Een verzameling van updates die ons de afgelopen 24 uur bereikten over de LoveLetter worm:

• MAC's zijn onder bepaalde voorwaarden ook kwetsbaar voor de worm. Ook hier geldt dus: visual basic scripting uitzetten, en geen attachments openen
  
• De worm is inmiddels gesignaleerd in andere gedaanten: onder andere met als subject 'IMISSYOU' en 'Joke'. Ook het attachment kan onder andere namen aan het mailtje geplakt zitten.
  
• Veel systeembeheerders filteren op de mailservers, in sommige gevallen zijn deze filters iets te scherp waardoor zinnige email met nieuwe informatie over de worm wordt geblokkeerd.
  
• Diverse mensen en instanties publiceerden rulesets voor sendmail en Postfix. Deze zijn (met andere interessante info, waaronder links naar alle anti-virus makers) samengevat in deze melding van CERT. Bij het Postfix filter moet worden opgemerkt dat deze alleen werkt als ook de volgende regel in main.cf wordt opgenomen:

  header_checks = regexp:/etc/postfix/header_checks

  Bovenstaande filters werken overigens niet meer als de worm blijft muteren. In dat geval is het slimmer om op .VBS attachments te filteren, dit kan echter een behoorlijke load geven op servers die hoge mailvolumes verwerken. Postfix gebruikers kunnen dit eenvoudig doen door het volgende in de header_checks op te nemen:

  /Content.*.vbs/ REJECT

  
  
• Uiteraard is er ook wel weer wat te lachen: Worldonline zag het virus al aankomen, ondervindt totaal geen last van het virus maar heeft wel het mailsysteem plat gelegd.
  
• Microsoft ontkent uiteraard de verantwoordelijkheid voor het virus, en verwacht geen schadeclaims.