Verscheidene anti-virusbedrijven waarschuwen voor de uitbraak van de Aliz-worm. Volgens statistieken van het anti-virusbedrijf MessageLabs is Aliz op dit moment het meest verspreide virus na het beruchte SirCam-virus. Ook enkele WebWereld-lezers melden dat ze het virus afgelopen week hebben ontvangen.

De worm, die slechts 4 kilobytes groot is en daarmee kan worden beschouwd als een van de kleinste zogeheten W32-wormen, stuurt zichzelf door naar alle mensen in het adresboek van het e-mailprogramma. Het virus maakt daartoe gebruik van een bekend gat in de Internet Explorer, waardoor een bijvoegsel van een e-mailbericht automatisch wordt geopend.

Microsoft heeft het gat al maanden geleden gedicht en de meeste anti-virusprogramma’s bieden al sinds mei bescherming tegen het Aliz-virus. Dat de worm nu alsnog toeslaat, is dan ook te wijten aan gebruikers die de nieuwe bescherming van Microsoft niet hebben opgehaald of geen anti-virusprogramma geïnstalleerd hebben.

De worm heeft geen vast onderwerp. Het subject wordt at random samengesteld uit vijf verschillende onderdelen. Voorbeelden van onderwerpen zijn: “Cool pictures i found :-)” of “weird mp3s here hehe ;-)”. Het attachment heeft de naam `whatever.exe’.

Nederlander

De maker van de worm is hoogstwaarschijnlijk een Nederlander. In de code schrijft de maker, die zichzelf Mar00n noemt, onder meer: “btw, burgemeester van sneek: ik zoek nog een baantje…”

Dat is een duidelijke verwijzing naar de burgemeester van Sneek die de maker van het wijd verspreide Kournikova-virus, de 20-jarige Jan de W. uit Sneek, eerder dit jaar een baan bij de gemeente aanbood. Dit aanbod zorgde voor de nodige opschudding in de viruswereld.

De W. had het Kournikova-virus gemaakt met behulp van de VBS Worm Generator, een programma waarmee elke leek een virus kan maken. Bovendien gaf De W. toe dat hij geen enkele programmeertaal kende. Daarmee staat De W. onderaan in de hiërarchie van virusschrijvers. Benny, lid van de vooraanstaande virusschrijversgroep 29A, noemde De W. in een interview met WebWereld `een typische lamer’.

Verspreiding

Het staat overigens allerminst vast dat Mar00n ook verantwoordelijk is voor de verspreiding van het Aliz-virus. Volgens de broncode van de worm werd de code van het virus voor het eerst verspreid via het magazine Coderz.

Mar00n is lid van de virusschrijversgroep Internet Knowledge Exchange (IKX). Op de site van IKX staat dat de leden van die groep geen virussen verspreiden. “We zijn alleen maar `normale’, legale win32asm schrijvers, dus we hebben niets te vrezen.”

Meer informatie over de Aliz-worm is onder meer te vinden bij F-Secure, SARC en Sophos.