Virus vermomt zich als Bugbear-remedie

Hobbit-virus verspreid zich via mail en KaZaA

21 oktober 2002 | Jamie Biesemans Er waart een nieuw virus rond dat zich heeft vermomd als anti-virussoftware. In een mailtje word je aangeraden om het begeleidende programmaatje te gebruiken om BugBear te verwijderen. Overbodig om te zeggen dat je hiermee het virus installeert. Ondertussen is het tot Hobbit omgedoopte virus ook gesignaleerd op het KaZaA-netwerk.

Het besmette mailtje is te herkennen aan het onderwerp " Fwd: Scan your computer for this new virus threat...". De bijhorende tekst probeert de gebruiker over te halen om het meegeleverde bestand te open, omdat het zou gaan om een applicatie om BugBear van je pc te verwijderen. "This is a fix and removal for the new internet worm known as BugBear. 1 in ever 4 computers in infected with this virus. When run, it will scan your computer and notify you if you're infected or not, then clean if infected.", luidt het.

Het bijhorend bestand heet Anti-Bug.exe en is ongeveer 61 KB groot. Als je er op dubbelklikt, verschijnt het bericht "KnOx Ownz. System not Infected with Bugbear." Dat mag misschien inderdaad het geval zijn, maar ondertussen is je pc wél besmet met Hobbit. Gelukkig blijven de gevolgen beperkt.

Het virus kopieert zichzelf tweemaal naar de Windows-folder, een keer met de naam shizzle.exe en nog een keer onder de naam Anti-bug.exe. Hobbit laat verschillende exemplaren van zichzelf achter, met namen als Britney Spears Nude.exe, New_Napster_Clone.bat en WinXP_Crack.exe. Het virus stelt de bestandsnamen samen uit een lange lijst; ze kunnen dus behoorlijk variëren.

Hobbit kijkt ook of KaZaA geïnstalleerd is op je pc. Is dat het geval, dan worden er ook kopieën van het virus achtergelaten in C:\KaZaa\My Shared Folder en C:\Program Files\KaZaa\My Shared Folder. Ook hier krijgt het bestand een valse, aantrekkelijke naam mee, zodat andere KaZaA-gebruikers het misschien zullen downloaden.

Rampzalige gevolgen heeft het Hobbit-virus niet echt. Contactenpersonen uit je Outlook-adresboek zullen het evenwel ook allemaal binnenkrijgen. Het virus probeert daarnaast een Denial-of-Service-aanval uit te voeren op een bepaalde website. Normaal gesproken heb je daar zelf niet zo veel last van, maar het continu pingen van een site kan bandbreedte opslorpen en eventueel voor problemen zorgen met je internetaanbieder. Tenslotte voegt Hobbit een regel toe aan je Register, waardoor het virus altijd samen met Windows opstart. Scannen is dus de boodschap! Vooralsnog is het virus nog niet wijd verspreid. Meer informatie over het virus vind je via deze link naar Symantec's Threat List. Lees meer artikels over : virus, hobbit, bugbear

bron: ZDNet