Fire nye ormer i omløp

Pc-brukere advares mot fire nye ormer i full spredning rundt om i verden. De er kjent under navnene Lirva.A, ExploreZip.E, Lirva.B og Sobig.
-- Flere nye virus er funnet hver eneste dag, så det er det ikke noe nytt og spesielt med, sier Mikko Hypponeni datasikkerhetsselskapet F-Secure i en pressemelding.

-- Men det er ikke vanlig å finne fire nye virus i full spredning i løpet av to dager, sier Hypponen.

Andre sikkerhetsfirmaer som Norman og Symantech advarer også mot de samme ormene.

F-Secure Corporation har sendt ut en Nivå 2 Radar alarm for alle disse nye ormene, som indikerer at det oppfordres at alle system administratorer og sluttbrukere sjekker at anti-virus systemene fungerer slik de skal. Nivå 2 er den nest høyeste verdien for alarm slskapets alarmeringssystem.

Beskrivelse

I pressemeldingen beskriver F-Secure de ulike ormene som er detektert de siste dagene. Om Lirva (eller Arvil) skriver de:

Dette er en mass-mailing orm som bruker flere metoder for spredning. I tillegg til E-Post bruker den ICQ, IRC og Kazaa fildelingsnettverk for å spre seg. Den formerer seg også via delte kataloger og Windows nettverksdrev. Lirva har en funksjonalitet som kan deaktivere flere anti-virus verktøy og sikkerhetsapplikasjoner hvis Lirva klarer å detektere dem. Hvis ormen er aktiv prøver den å stjele passord og sende dem til en ekstern e-post adresse.

-- Teksten i e-posten som Lirva sender ut kan variere en del, men inneholder hovedsaklig referanser til Avril Lavigne, en kanadisk rock artist som ble nominert til fem Grammy Awards for to dager siden. Tilsynelatende ser det ut til at ormen er skrevet av en kazakstansk fan av artisten. Når Lirva ormen aktiveres, prøver den å åpne den offisielle hjemmesiden til Avril Lavigne og starte en grafisk effekt på skjermen med fargede, bevegelige sirkler, forteller viseadministrerende direktør K. Øyvind Blystad Dammen i Security Distribution AS, F-Secure sin norske distributør.

Lirva.B

Funksjonaliteten i Lirva.B er veldig lik den originale Lirva ormen. Den har blitt modifisert slik at den prøver å unngå deteksjon av noen anti-virus programmer. En annen forskjell er at Lirva.B bruker en falsk avsenderadresse i den infiserte mailen, ved å bytte ut den originale adressen til brukeren med en tilfeldig sammensatt e-post adresse. Den ordinære e-post adressen til den infiserte brukeren kan ofte bli funnet i e-postens "Return-Path header", forklarer F-Secure i sin pressemelding.

ExploreZip.E

ExploreZip er en internet orm som var først funnet juni 1999. Den originale versjonen (ExploreZip.A) spredde seg over hele kloden i løpet noen dager etter at den ble funnet, noe som gjorde den en av de første som spredde seg effektivt over internett. Etter dette har det blitt funnet flere versjoner av denne ormen.

Tre og et halvt år etter at viruset først ble sett, dukket ExploreZip.E opp. Denne versjonen hadde en funksjonalitet som gjorde at den kom seg forbi udetektert av de fleste anti-virusprogrammene. Alle ExploreZip variantene sprer seg som e-post vedlegg og etter aktivering ødelegger den Microsoft Office dokumenter og filer som inneholder kildekode på den infiserte maskinen, samt det lokale nettverket. Ormen modifiserer den infiserte maskinen slik at den svarer på uleste mail, og sender et svar på den som inneholder et infisert vedlegg.

Sobig

Sobig er en e-post og nettverksorm, som sender seg selv som et PIF vedlegg i en e-post. Ormen har en funksjonalitet som kan gjøre at skribenten av ormen kan fjernstyre den infiserte maskinen.