Nieuwjaarsvirus mogelijk van Belgische origine

Vlaamse virusschrijfster slaat weer toe

05 januari 2004 | Jamie Biesemans Net voor de jaarwisseling kwamen verschillende virusbestrijders, zoals Trend Micro en Symantec, een nieuwe worm op het spoor, Quis.a (ook bekend onder de naam Belzy). Het virus zou gemaakt zijn door ene Gigabyte, een naar verluidt Belgische virusschrijfster. Eerder al kwam zij in het nieuw met een virus dat beledigingen bevatte aan het adres van de beruchte Belgische hacker Frans Devaere, alias 'ReDaTtacK'.

Quis.a biedt zich aan via een mailbericht dat van een bekende afkomstig kan zijn. Het virus heeft als onderwerp 'Merry Christmas!'. De tekst luidt als volgt: "You've probably received enough e-cards. Here's a nice Christmas screensaver instead :)". Het bijgevoegde bestand, xmas.scr, is echter geen screensaver, maar een virus.

Quis.a bevat daarnaast een spelelement in de vorm van een quiz. Die verschijnt zodra een pc na besmetting met het malafide programmaatje opnieuw wordt opgestart. Om gebruikers zo ver te krijgen om de vraagstukken op te lossen, wordt beloofd dat het virus bij juiste antwoorden geen schade zal aanrichten.

Het virus vraagt zich onder meer af "in welk land woon ik?" en "welke toetsenbordlay-out gebruiken ze in België?". Een volledige lijst met de vragen én bijhorende antwoorden vind je hier, op de website van Trend Micro.

Correct antwoorden op alle vragen garandeert echter niet dat Quis van het systeem verdwijnt. In de plaats wordt een link aangeboden naar een webpagina waarop verwijderinstructies staan.

Ondertussen is het kwaad al geschied. Tijdens het besmetten van een pc neemt het virus de eerste 666 namen uit het adresboek en verstuurt zichzelf daar naartoe. Dat gebeurt niet via een eigen smtp-motor, zoals tegenwoordig de norm lijkt bij virussen, maar via MAPI van Outlook. Na het versturen zal Quis.a de mails verwijderen uit de folder van verstuurde berichten.

Quis.a gaat bovendien op zoek naar bestanden die beltonen voor gsm's bevatten. Dergelijke bestanden zijn te herkennen aan het suffix .RTX. Alle gevonden tonen en muziekjes worden vervangen door een bestand met het liedje Jingle Bells. Veel erger is dat het virus daarnaast alle uitvoerbare exe-bestanden vernietigt ? waardoor een Windows-pc zo goed als onbruikbaar wordt.

Het virus is gemaakt door 'Gigabyte', een naar verluidt Belgische informaticastudente die naast het Conut-virus al eerder de media haalde met een interview in de Humo. Lees meer artikels over : gigabyte, virus, redattack

bron: ZDNet