Evigvarende vaksine mot vbs-ormer

Å avinstallere Windows Scripting Host er et godt vern mot vbs-filer av typen ILOVEYOU. Men på noen nye PC-er finnes den ikke på listen over avinstallerbare programmer.

Skadeormer av typen ILOVEYOU spres som e-post-vedlegg i form av vbs-filer, der vbs står for Visual Basic Script, altså Microsofts eget skriptspråk for Windows. Flere kyndige lesere har pekt på at ormene er avhengige av to ulike betingelser for å spre sitt skadeverk, og at digi.no noen ganger har oversett hvor viktig en av disse er.

Den ene betingelsen er at mottakeren av e-posten må klikke på vedlegget. Det er den normale framgangsmåten for å "åpne" eller "kjøre" vedlegg. Derav regelen: Ikke klikk på vedlegg som er vbs-filer.

Den andre betingelsen er at mottakerens PC må være innstilt slik at filer med endelse vbs er tilordnet et program kjent som Windows Scripting Host. Dette er standardinnstillingen i Windows. På noen PC-er lar dette programmet seg avinstallere. Noen lesere skriver hvordan de har gått inn i "innstillinger" på start-menyen. Her har de valgt "kontrollpanel" hvor de så har gått over til "legg til / fjern programmer". Dette valget gir en liste over programmer som det er mulig å avinstallere. Leserne har funnet "Windows Scripting Host" på lista, merket den og klikket på "fjern"-knappen. Når dette er gjort, kan ikke vbs-filer kjøres på PC-en lenger.

Det er en sikker vaksine.

Men på noen PC-er, blant annet min nye norske Win98SE-utstyrte IBM ThinkPad, er ikke "Windows Scripting Host" på lista over avinstallerbare programmer, selv om den i aller høyeste grad er tilstede. Jeg vet at dette skriptvertskapet er der, ikke fordi jeg lot meg smitte av ILOVEYOU - jeg greide å styre min nysgjerrighet, selv om den første smittebærende meldingen kom fra en kvinne - men fordi tekstfiler som jeg vilkårlig døper om til vbs-filer får et nytt ikon, og fordi jeg får feilmelding fra nettopp "Windows Scripting Host" når jeg prøver å kjøre dem.

Leting etter "*script*" i Windows-katalogen med Windows filsøker ("søk" på start-menyen) ga blant annet wscript.exe og wscript.hlp, henholdsvis selveste Windows Scripting Host med hjelpefil. Hjelpefilen har ingen oppslag på "avinstaller", og "deaktiver" gir bare informasjon beregnet på garvede utviklere.

Noen lesere anbefaler å slette wscript.exe. Jeg er bestandig skeptisk overfor slike skritt, fordi Windows erfaringsmessig gir uforutsigbare reaksjoner når elementer av systemvaren fjernes. Inntil videre er wscript.exe foreløpig døpt om til "dette var wscriptexe.txt". Det er nok til at Windows gir en feilmelding om at Windows Scripting Host ikke finnes på sin vante plass når du klikker på en vbs-fil, i stedet for å prøve å kjøre skriptet.

Denne vaksinen virker ganske effektiv. Kommer det en situasjon en eller annen gang der jeg trenger skriptvertskapet, er det jo bare å gi filen "dette var wscriptexe.txt" sitt opprinnelige navn tilbake. Jeg tviler på det. Inntil for noen måneder siden, arbeidet jeg fornøyd på en maskin med urutgaven av Windows 95, der vbs-filer ikke kunne kjøres fordi Windows Scripting Host ikke fantes. Mange lesere har tilkjennegitt liknende erfaringer, og konkludert med at dette er et eksempel på at Windows ikke alltid er blitt sikrere med årene.

Les også disse artiklene:


Hacker-oppskrifter lover mer enn de holder
Ikke idiot - selv om jeg bruker Outlook
Liten spredning av hamskiftende orm
Norge tapte 500 millioner på Loveletter
Sikkerhet på godt og [spesielt] vondt
Microsoft tror sikkerhet dreier seg om alt eller intet
Windows lammet av ny hamskiftende orm

Til toppen