Woensdag stak de JS.Menger.Worm voor het eerst de kop op. Het virus maakt gebruik van de slechte beveiliging van Internet Explorer en het instant messaging (im) programma MSN Messenger om zichzelf naar alle adressen in de contactenlijst door te sturen. Ontvangers van het bericht moeten wel eerst op een link klikken om de worm te activeren. De JS.Menger.Worm leek een snelle dood te sterven doordat de webpagina waar hij gebruik van maakt, snel uit de lucht werd gehaald. Maar inmiddels circuleert er een groot aantal varianten op het oorspronkelijke virus. Het anti-virusbedrijf Kaspersky Labs sprak donderdagmiddag in een persbericht van zeven varianten. Lezers van WebWereld meldden gisteren zeker vijf varianten, vaak met een verwijzing naar Valentijnsdag.

Eenvoudig

De berichten hebben een andere tekst dan de oorspronkelijke worm en verwijzen naar een ander adres op internet. De MSN-wormen werken allemaal met hetzelfde Javascript dat eenvoudig kan worden aangepast. Uitgebreide kennis van Javascript, de MSN Messenger en Internet Explorer is niet nodig om zelf een vergelijkbare worm te maken. Het Javascript maakt gebruik van een bug in Internet Explorer, waardoor er automatisch berichten verstuurd kunnen worden naar de namen in de contactenlijst van de MSN Messenger. Microsoft heeft begin deze week reparatiesoftware beschikbaar gesteld waarmee het beveiligingslek gedicht kan worden, maar de meeste internetters hebben deze 'patch' nog niet geïnstalleerd.

Argeloosheid

Door een combinatie van het niet installeren van de patch, argeloosheid van Messenger-gebruikers en de voortdurend opduikende mutanten van de JS.Menger.Worm houdt het virus nu behoorlijk huis. Met name aan het einde van de werkdag meldden gisteren veel lezers van WebWereld dat ze de worm om de haverklap binnenkregen. "Bijna iedereen in mijn MSN contactlijst is geïnfecteerd, en ze sturen allemaal een andere URL", meldde 'Wim' om 18.18 uur. En: "Het is te merken dat de school/werkdag voorbij is... Nu inmiddels al negen mensen met die shit op MSN in amper twee uur tijd", aldus `JMT' een paar minuten eerder.

Nooit de bedoeling

Thor Larholm, een van de twee veiligheidsdeskundigen die het veiligheidslek in Internet Explorer vorige week aan de kaak stelden, is niet verbaasd dat virusschrijvers gebruik maken van het lek. "De worm is een aangepaste versie van onze voorbeeldcode. Het was nooit onze bedoeling dat iemand de code zou kopiëren, maar we hadden het wel een beetje verwacht. Overigens waren de veiligheidsgaten al langer bekend." De benodigde patch voor het gat in Internet Explorer staat op de site van Microsoft.