Gevaarlijk nepvirus

Hoaxes, waarschuwingen voor virussen en kankerpatiëntjes die niet bestaan, plachten onschuldig te zijn. De hoax wás het virus, omdat hij door duizenden of soms honderdduizenden mensen werd doorgestuurd naar vrienden, kennissen en collega's. De SULFNBK.EXE-hoax die de afgelopen weken het Net onveilig maakte, werkt anders. Ontvangers moesten volgens het e-mailbericht over `een gevaarlijk nieuw virus' een bestand verwijderen van hun harde schijf.

Ik heb de afgelopen weken van tientallen mensen, goede bekenden en aardige onbekenden, een waarschuwing voor het niet bestaande SULFNBK.EXE-virus ontvangen. De meesten meldden trots dat zij het virus op hun harde schijf hadden aangetroffen en het met succes hadden verwijderd. Ze zijn in de val getrapt die de aanstichter van de hoax voor hen had gezet. Het `SULFNBK.EXE-virus' was zo bedreigend, aldus de waarschuwingsberichten, omdat bekende virusscanners als McAfee en Symantec het nog niet konden herkennen. Alleen als je zelf zocht op SULFNBK.EXE kon je het gevaarlijke bestand vinden.

De bedenker van de hoax speelde niet alleen in op de ijdelheid van de gemiddelde mens. Hij (of zij) deed ook een beroep op het goed fatsoen. Iedereen die het `SULFNBK.EXE-virus' op zijn pc aantrof, had de afgelopen dagen al zijn e-mailcontacten besmet. Nette mensen willen geen virussen verspreiden en zullen er alles aan doen om van een virus af te komen. En natuurlijk waarschuwen ze ook iedereen die ze onlangs gemaild hebben dat ook zij SULFNBK.EXE moeten verwijderen.

SULFNBK.EXE is een Windows-bestand dat zorgt voor het herstel van lange bestandsnamen. Op elke pc met Windows is dit bestand aan te treffen. Wie het bestand heeft verwijderd kan verschillende dingen doen. Als SULFNBK.EXE nog in de prullenbak staat, is het een kwestie van het bestand selecteren, de rechtermuisknop indrukken en vervolgens op `terugzetten' of `restore' klikken. Windows zet het bestand dan weer op de goede plaats.

Is de prullenbak al geleegd, dan moet u het bestand uit de Windows-directory of van de cd-rom met het besturingssysteem halen. Op de websites van antivirusbedrijf Symantec en het beveiligingsmagazine Security Portal wordt uitgelegd hoe dat moet. Een programma accepteren van iemand, of het nu een bekende of een onbekende is, waarmee SULFNBK.EXE gerepareerd kan worden is zeer onverstandig. Er worden sinds een paar dagen nep-reparatieprogramma's aangeboden die een echt virus of een Trojaans paard bevatten. (Een Trojaans paard is een programma dat computers wagenwijd openzet voor indringers vanaf internet.)

Er is nog een nieuw nepvirus, dat erg lijkt op de SULFNBK.EXE-hoax. Het virus heet, volgens het waarschuwingsbericht, HOAX-NL-MD-20010401. De naam van het bestand dat de besmetting zou veroorzaken is CLEANMGR.EXE. Dit is net als SULFNBK.EXE een normaal onderdeel van Windows. CLEANMGR.EXE is volgens de hoax erg schadelijk. `Nadat het is geïnstalleerd op je systeem wordt het gestart op de 28e van de maand en zal het je register deleten en belangrijke systeemgegevens en wachtwoorden e-mailen naar bepaalde nieuwsgroepen.

Iedereen die deze (wisselende) nieuwsgroepen leest kan daarna je inbelgegevens gebruiken, en eigenlijk is je volledige systeem nadien ook niet meer te gebruiken. Deze moet compleet opnieuw worden geïnstalleerd.'

Aan de naam van HOAX-NL-MD-20010401 is al te zien dat het om een hoax gaat. Niet alleen het woord hoax zou een belletje moeten doen rinkelen, ook de datum, 1 april 2001, is verdacht. Toch hebben al heel wat argeloze computergebruikers CLEANMGR.EXE, een programma om de harde schijf op te schonen, verwijderd.

Websites: www.symantec.com/avcenter /venc/data/sulfnbk.exe. warning.html

www.securityportal.com/articles /sulfnbk20010529.html; www.symantec.com/avcenter /hoax.html

www.stiller.com/hoaxes.htm; vil.mcafee.com/hoax.asp.

[klaver@nrc.nl]