Verste epost-orm på ti år

Verste epost-orm på ti år

Epost med ormen "Here you have" sprer seg som ild i tørt gress.

Torsdag gikk sikkerhetsforskere ut og advarte mot en epost-orm som sprer seg kjapt. Ormen figurerer i eposter med tittel ”Here you have, ”og inneholder lenke til hva som ser ut som en Adobe PDF-fil.

Men i stedet tar lenken offeret til en nettside hos members.multimania.co.uk og prøver så å laste ned en skjermsparer for Windows, altså en .scr-fil. Sier brukeren ja takk til å installere denne blir vedkommende infisert av ormen som igjen sender seg til alle vedkommendes kontakter.

Ormen skapte hengemyrtilsatander i amerikanske bedrifter torsdag morgen ettersom ofrene endte opp med å ufrivillig spamme ned alle sine kolleger, som gjorde om serverne til sirup. Sikkerhetsorganisasjonen SANS Internet Storm Weather Center fikk inn hauger av rapporter om nettverk som hadde gått helt i stå.

- Ormen ser ut til å være i kategorien ekstremt godt spredt, sier organisasjonens direktør, Marcus Sachs, til Computerworlds nyhetstjeneste.

- Som i år 2000

Nyhetestjenesten har fått tips fra flere som har fått en gedigen hodepine av ormen. Ifølge ABC News skal til og med Nasa og Google være infisert. Torsdag ettermiddag var ormen fortsatt ikke listet i de fleste antivirusleverandørenes virusdefinisjonslister, ifølge nettstedet Virustotal.

Ormen minner om Iloveyou og Anne Kournikova-ormene som gikk sin seiersgang i 2000 og 2001 – tittelen på eposten til denne nye ormen er faktisk den samme som Kournikova-ovrmen brukte - "Here you have". Denne typen ondsinnet programvare har ikke vært et stort problem siden 2002, ifølge Symantecs Davis Cowings.

- Det ser ut som vi har en gjenoppstandelse av masseforsendelsesormer, sier han.

Kontaktsøkende, men snill

Ettersom den sender seg til folks kontakter, er det større sjanse for at folk går fem på, ettersom ormen da kommer fra noen du kjenner. ”Hallo... her er dokumentet jeg fortalte deg om, du kan finne det her”, kan man typisk lese i selve eposten.

Det virker ikke som om den nye ormen gjør noe annet enn å spre seg. Ormen ser ut til å påvirke Outlook-brukere, men det er uklart om brukere av andre programmer også er i faresonen.

Ormen kopierer seg også til datamaskinens lokale harddisker samt til nettverksdelte lagringsressurser, viser en Microsoft-analyse. Det kan hende ormen sliter litt med å spre seg nå, ettersom den ondsinnede filen på multimania.co.uk ser ut til å ha blitt fjernet. Sikkerhetsselskapet Mcafee råder uansett it-avdelingen å blokkere .scr-filer i gatewayen. I tillegg har de sluppet en fiks du finner her.

Les om: