Destruktiv orm svarer på e-posten din

En e-post-orm som angriper Windows er oppdaget i en rekke vestlige land. Ormen spres per e-post og sletter mange av brukerens filer.

E-postormen, kjent som Worm.ExploreZip eller ZippedFiles, ble registrert forrige helg. Denne ormen fungerer som et kjedebrev og inneholder en destruktiv last. Ifølge det finske antivirusselskapet Data Fellows, har ormen allerede spredd seg til minst et dusin land, inkludert Norge.

De angrepne brukerne mottar ormen gjennom et e-postvedlegg. Når vedlegget åpnes, vil ormen gå gjennom innboksen i Microsoft Outlook og sende et svar til alle de innkommende meldingene. Her kommer et eksempel på hvordan meldingen vil se ut hvis Ola Nordmann har mottatt en e-postmelding fra Kari Nordmann med tittelen "Ordrebekreftelse":

From: Ola Nordmann
To: Kari Nordmann
Subject: RE: Ordrebekreftelse

Hi Kari

I received your email and I shall send you a reply ASAP.
Till then, take a look at the attached zipped docs.
Sincerely
Ola

Attachment: zipped_files.exe

Vedlegget ser ut som et selvutpakkende WinZip-arkiv, men hvis brukeren prøver å klikke på det, dukker det opp en standard WinZip-feilmelding som forteller at arkivet er skadet:

Cannot open file: it does not appear to be a valid archive.
If this file is part of a ZIP format backup set, insert the last disk of the backup set and try again.
Please press F1 for help.

I tillegg til å sende ut slike kjedebrev, vil ormen forsøke å skrive over en rekke filer på alle lagringsenheter som er tilgjengelige for brukeren. Dette inkluderer nettverksenheter. Følgende filtyper vil enten overskrives eller slettes:

DOC - Microsoft Word dokumenter

XLS - Microsoft Excel regneark

PPT - Microsoft PowerPoint presentasjoner

ASM - Filer med assembler kildekode

CPP - Filer med C++ kildekode

Ormen vil ikke spres videre hvis brukeren bruker en annen e-postklient enn Microsoft Outlook, men vil fortsatt slette alle de nevnte filene hvis vedlegget åpnes.

Viruseksperter ved Data Fellows mener at selv om Worm.ExploreZip spres raskt, er spredningsmetoden mindre effektiv enn den Melissa-viruset benyttet.

Brukere som sender mye e-post på andre språk enn engelsk, vil nok i de fleste tilfeller stusse når de mottar e-post på engelsk som er svar på meldinger de har sendt ut på andre språk. Om dette er nok til å hindre brukerne i å åpne vedleggene, kan man bare håpe.

De fleste produsenter av antivirusverktøy har nå kommet med oppdateringer som oppdager og varsler om Worm.ExploreZip. Disse kan lastes ned fra de enkelte produsentenes nettsteder.

Til toppen