DIGI.NO

Advarsel mot spam-motoren i Mydoom

Bakdøren til Mydoom er innrettet mot spam, og en ny variant er programmert til å angripe Microsoft.

29. jan. 2004 - 08:44

Det siste døgnet har det dukket opp flere varianter av Mydoom-viruset som først dukket opp seint mandag kveld denne uken. I tillegg har ekspertene gravet seg dypere ned i koden til bakdøren som Mydoom installerer hos dem som klikker på e-postvedlegget der viruset skjuler seg.

Tidligere er det opplegget for tjenestenektangrep mot SCO Group som har preget kommentarene om bakdøren. I går ble det bekreftet at bakdøren også kan brukes som spam-motor. Det innebærer at PC-er der viruset ikke fjernes, kan utnyttes av spammere til anonym massespredning av reklamemeldinger. Dette var også en viktig egenskap ved Sobig, viruset fra august i fjor som i likhet med Mydoom først og fremst forårsaket skade ved å overbelaste nettverk med e-post.

Symantec melder at de har oppdaget trafikkmønstre som tyder på at Mydoom-smittede PC-er er i ferd med å kartlegges av ukjente som disponerer flere tusen PC-er verden over.

En ny variant av Mydoom er avslørt, med to nye egenskaper:

  • Den endrer innstillinger i virusvernet på offerets PC, slik at det ikke lenger henter fortløpende oppdateringer fra riktig webadresse. Offeret vil også ha problemer med automatiske oppdateringer fra Microsoft.

  • Den er innstilt på å delta i et tjenestenektangrep mot Microsoft.

Tall fra virussporere tyder på at Mydoom-spredningen holder seg på et vedvarende høyt nivå i norske bedrifter. Telenor melder at 54 prosent av Mydoom-fangsten de siste 48 timene er kommet de siste 24 timene – 90.046 av 165.492. På en normal dag, er Telenors virusfangst mellom 7000 og 7500. Tilsvarende tall fra Itegra er 47 prosent – 1.319 av 2.804, mot en normal dagsfangst i underkant av 500.

Comendos oversikt over virusaktivitet i Norge viser at den holdt omtrent samme nivå fra kl 10 helt til kl 24. Så falt spredningen, men holdt seg likevel langt høyere enn normalt, natten gjennom.

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.