Nieuwe worm zet Windows XP firewall uit

De hybride worm, door Panda Eyeveg.D genoemd, zoekt eerst een dll-bestand en een willekeurig exe-bestand om te infecteren. Door deze willekeur is de worm lastiger te detecteren. Vervolgens past Eyeveg het Windows-register aan, zodat het altijd laadt wanneer de pc wordt opgestart. Panda waarschuwt hier op zijn website voor en raadt iedereen aan zijn virusdefinities uptodate te houden.

Naast het 'phishen' door Eyeveg middels het loggen van toetsaanslagen, opent het ook een achterdeur op het geïnfecteerde systeem. Via deze achterdeur kan een kwaadwillende de pc op afstand overnemen en bestanden installeren. Eyeveg probeert door deze achterdeur contact te maken met een url en schakelt daarbij, indien nodig, de Windows Firewall van Windows XP uit.

De kwaadwillende code gaat vervolgens op zoek naar e-mail adressen op het besmette systeem. Deze adressen krijgen vervolgens een gecomprimeerd bestand met daarin Eyeveg verstopt, zodat het zichzelf verder kan verspreiden.
Zombie

Gebruikers van Windows 95, 98 en Millenium hebben een extra probleem. De worm zorgt er namelijk voor dat Eyeveg niet te zien is in het Processen-overzicht van Windows.

Het kunnen uitschakelen van de Windows Firewall is een klap in het gezicht in de strijd tegen spam. Spammers maken veelvuldig gebruik van geïnfecteerde systemen om zo bergen mail te kunnen versturen. Door besmette pc's, zogeheten zombie-pc's, hier voor in te zetten is de spammer vele malen moeilijker te traceren.

Onlangs werd bekend dat door de komst van Service Pack 2 voor Windows XP het aantal zombie-pc's drastisch gedaald is. Dit is voornamelijk te danken aan de verbeterde firewall van Windows XP. Nu deze door virussen en wormen uit te schakelen is, zijn de spammers weer een stap verder in het kat-en-muisspel tussen spam en beveiliging. [eind]