Ekspertstrid rundt NT-virus

Ekspertene er uenige om omfanget av angrepet hos MCI Worldcom, om hvorvidt andre steder har vært smittet, og til og med om "Remote Explorer" er et virus eller en trojaner.

Utgangspunktet for Russ Cooper som vedlikeholder nettstedet NTbugtraq (se peker i høyre marg), er at han etter å ha snakket med blant andre Microsoft og MCI Worldcom, har kommet til at det dreier seg om en trojaner og ikke om et virus.

Han begrunner dette med at Remote Explorer (også kjent som RICHS) stanset når infiserte maskiner ble startet på nytt og med at programmet ikke spredde seg selv til andre maskiner, men var avhengig av en aktiv handling fra en bruker på den andre maskinen. Han mener også at RICHS ikke er observert andre steder enn hos MCI Worldcom og at filer bare komprimeres, de krypteres ikke. Han opplyser ellers at bare 18 til 20 av MCI Worldcoms 7000 maskiner var infisert.

Det Cooper betrakter som fakta, strider mot flere opplysninger som er gitt av Network Associates (se pekere til tidligere artikler, i høyre marg.)

En av skaperne av antivirusmidlet F-Prot, Vesselin Bontchev, har tatt til motmæle mot Coopers standpunkter. I et innlegg på NTbugtraq opplyser han dessuten at Network Associates, i strid med hevdvunnen praksis i antivirusbransjen, ventet i hele fem døgn før det sendte RICHS-eksemplarer til konkurrentene, blant dem Bontchev.

På bakgrunn av sine analyser bekrefter Bontchev at det dreier seg om et selvreplikerende og krypterende virus, nærmere bestemt en orm, som han definerer som et virus som benytter nettet til å spre seg fra maskin til maskin. Han skriver at alt som trengs for at viruset skal spre seg, er at noen med administratorstatus kjører en infisert fil på tjeneren. Han mener ellers at minst to selskaper utenom MCI Worldcom har vært rammet.

Shawn Hernan hos CERT (Computer Emergency Response Team) ved Carnegie-Mellon universitetet, sier til News.Com at det dreier seg om et tradisjonelt virus, selv om det er på hele 120 kB. CERT peker ellers på at hvis du bruker en NT-arbeidsstasjon kan du hindre smitte ved å logge deg på som bruker og ikke som administrator. Tallet på infiserte maskiner er "rundt 50 Windows NT-tjenere og et uavklart antall Windows NT arbeidsstasjoner", ifølge CERT, som ikke nevner MCI Worldcom.

På sitt sikkerhetnettsted bekrefter også Microsoft at RICHS følger et tradisjonelt virus-scenario. Microsoft legger til at det ikke utnytter noen svakhet ved sikkerhetssystemet i Windows NT.

Nettstedet NT Security Digest skriver at også Word- og Excel-filer (altså med endelsene doc og xls) rammes - de krypteres - og melder at kun et titalls maskiner hos MCI Worldcom ble rammet. Likevel måtte MCI Worldcom ta ned alle sine WAN-forbindelser (forbindelser mellom lokalnett) for å kvitte seg med RICHS, ifølge nettstedet.

Hvordan viruset først kom seg inn hos MCI Worldcom finnes det ennå ingen opplysninger om.

Til toppen