News

Oorspronkelijk is de worm waarschijnlijk geschreven om een Slowaakse motorclub mee te pesten. Maar het ondier is ontsnapt en maakt nu harddisks over de hele wereld onklaar.

Beveiliger ESET meldt dat Zimuse, zoals de worm heet, een antiek beestje is. Het overschrijft de MBR met eigen data, een techniek die veel werd gebruikt door virussen van 20 jaar geleden. Maar deze dino wordt bij de verspreiding geholpen bij de moderne variant van de floppy disk, de usb-stick.

Het doet zichzelf voor als een IQ-test programma, wat misschien iets zegt over de motorclub in kwestie. Of het komt binnen via een geïnfecteerde website. Het vult de eerste 50 kb MBR van elke schijf met nullen, waardoor de data onbenaderbaar wordt. Het terughalen van de data kan moeilijk zijn en vereist gespecialiseerde software, zo waarschuwt ESET.

Blauwe en rode draad

Zeer waarschijnlijk zijn er twee versies, Zimuse.A en Zimuse.B, die zich nu verspreiden buiten Slowakije, vooral in de VS, Thailand, Spanje en Italie, maar ook in andere Europese landen. Het verschil tussen de twee heeft te maken met de tijd die het neemt voordat het zich gaat verspreiden via usb, en waarop het zijn vernietigende werk doet.

De B-variant is de ergste van de twee, omdat het zichzelf eerder gaat vermenigvuldigen, na zeven dagen na de infectie, bovendien heeft het maar 20 dagen nodig voor zijn vernietigende werking. Het verwijderen moet goed gebeuren. Als het verkeerd wordt gedaan, dan gaat het virus over tot vernietiging. ESET vergelijkt dit met de rode en de blauwe draad bij een bom. Knip je de verkeerde door, dan gaat hij af.

Backup

“Hopelijk zal dit zich niet veel verder verspreiden. Maar het herinnert ons eraan dat, nu de meeste bedreigingen tegenwoordig meer geïnteresseerd zijn in het stelen van je data dan in het vernietigen ervan, het toch nooit een slechte tijd is om te controleren of je backup systemen goed werken”, zegt David Harley van ESET in zijn blog.

Vandaag de dag kom je niet vaak meer een virus tegen in de boot sector van een harde schijf. Een recente uitzondering was de vervelende Mebroot rootkit uit 2008. Soms komt oudere malware nog wel eens tot leven, zoals het Stoned.Angelina MBR virus dat in 2007 zijn weg vond naar zo’n 100.000 Medion laptops.

Oorspronkelijk kwam Stoned.Angelina uit januari 1994, een tijd waar Zimuse misschien ook uit stamt. ESET ziet een duidelijke overeenkomst met het One-half virus, dat uit in 1995 uit Slowakije kwam.

ESET heeft informatie en een tool online gezet waarmee je Zimuse kunt verwijderen.

bron: techworld.nl

Related articles

Popular articles