Fet, stygg orm hadde mer å by på

Den destruktive dataormen som ble oppdaget i forrige uke, viser seg å være enda mer aggressiv enn tidligere fryktet.

Data Fellows melder at ExploreZip - eller ZippedFiles som ormen også er kjent som - ikke er avhengig av e-post for å spre seg. På Windows 95 eller 98 baserte PC-er koblet til Windows NT-nettverk som bruker NetBEUI-protokollen, vil viruset også spre seg til alle PC-er hvor diskene er åpne for skriveaksess fra de andre brukerne på nettet.

Fordi ExploreZip er så stor (200 kilobytes), har det tatt tid å finne fram til all funksjonaliteten ormen har. Men det at mange maskiner ved de samme lokalnettene ofte ble rammet, tydet ifølge Data Fellows på at ormen hadde mer å by på enn det som først ble gjort kjent.

Når ormen først har kommet seg over på en annen maskin, vil den finne fram til e-postprogrammet på den maskinen. Hvis e-postprogrammet er av typen Outlook, Outlook Express eller Exchange, vil ormen svare på alle meldingene i innboksen, som tidligere rapportert.

Ifølge Data Fellows forsøker ormen å fungere sammen med andre e-postprogrammer enn de som er nevnt over. I teorien skulle alle programmer som støtter MAPI-protokollen fungere. Men Data Fellows mener at en kodefeil i ormen er årsaken til at kun programmene fra Microsoft er mottakelige.

ExploreZip angriper som tidligere rapportert dokumentfilene til Word, Excel og PowerPoint. I tillegg er også filer med ekstensjonene .asm, .cpp, .c og .h utsatt. Dette er filer som gjerne inneholder kildekode i programmeringsspråkene assembler, C++ eller C. Data Fellows vet ikke hvorfor nettopp disse filene blir angrepet, men spekulerer i at utvikleren av ormen kanskje ikke liker disse språkene. ExploreZip er skrevet i Delphi, et Pascal-liknende språk.

FBI ser såpass alvorlig på dette viruset at organisasjonen har startet etterforskning for å prøve å finne ut hvem som står bak det. Flere store, amerikanske selskaper, inkludert Microsoft, General Electric og Electronic Arts, er blitt angrepet. Men ansatte ved flere av de kjente antivirus-selskapene mener at det i utgangspunktet er såpass enkelt å skjule sin identitet på Internett, at sjansen for å finne synderen må anses som liten. De eldste sporene leder til Tsjekkia, hvor det første kjente eksemplaret av ormen ble innrapportert.

Til toppen