Zaterdag 06/06/2020

Nieuw virus doet zich voor als Microsoft-mail

Er waart een nieuw virus rond in cyberspace. Ditmaal gaat het om eentje dat zichzelf presenteert als een bericht afkomstig van Microsoft, meer bepaald van support@microsoft.com. Beveiligingsfirma's waarschuwen internetters dan ook om op te passen met het wormvirus.

Londen

Eigen berichtgeving

Thea Swierstra

Het beste is gewoon geen enkel bericht afkomstig van support@microsoft.com te openen. Anders kan je computer besmet raken met de worm W32/Palyh-A. Die kopieert zichzelf vervolgens naar de Windows-folder waar hij zichzelf begint te versturen naar alle e-mailadressen die hij maar kan vinden op de computer.

Eenmaal het zich in een computer genesteld heeft, verspreidt het virus zich elke keer dat de gebruiker het apparaat aan zet. Als het zich een weg naar vele computers heeft gebaand, kan het ervoor zorgen dat netwerken overbelast raken. Wat dat betreft, heeft Palyh veel weg van het 'Kournikova-virus', dat twee jaar geleden hard heeft toegeslagen.

Virusmakers zitten altijd op het vinkentouw om argeloze computergebruikers beentje te lichten. Een worm vermomd als een bericht afkomstig van 's werelds beroemdste softwarefabrikant is voorlopig de laatste in een hele reeks sluwe trucs.

Palyh is ongelooflijk slim. In tegenstelling tot sommige van zijn voorgangers doet het weinig moeite om mensen ertoe aan te zetten de mail te openen. Niks geen prikkelende teksten of foto's als lokkertjes. "Palyh volgt niet de typische psychologie en aangezien het redelijk minimaal is, zouden gebruikers kunnen denken dat ze niet in de maling worden genomen. Dat het oké is", zegt Graham Cluley van Sophos, een bedrijf gespecialiseerd in antivirussen.

De aannemelijkheid van Palyh-berichten zit hem in een aantal dingen. Zo staat er als begeleidende tekst: All information is in the attached file. Als onderwerp staan er teksten vermeld als Your details, Approved (Ref: 38446-263), Re: Approved (Ref: 3394-65467), Your password, Screensaver, Re: My details, Cool screensaver, Re: Movie of Re: My application.

Voor mensen die overstelpt worden met mails kan het een tweede natuur zijn attachments te openen na een snelle scan of de mail al dan niet verdacht lijkt. "Microsofts technische ondersteuning stuurt nooit documenten op zo'n manier", verzekert Cluley. "Gebruikers moeten dan ook twee keer nadenken voordat ze het attachment openklikken."

Het document wordt verstuurd met een .pif-extensie, een filenaam die gebruikers misschien minder bekend is. Cluly: "Veel gebruikers die voorzichtig omgaan met .exe- en .vbs-documenten zijn zich er niet van bewust dat .pif-aanhangsels evenzeer kwaadaardig kunnen zijn." De documenten bieden zich aan onder namen als: your_details.pif, ref-394755.pif, approved.pif, password.pif, doc_details.pif, screen_temp.pif, screen_doc.pif, movie28.pif of application.pif.

Het virus heeft in de nacht van zondag op maandag al flink toegeslagen, aldus Sophos. De meeste gevallen hebben zich vooralsnog voorgedaan in Australië en Nieuw-Zeeland. Ook de BBC heeft ruim tien berichten ontvangen met het virus.

Het enige goede nieuws is dat het wormvirus zo geprogrammeerd is dat het aan het eind van de maand in slaap valt. Medewerkers van Sophos hebben ontdekt dat de worm de datuminstellingen van geïnfecteerde computers nagaat. Als de computer een latere datum dan 31 mei 2003 aangeeft, negeert de worm de code die hem zegt zichzelf te verspreiden naar alle mailadressen op de harde schijf. Ook stopt het virus dan met apparaten te infecteren die op het netwerk aangesloten zijn.

"Het is moeilijk te achterhalen waarom de virusmaker dit heeft gedaan. Maar het is niet de eerste keer dat we zien dat een virus of worm een ingebouwde zelfvernietiger heeft", zegt Cluley. Een mogelijkheid is dat virusmakers dat doen in de hoop dat ze minder zwaar gestraft worden als ze opgepakt worden.

Sophos raadt aan niet te wachten tot het eind van de maand, maar onmiddelijk actie te ondernemen. Cluley meent dat het goed zou zijn als computerafdelingen alle gevaarlijke filetypes aan de poort blokkeren. Zo voorkomen ze dat gebruikers elke uitvoerbare code openen voordat ze gescand is door de computerdeskundigen.

'W32/Palyh-A' lijkt op 'Kournikova-virus' van twee jaar geleden

Meer over

Wilt u belangrijke informatie delen met De Morgen?

Tip hier onze journalisten


Op alle artikelen, foto's en video's op demorgen.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234