Epost-advarsel kidnapper pc-en

En ny lure-epost advarer mot virus og spionprogrammer, men kan selv utløse programkode som kidnapper pc-en. Spredningen er eksplosjonsartet.

Publisert Sist oppdatert

Et massivt epost-angrep har ført til en vanvittig økning i mengden søppel-epost. Ifølge selskapet Postini, som overvåker epost- og web-trafikk, er utviklingen eksplosjonsartet og volumet av søppelepost er tre ganger større enn ved forrige masse-utsending av destruktiv epost.

- Volumet av søppel-epost er nå 50 til 60 ganger større enn normalen, sier Adam Swidler, produktmarkedssjef i Postini.

En utspekulert epostmelding bidrar sterkt til de enorme volumene. Meldingen er en advarsel om at det er oppdaget destruktivt innhold på pc-en. Eposten har advarsler som "Worm Alert!", "Worm Detected", " Spyware Detected!" og "Virus Activity Detected!" i emnefeltet.

Forkledd som redning

En ZIP-fil vedlagt i meldingen påstås å være en sikkerhetsoppdatering som er påkrevd for å avverge et angrep på pc-en. Filen er attpåtil passordbeskyttet, for å styrke inntrykket av seriøsitet. Men i realiteten inneholder ZIP-filen en avart av trojaner-ormen "Storm Trojan".

LES OGSÅ: Ti punkter for bedre it-sikkerhet

Denne filen installerer et såkalt rootkit-program for å ikke bli oppdaget. Dernest kan programmet deaktivere annen sikkerhetsprogramvare, stjele fortrolige opplysninger fra pc-en og innnlemme pc-en i et såkalt botnet, altså en "armé" av kompromitterte datamaskiner.

- Det er en selv-oppfyllende profeti, når man prøver å få brukere til å klikke på en orm ved å advare dem mot et orm-angrep, sier Adam Swidler til den amerikanske utgaven av Computerworld.

Sofistikert

Han beskriver angrepet som alvorlig og sofistikert. Kombinasjonen av selv-replikerende orm og massive søppel-eposter kan bli svært effektiv og forsårsake betydelig skade, hevder Swidler.

LES OGSÅ: Alt om it-sikkerhet, helt gratis!

Eposten går langt i å overbevise mottakerne. Brukerne får beskjed om at maskinene allerede er smittet med destruktiv kode og innlemmet i et botnett.

- Folk får beskjed om at epost-forbindelsen vil bli kuttet hvis ikke denne "sikkerhetsoppdateringen" installeres, sier Swidler.

5 millioner

Postini har oppdaget 5 millioner eksemplarer av eposten bare det siste døgnet.

De regner med at den utgjør over 80 prosent av alle destruktiv programvare som spres med epost. Volumet er ventet å vokse til rundt 60 millioner i løpet av inneværende døgn. Spredningen økes ved at eposten er selv-replikerende, som betyr at den kan snuse opp adresselister på alle smittede pc-er og på den måten spre seg videre.

LES OGSÅ: Selger ødeleggelse til høystbydende

Det benyttes en rekke finurlige metoder for å skjule hensikten med epost-advarselen.

- Epostmeldingene inneholder en rekke, vilkårlig ulike passord og ulike binærer inne i ZIP-filene for ikke å bli oppdaget. Men straks koden er eksekvert, kommuniserer ormen over et privat fildelingsnettverk for å oppdatere seg, sier Ken Dunham, sikkerhetsekspert i VeriSign.

LES OGSÅ: Her er spam-verstingene

Enkelte av sikkerhetsselskapene har utviklet signaturer for å oppdage ormen allerede, blant dem Symantec.Men oppdateringen av kundenes progamvare kan likevel komme for sent til å hindre spredning, advarer Dunham.