Artikel uit PZC zaterdag 31-08-96

Alarmfase op het net na nieuw virus.

Het Hare.Krsna-virus heeft niets te maken met de kaalgeschoren, in oranje gekledeboeddhistische gelovigen. Maar het maakt wel evenveel kabaal. Het virus wordt via het net verspreid en heeft volgens de ontwikkelaars van anti-virus programma's 'alle toeters en bellen' van een vervelend, gemeen, doortrapt en akeligbeestje. Het Israelische bedrijf EliaShim heeft de afgelopen weken Hare.Krsna nauwkeurig bestudeerd, alsof het een bacterie van Mars was. De conclusie? "Het virus is goed geschreven en rechtvaardigt een verhoogde paraatheid." Andere ontwikkelaars van anti virus-programma's komen tot soortgelijke gevolgtrekkingen. Het gerenommeerde Datafellows (maker van F-Prot): "Hare is een uitermate complex en moelijk pc-virus." Symantec (onder meer bekend van de Norton Utilities en Norton Anti Virus) stelt haar FTP-site doorgaans alleen open op de eerste dag van de maand. In speciale gevallen; bij een plotselinge virus-epidemie bijvoorbeeld, maakt het bedrijf een uitzondering. "En dit is zo'n geval, " aldus Symantec. Opmerkelijk is bovendien dat het virus zich verbreidt vanuit enkele populaire internet nieuwsgroepen, met name alt.sex, alt.comp.shareware en alt.cracks. Wie regelmatig in de nieuwgroepen neust, dient met andere woord.en extra alert te zijn. Kortom, er is na Michelangelo wel degelijk weer wat aan de h.and, al verkeren we volgens de maatstaven van EliaShim nog in staat van een Virus Alert, een verhoogde waakzaamheid. Als het aantal gevallen van besmetting toeneemt, zal er een Severe Virus Warning uitgaan. Dan wordt het echt menens. Het was in Nieuw-Zeeland dat Hare.Krsna. voor het eerst werd ontdekt. Daarna kwamen er ook meldingen vanuit de Verenigde Staten, Rusland, Canada, Zwitserland, Zuid-Afrika, Engeland en, jawel, Nederland. Het verhaal gaat dat het beestje ergens in Oost-Europa is gemaakt, andere rapportages duiden op een land: Slovenië. Het virus infecteert een groot deel van de computer: de master boot record (MBR), de boot-sector, het koppelt zich aan be standen. met een com- of .exe-extensie (en is daarom in staat' zichzelf snel te vermeerderen) en nestelt zich in het geheugen.

Hare heeft vervolgens nog enkele eigenschappen' die het tot zo'n. akelig beestje maken. Het is een zogenoemd polymorfisch virus, zodat het zich in verschillende gedaanten kan openbaren, en het kan stealth in het systeem zitten, onzichtbaar dus. Veel virusscanners merken Hare.Krsna daarom niet op. Het oorspronkelijk virus had de naam Hare.Krsna.7610. Inmid- dels zijn er' 'verbeterde' versies verschenen (7750 en 7786), omdat de eerste een bug bleek te hebben en daardoor in staat was om zichzelf om zeep te helpen. Geinfecteerde computers zullen eerst de volgende mededeling krijgen: 'HDEuthanasia, .by Demon Emperor: Hare Krsna, hare hare' (de verbeterde versies voegen daar respectievelijk v-2 en v-3 aan toe). Daarna zal de hele harde schijf overschreven worden. Uit eindelijk volgt de mededeling non system disk or disk error. Datbetekent dat het virus in zijn opzet is geslaagd. Hare.Krsna blijft in het geheugen en zal tevens proberen een opstartdiskette te infecteren. Het Hare-virus is zo geprogrammeerd dat het op twee dagen actiefwerd en wordt: op 22 augustus en op 22 september. Menig computerbezitter keek dan ook met enig angst uit naar de 22ste augustus. Een tv-station in de Verenigde Staten adviseerde zelfs nogal overdreven om de computer op die dag met rust te laten. Uiteindelijk bleek de schade wel mee te vallen. Twaalf bedrijven in Engeland riepen de hulp in van Dr.Solomon, een ontwikkelaar van software gespecialiseerd in antivirus-programma's. Vier ervan hadden hun al hun data verloren. Symantec (van Norton Anti Virus) rapporteerde twee gevallen van besmetting. Een ervan is een telefoonmaatschappij in de staat North-Carolina in de Verenigde Staten. De verspreiding via het Net van Hare is tot dusverre dus beperkt gebleven, maar enige voorzichtigheid is nogsteeds op zijn plaats: 22 september komt nog.

De meeste bestaande virus-scanners zullen Hare.Krsna niet opmerken. EliaShim heeft daarom een klein anti-Hare.Krsna scannertje in elkaar geknutseld, de Hare Virus scan & removal tooL of kortweg VS-Hare. Het programmaatje is gratis: De enige tegenprestatie die EliaShim verlangt is dat de besmettingen worden gemeld (en zodoende kan ze haar eigen database verrijken, maar dat terzijde). Ook Datafellows heeft een apart en gratis programma gemaakt (F-Hare utility). Symantec tenslotte heeft een update van haar eigen Norton Anti Virus , gelanceerd. EliaShim heeft bovendien een scanner ontwikkeld die opgehaalde bestanden van het Net eerstcontroleert op de aanwezigheid van een virus en die pas bij en schoon-verklaring' doorlaat. De nieuwste versie van ViruSafe WEB (V2.01) kan het Hare-virus ook herkennen.

ViruSafe WEB is een handig programma waar je nauwelijks omkijken naar hebt. Het detecteert welke browser er wordt gebruikten 'hecht' zich er aan vast. Bij het starten van de Browser wordt de scanner automatisch actief. Enige tekortkoming, maar gelukkig een kleine, is dat ViruSafe WEB niet overweg kan met de lange bestandsnamen van Windows95. In die gevallen zullen de opgehaalde bestanden door de gebruiker van een nieuwe, kortere naam moeten worden voorzien maar da's een kleine moeite vergeleken met het desinfecteren van een computer.

U bent bezoeker

Antivirus Zeelandnet.nl