Nieuwe worm kruipt door lek in Windows
Voor de tweede keer binnen een week worden computers en internetverkeer geteisterd door een hardnekkig computervirus. De nieuwe worm Welchia verwijdert zijn oudere ’broertje’ Blaster, en maskeert zijn aanwezigheid door het beveiligingslek te repareren. Daarbij zorgt het echter wel voor overlast.
Microsoft heeft de aanval van Blaster, afgelopen zaterdag, goed doorstaan, hoewel er wereldwijd een half miljoen computers geïnfecteerd raakten en er veel schade is veroorzaakt. Deskundigen waarschuwden vorige week al dat er snel nieuwe varianten zouden opduiken, en dat blijkt nu zo te zijn. Blaster wordt op de hielen gevolgd door Welchia (ook wel aangeduid als Welchi of Nachi), een worm die sinds afgelopen maandag circuleert.
Volgens Symantec, producten van beveiligingssoftware, veroorzaakt Welchia inmiddels evenveel overlast als Blaster. Zo werd dinsdag driekwart van een intranet van de Amerikaanse marine, met 100.000 gebruikers, geplaagd door het virus.
Welchia dringt op dezelfde manier in computers binnen als Blaster: niet via e-mail, maar door gebruik te maken van een beveiligingslek in Windows XP. Een woordvoerder van Symantec stelt dat de schrijver van Welchia geen kwaadaardige bedoelingen lijkt te hebben. Het virus richt geen schade aan. Welchia schakelt na binnenkomst in de computer direct zijn eventueel aanwezige voorganger Blaster uit, en maakt contact met de website van Microsoft om daar het ontbrekende stukje software te halen dat het lek in Windows repareert. Bovendien zoekt Welchia naar andere computers in het bedrijfsnetwerk of daarbuiten, om zich te verspreiden. Uiteindelijk vernietigt Welchia zichzelf op 1 januari 2004.
Door al die handelingen veroorzaakt Welchia echter wel een grote toename in het dataverkeer, zodat niet iedereen overtuigd is van de goede bedoelingen van de schrijver van de worm. Welchia maakt bovendien gebruik van een tweede lek in de Microsoft-software, om ook computersystemen binnen te kunnen dringen die vorige week beschermd zijn tegen Blaster. Het gaat daarbij om IIS 5.0, software die gebruikt wordt voor bedrijfsnetwerken.
Symantec waarschuwt ook voor de e-mailworm Sobig.F… De worm dook volgens een beveiligingsspecialist dinsdagmorgen op en stuurt zichzelf door naar e-mailadressen die hij op de geïnfecteerde pc vindt. Symantec kon nog geen cijfers noemen maar virusbestrijder MessageLabs meldde woensdagmorgen al 260.000 exemplaren van het virus te hebben onderschept. Hiervan komt 9 procent uit Nederland, 25 procent uit de VS en 38 procent uit Groot-Brittannië.
