Deloder-orm spres gjennom vanlige passord

Beskytter du delte mapper på din Windows-PC gjennom passord som "admin", "root", "sex" eller "foobar", ligger du dårlig an.

I helgen registrerte nettstedet Internet Storm Center til sikkerhetsselskapet SANS Institute et unormalt stort tall på angrep mot Windows-port 445. En forenklet graf over statistikken er gjengitt nedenfor. Dette er porten som Windows bruker når PC-er skal dele filmapper over Internett.

Kurven viser at angrepene falt sterkt i løpet av gårsdagen, og ligger på et noenlunde normalt nivå i dag.

Internet Storm Center forklarer toppen med at det spres en orm, døpt Deloder – med varianter som W32.HLLW.Deloder og W32/Deloder.worm – som primært spres gjennom å teste en liste med noen titalls passord mot fildelingen over port 445. Kommer ormen gjennom, installerer den seg selv, en IRC-agent og fjerntilgangstjeneren VNC (Virtual Network Computing). Så brukes offerets maskin til nye angrep. Deloder er ikke avhengig av e-post for å spres, kun av svakt beskyttet fildeling.

Er fildelingen uten passord, kommer Deloder gjennom uten videre. Passordlisten til ormen inneholder vanlig brukte passord som admin, administrator, pass, password, passwrd, 123456789, root, sex, god, foobar, owner, qwer, pw123 og så videre. Dette er vanlig brukte passord, spesielt i engelsktalende land. Spredningen til Deloder, som opprinnelig skal komme fra Kina, gjenspeiler dette. Det er registrert mange tilfeller i Australia.

Ofrene er i hovedsak private brukere, siden arbeidsplasser i langt større grad beskytter seg bak brannmurer.

Virusvernerne har oppgradert sin beskyttelse i løpet av helgen, og har også bakgrunnsinformasjon med nærmere opplysninger om hva du skal gjøre hvis du tror du kan være smittet. Ellers gjelder fortsatt regelen om at fildeling over nettet bør beskyttes sterkere enn gjennom passord som sær sagt hvem som helst kan gjette seg til – i den grad det overhodet er nødvendig, selv i kortere perioder. Har du ingen delte mapper, er du per definisjon beskyttet.

Deloder betraktes ikke som noen spesielt høy risiko. Ekspertene mener det kan være et forsøk på å mønstre datakraft i forkant av et distribuert tjenestenektangrep (DDoS eller "distributed denial of service") der opphavet bruker VNC eller IRC-agenten til å koordinere angrepet. En annen teori er at det dreier seg om et forsøk på å kapre følsomme opplysninger som bankkonto, brukernavn og passord til følsomme tjenester.

Til toppen