Dinsdag 02/06/2020

Nieuwe MyDoom-varianten hebben geen e-mail nodig

'Wie de twee varianten heeft gemaakt, was tenminste op de hoogte van het eerste virus'

Sinds afgelopen maandag zijn er twee nieuwe varianten van het MyDoom-virus op pad, die het schijnbaar uitsluitend gemunt hebben op computers die al besmet zijn met de originele wormen, MyDoom-A en MyDoom-B. De nieuwe versies, die de naam Doomjuice en DeadHat dragen, werken zich in tegenstelling tot hun grote broers niet binnen via e-mail, maar maken gebruik van een 'achterpoortje' dat de MyDooms op de computer van hun slachtoffer hebben geplaatst.

"Virusmakers worden steeds creatiever en geniepiger", zegt analiste Carole Theriault van het Britse beveiligingsbedrijf Sophos. "Vroeger werd er misbruik gemaakt van programmeerfouten in Windows of Internet Explorer om dit soort wormvirussen te verspreiden. Nu opent het ene virus zo'n poortje voor het andere. Ze bedenken altijd wat nieuws."

Vooral het Doomjuice-virus is erg verstandig gemaakt. Niet alleen hernieuwt het de aanval op de Microsoft-website die al was ingezet door MyDoom-B, maar het plaatst ook de broncode van het originele virus op de harde schijf van de gebruiker. "Waarom ze dat doen, is nog niet helemaal duidelijk", zegt Theriault. "Misschien zijn ze bang om te worden vervolgd en denken ze dat het onderzoek moeilijker wordt omdat de code van het virus vanaf nu op meerdere harde schijven staat. Maar het is ook mogelijk dat ze de broncode via die weg gewoon willen verspreiden, om anderen ertoe aan te zetten varianten te maken. Eén ding lijkt me in ieder geval duidelijk: de makers van de nieuwe varianten komen uit dezelfde hoek als die van het originele MyDoom-virus. Als we de codes bekijken zien we een hoop elementen die hetzelfde zijn, en hoe anders zouden ze over de broncode beschikken? Wie de twee varianten heeft gemaakt, was tenminste op de hoogte van het eerste virus voordat het werd verspreid."

Makers van nieuwe virussen hebben echter niet per definitie de achterpoortjes van MyDoom nodig om zich te verspreiden. Gisteren kwam softwaregigant Microsoft voor de tweede maal deze maand met de melding dat er een programmeerfout zat in een van zijn producten, die ernstig genoeg is om te worden misbruikt door een virus. Het gaat ditmaal om een gat in een van de Windows-besturingssystemen van Microsoft, een eerdere fout zat in de browser Internet Explorer. Microsoft heeft herstelsoftware op zijn website staan om de gaten te dichten.

(RMe)

Meer over

Wilt u belangrijke informatie delen met De Morgen?

Tip hier onze journalisten


Op alle artikelen, foto's en video's op demorgen.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234