Wormen verspreiden zich via MSN Messenger

Nieuwe versies van de Bropia- en Kelvir-wormen doken begin deze week op en begonnen zich te verspreiden via MSN Messenger, zo stellen diverse makers van antivirussoftware. Zij waarschuwen tegelijkertijd voor een geheel nieuwe wormfamilie, Sumon of Serflog genaamd.

De stortvloed aan nieuwe wormen is volgens experts van Sophos een bewijs dat virusmakers eindelijk de potentie van instant messaging (im) beginnen in te zien. Bropia dook voor het eerst in januari op, om gevolgd te worden door diverse varianten.

De wormen verspreiden zich via de babbelnetwerken via berichten van bekenden. Zij maken gebruik van zogenoemde social engineering-trucjes door vage, maar bekend klinkende boodschappen te sturen. Deze gaan dan vergezeld van kwaadaardige attachments.

Kelvir komt bijvoorbeeld binnen met de aanprijzing `lol! see it! u'll like it', met een link naar een bestand genaamd omf.pif. Wie op dit linkje klikt installeert een virus. Vervolgens zoekt de computer van het slachtoffer automatisch contact met bekenden uit het contactlijstje. Serflog komt zonder begeleidend tekstje binnen, maar biedt bestanden als `Topless in Mini Skirt! lol.pif' aan.

Chatters die het meegestuurde linkje aanklikken, downloaden een Trojaanse paard dat is ontworpen om achterdeuren van computers open te zetten voor hackers. Volgens onderzoekers van Websense Security Labs wordt dit Trojaanse paard gehost op een server in Amsterdam.

Dergelijke technieken zijn vergelijkbaar met die van wormen die zich via e-mail verspreiden. Belangrijk verschil is echter dat gebruikers van im-programma's er nog relatief onbekend mee zijn, zo stelt veiligheidsexpert Gregg Mastoras van Sophos. Volgens hem is er veel werk aan de winkel onder werkgevers en im-aanbieders om gebruikers op te voeden.

Diverse fabrikanten, zoals Symantec, hebben inmiddels gereedschap beschikbaar gesteld waarmee de virussen aangepakt kunnen worden.