Betydelig spredning av Mytob-ormer

Flere potensielt farlige Windows-ormer har i hele dag strømmet norske e-postkasser.

Statistikk fra Telenor viser at flere varianter av ormfamilien Mytop nå er svært aktiv i Norge. Over 50 prosent av de infiserte e-postmeldingene Telenor har fanget opp de siste tre timene, har inneholdt en variant av Mytob.

Størst er spredningen av Mytob.FC, også kjent som W32/Mytob.be@MM, W32/Mytob-L og W32.Mydoom.BU@mm. Denne spres kun via e-post, mens enkelte andre varianter kan spres til andre Windows-maskiner over lokalnett på grunn av en eldre sårbarhet i Windows NT og nyere som Microsoft for lengst har publisert en sikkerhetsoppdatering til.

Mytob ormene har en egen SMTP-motor som benyttes for å sende e-post til adresser ormen finner på det infiserte systemet. Ormene åpner i mange tilfeller en bakdør og kommuniserer til utgiveren via en IRC-kanal.

Ormen vil forsøke å stanse en rekke forskjellige prosesser på det infiserte systemet, inkludert Taskmng.exe og Regedit.exe, som ellers kan benyttes for å stoppe ormen manuelt. Brukeren kan dog døpe om navnene på disse filene og dermed narre ormen.

Mytob ser i de fleste tilfeller ut til å være enkel å stoppe og fjerne. Det er trolig bare å fjerne nøkkelen fra "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" i Windows-registeret, i tillegg til filen oppføringen peker til. I noen tilfeller kan det også være nødvendig å fjerne oppføringer i Hosts-filen til Windows.

Ifølge Trend Micro finnes det nå 118 varianter av Mytob-ormen, alle med litt forskjellige egenskaper.

Det er vanskelig å lage en generell beskrivelse av hvordan de infiserte e-postmeldingene ser ut, men flere av dagens har på engelsk meldt om stengte e-postkonti. Vedlegget, som har sett ut til å være en tekstfil ved at filnavnet er som følger

"email-info.txt                                         .exe",

inneholdt selve ormen.

Selv om vi har mottatt e-post med denne ormen helt siden i dag morgen, var det først på ettermiddagen at vi fikk varsler fra våre antivirusløsninger om at e-postmeldingene var infisert. Dette til tross for at vi flere ganger manuelt har forsøkt å få lastet ned nye virussignaturer.

Mer oppdatert virusstatistikk finner du på denne siden.

Til toppen