“De schrijver of schrijvers van Mytob proberen het virus ongemerkt langs de antivirussoftware van computers te krijgen”, aldus Graham Cluley van antivirusbedrijf Sophos. “Ze doen dit door steeds kleine veranderingen te maken in het virus. Vandaar dat er zoveel versies zijn.”
Het half dozijn varianten dat het afgelopen weekend verscheen, heeft volgens Cluley overigens niet voor veel meer gevaar gezorgd. De varianten lijken zo sterk op elkaar, dat de al eerder uitgegeven updates van antivirussoftware ook de nieuwe versies kunnen detecteren.
Mytob richt zich uitsluitend op Windows-computers. Het gebruikt zijn eigen smtp-engine (Simple Mail Transfer Protocol) om zichzelf door te sturen naar alle e-mailadressen die het op geïnfecteerde computers kan vinden. Verder probeert het virus firewalls en antivirussoftware uit te schakelen.
Ook probeert het een poort open te zetten, zodat een hacker bestanden en opdrachten naar de computer kan sturen om bijvoorbeeld spyware te installeren of om de computer in een spam-machine te veranderen.
Het virus kan zichzelf ook verspreiden via een lek in de Local Security Authority Service (LSAS) in Windows. Voor dit lek heeft Microsoft echter al lang een patch uitgegeven via de periodieke updates; alleen computers die niet afdoende zijn gepatched, zijn dus op deze manier kwetsbaar.
Mytob vertoont overeenkomsten met het oudere MyDoom-virus. Volgens Luis Corrons van antivirusbedrijf Panda Software is dat geen toeval: “Het lijkt erop dat de broncode van MyDoom is gebruikt voor het maken van de Mytob-worm.”
Volgens Alfred Huger van Symantec betekent dit nog niet dat beide virussen door dezelfde persoon zijn geschreven: “De broncode van MyDoom kan door anderen zijn verkregen. Eerlijk gezegd slagen virusschrijvers er beter in software te delen dan commerciële softwarebedrijven.”
Ondanks de vele varianten blijven antivirusbedrijven het risico van Mytob als ‘laag’ of ‘gemiddeld’ inschatten. Hun software biedt afdoende bescherming tegen het virus, en wie toch besmet raakt kan onder andere op de sites van Symantec en Sophos een gratis verwijdertool downloaden.
Ik maak graag vrijblijvend kennis om mee te denken over jouw plannen. Met mijn ervaring en netwerk help ik je om ideeën om te zetten in concrete en succesvolle resultaten.
Bezoekadres
Europalaan 33-14
6199 AB Maastricht-Airport (NL)
Postadres
Bellefroidlunet 23a
6221 KS Maastricht (NL)
Kamer van Koophandel
14089683
