Falsk Microsoft support-melding er ond orm

Tro ikke på e-post som utgir seg for å komme fra Microsoft support og som advarer mot "ugyldig SSL-sertifikat". Det er en orm som krypterer exe-filene dine.

Virusvern-selskapene opplyser om en ny orm - Win32.Invalid.A@mm, alias W32/InvalidSSL - som det er oppdaget ett tilfelle av i det fri. Spredningsrisikoen karakteriseres som middels, virkningen som svært ondsinnet.

Ormen etterlikner en ekte melding som Microsoft sendte ut i mars i år, da det ble oppdaget at to Verisign-sertifikater var på avveie.

Invalid-ormen utgir seg for å stamme fra support@microsoft.com, og har betegnelsen "Invalid SSL Certificate" i emnefeltet for e-posten. SSL er en ordning for sikre forbindelser som blant annet norske nettbanker baserer seg på. Tjenesten krever ingen sertifikater.

I meldingen anbefales man å verne seg mot misbruk av ugyldige SSL-sertifikater ved å kjøre en oppdatering til Microsofts nettleser Internet Explorer. "Oppdateringen" er vedlagt, og bærer navnet sslpatch.exe.

Den som kjører sslpatch.exe, erfarer at exe-filer i mappen der ormen er lagret, og mapper over den i hierarkiet, krypteres med en vilkårlig nøkkel. Ormen sjekker at PC-en er online, og søker gjennom alle dokumenter i Mine dokumenter-mappen etter filer der etternavnet begynner med ht. Alle e-postadresser nevnt i disse dokumenter får tilsendt en kopi av den opprinnelige meldingen.

De fleste virusvernselskapene har allerede oppdatert motgift tilgjengelig fra sine nettsteder.

Til toppen