Een terugblik op de vier belangrijkste virussen van het jaar 2002: Klez.H, BugBear, Yaha.E en Yaha.K. Een uitleg over wat het Yaha K virus nu precies uitvoert, hoe u het virus herkent en hoe u het virus van uw computer kunt verwijderen.
UPDATE 2004: verwijderen van Netsky.B.

April (Klez.H) , juni (Yaha.E), september (Bugbear), december (Yaha.K) zijn de maanden van het jaar 2002 waarin virussen wisten door te dringen tot vele computers. In vergelijking tot vorige jaren waren er minder virussen succesvol met hun besmetting. Maar de virussen die er waren waren wel heftig.

"In 2001 waren nieuwe virussen schering en inslag", aldus virusexpert André Dost van High-Low Research. "Ook in 2002 zagen we dat er elke dag tien, vijftien nieuwe virussen bijkwamen, maar slechts een handvol daarvan slaagde er in om grote aantallen computers te infecteren."

De vier 'succesvolle' virussen van dit jaar lijken sterk op elkaar. Het zijn "blended threats" die worden ontworpen om misbruik te maken van programmeerfouten in bepaalde software (bijv. Outlook en Internet Explorer). Hierdoor kunnen ze zichzelf zonder menselijke tussenkomst activeren.

Klez.H, BugBear, Yaha.E en Yaha.K (de letter achter de punt geeft aan welke variatie op het oorspronkelijke virus het betreft) maken alle vier gebruik van wat in jargon de MIME-exploit heet. Door dit gat in de Internet Explorer (versie 5.01 en 5.5) kan het virus zichzelf lanceren als gebruikers het via het e-mailprogramma Outlook bekijken. Microsoft heeft al meer dan een jaar geleden een patch (reparatiesoftware) voor dit probleem beschikbaar gesteld, maar veel mensen hebben deze software nog niet geïnstalleerd.

Yaha-K
Op de laatste dagen (vanaf de kerstdagen) van 2002 is er een nieuwe versie van het Yaha-virus in omloop, Yaha-K. Het virus verspreidde zich in Nederland snel en was al snel onderwerp op radio en nieuwssites op Internet.
Yaha-K is een wormvirus dat zich via e-mail verspreidt en gebruik maakt van de zogenaamde MIME-bug in Windows. Het probeert de beveiliging van de computer aan te tasten door virussoftware en firewalls uit te schakelen.

WAT DOET HET YAHA-K VIRUS?
Het Yaha-K virus wordt geactiveerd door het attachment van de besmette e-mail te openen. Als de preview-instelling in het e-mailprogramma aanstaat wordt het virus al direct geactiveerd, zonder dat het attachment is geopend.

Na besmetting stuurt het een e-mail met attachement naar alle e-mailadressen uit het adressenboek van Microsoft Windows ( Outlook), MSN Messenger en Yahoo Messenger. Daarnaast zoekt het Yaha-K virus naar adressen in bestanden waarvan de extensie begint met .ht. (Zoals .htm of .html, wat de extensie is van Internet pagina's. Deze worden bijvoorbeeld door Internet Explorer in tijdelijke directories bewaard om snel een pagina te kunnen tonen als u deze voor een tweede keer bezoekt.).

Yaha-K stuurt een voortdurende stroom van besmette e-mail uit, en maakt daarbij gebruik van de volledige capaciteit van de internetverbinding.
Ter illustratie: Bij een inbelverbinding met een modem (van 56 Kbit/s) verstuurt Yaha 2 tot 3 e-mails per minuut. Bij eenvoudige ADSL (768 Kbit/s) is dit al 20 tot 30 e-mails per minuut. Bij nog snellere verbindingen kunnen wel honderden e-mails per minuut de wereld in gestuurd worden.

HOE HERKEN IK HET YAHA-VIRUS?
E-mails met het Yaha-K virus kunnen lijken op spam. Zowel de afzender (één uit een lijst van ruim 50 adressen) als ook de inhoud lijken sterk op spam-mail. Zowel Hotmail als bijgewerkte anti-virussoftware zouden de variant doorlaten. Het virus zit verstopt in een steeds met een andere naam gecamoufleerde bijlage bij een e-mail met wisselende onderwerpen, zoals 'hi', 'XXX pics 4 u', 'are you a soccer fan?', 'need money?' of 'wanna be friends?'.

E-mail met het Yaha-K virus bevat altijd een bijlage (attachment), dat eindigt op .scr, waardoor het een screensaver lijkt.

Meer informatie over het Yaha-virus leest u via:
http://www.virusalert.nl/?show=virus&id=389
http://www.europe.f-secure.com/v-descs/yaha_k.shtml
http://vil.mcafee.com/dispVirus.asp?virus_k=99918
http://www.sophos.com/virusinfo/analyses/w32yahak.html
http://www.xs4all.nl/nieuws/overzicht/klez-virus.html#yaha
http://www.sarc.com/avcenter/venc/data/w32.yaha.k@mm.html
http://www.bitdefender.com/virusi/virusi_descrieri.php?virus_id=117

HOE VERWIJDER IK HET YAHA-K VIRUS?
Installeer anti-virus software op uw computer en houdt deze up-to-date. Als u gebruik maakt van Windows, installeer dan ook de juiste patches van Microsoft voor Outlook en Internet Explorer. Wees altijd voorzichtig met het openen van bijlagen (attachments): nooit openen bij twijfel.

Als uw computer eenmaal besmet is, kunt u het Yaha-virus verwijderen met uw antvirus software. Let op: zorg er eerst voor dat deze software up-to-date is. Daarnaast kunt u het virus ook verwijderen met een speciaal programma. Deze vindt u onder andere op:

http://www.bitdefender.com/download/AntiYahaa.exe
http://europe.f-secure.com/v-descs/yaha_k.shtml
http://vil.mcafee.com/dispVirus.asp?virus_k=99918
http://www.sophos.com/virusinfo/analyses/w32yahak.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.yaha.k@mm.html

Aanvullende informatie / links:

column december 2002: Heb ik een virus, worm, hoax of Trojaans paard?
column december 2001: Worstelen met wormen
column oktober 2002: Hoax: moderne kettingbrief

2004: tools om wormvirus Netsky.B te verwijderen:

http://vil.nai.com/vil/stinger/
http://www.bitdefender.com/html/free_tools.php
http://securityresponse.symantec.com/avcenter/venc/data/w32.netsky.b@mm.removal.tool.html