Yaha-virus bezig aan gematigde opmars.

  • Bron (c) 2002, VirusAlert

Deze tekst is aangepast op 22-06-2002 02.00 i.v.m. opwaardering van de ontvangstriscio naar “middel/medium”. Zie hieronder.

Sinds 18 juni is de derde variant van de Yaha-virusfamilie bezig aan een gematigde opmars. Een aantal e-zines en andere media berichten inmiddels over het virus. Naar beoordeling van VirusAlert en haar business partners is het virus nog zeker geen medium-risk status waard.

VirusAlert zelf houdt het op medium-on watch. Via de SMS-alert dienst van VirusAlert is er wel op 18 juni een alert eruitgedaan. Dit om met name alle afnemers ertoe te bewegen snel updates voor de AV-software binnen te halen.

Jeroen J.M. Oostendorp, technisch analist van VirusAlert legt uit; Het virus is zeker qua eigenschappen een gevaarlijk virus, vandaar ook dat onze waardering uitkomt op een score van 26 (gevaarlijk).

Belangrijk hierbij is dat het virus gebruik maakt van het al lang bekende MIME exploit van Windows waardoor het zichzelf kan doorsturen en de bijna polyformische eigenschap van het virus om zichzelf als een soort kameleon van andere gedaanten te voorzien.

Op zich belangrijke eigenschappen maar de verspreiding komt nog lang niet in de buurt van andere highrisk mailers als Bad.Trans, Sircam, Klez etc.
Bij deze virussen zag je m.n. in de beginperiode een enorme opmars. In het geval van Yaha.F is dit niet het geval. Veel antivirusproducten herkennen Yaha-varianten al: aldan niet op basis van heuristics.

Oostendorp acht het uitgeven van een nieuwsbrief vooralsnog dan ook niet toepasselijk. Dat zou toch teveel een soort van hype rond dit virus teweegbrengen. Maar mocht het alsnog zich razendsnel gaan verspreiden, denk dan aan duizenden detecties in tijdsintervallen van 12 uur, dan overwegen wij het alsnog.

Toevoeging door Redactie.
Het aantal detecties van dit virus is m.n. in de Benelux enorm toegenomen.
Alle business partners van VirusAlert achten het risico nog low. Toch heeft VirusAlert los hiervan besloten om het risico te verhogen naar “middel/medium”.
Dit fundeert m.n. op het sterk toegenomen aantal detecties via:
– de door VirusAlert gebruikte scan-systemen.
– het aantal meldingen aan de redactie (in absolute zin)
– het explosief toegenomen aantal detecties door Messagelabs.com
(business partner van VirusAlert)

VirusAlert zal geen nieuwsbrief versturen naar haar abonnees, daar alle gerenommeerde AV-fabrikanten reeds een aantal dagen updates beschikbaar hebben.