admin account werken (al is dat niet standaard) zullen vatbaar zijn voor dit virus...

eigenlijk mis ik in alle reacties toch ff dat feit...
UAC heeft wel zijn voordelen. Dit virus zal een UAC melding veroorzaken die de gebruiker moet goedkeuren. En als ze dat toch lezen, kunnen ze dat gelijk blokkeren...
Indien de gebruiker handmatig het taskmgr.exe-programma weet te starten, dan reboot de computer zestig seconden na het beŽindigen van het windrivs32.exe-proces
Shutdown -a ? :P
Geen idee waarom je reactie "ongewenst" gemod werd. Dit is inderdaad een oplossing om die reboot tegen te gaan.

Edit: typfout

[Reactie gewijzigd door YellowOnline op 10 september 2007 23:16]

Nee, natuurlijk meent hij dat niet! Maar het is wel het zůůů veelste ten opzichte van OSX........


Is dus eigenlijk het zelfde verhaal wat 5-6 jaar geleden met MSN gebeurde, werden toen ook massaal screensavers aangeboden van mensen uit je contactenlijst.......
Rixard,

denk dat je eerder moet denken dat Vista nog niet veel in gebruik is en daarom niet infecteerd omdat je dan het virus dusdanig moet programmeren dat het op beide OS-en werkt.

[Reactie gewijzigd door XeriuM op 10 september 2007 16:49]

Misschien heb je gelijk, maar ik hoop toch dat ik gelijk heb :-)
XeriuM,

denk dat je eens wat meer moet lezen over UAC ... hier bijvoorbeeld
Shadow_tj,

Vista 64 draait nog wel 32-bit applicaties hoor! net als Windows XP64.

[Reactie gewijzigd door Rixard op 10 september 2007 16:53]

ok ff snel nagekeken... vista heeft geen windrivs32.exe

dus vista heeft er geen last van
XP heeft standaard ook geen windrivs32.exe, dus dat Vista dat ook niet heeft wil niet zeggen dat Vista niet vatbaar is....
Wat je noemt een degelijk virusje
Het blijft smerig maarja
Ja ik moet toegeven het concept is niet slecht. Heb in het verleden zelf geexperimenteerd met het schrijven van virussen en ik vind het een kunst. Jammer genoeg een kunstvorm met gemene en "gevaarlijke" gevolgen.
Zou regedt32.exe werken ipv regedit.exe??
Edit: las wel al op dat skype forum uit de link bovenaan deze pagina dat je ook gewoon regedit.exe kan renamen en dan wel kan gebruiken :*) redding is nabij

[Reactie gewijzigd door Grrmbl op 10 september 2007 18:46]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True