Gjengoppgjør i virusundergrunnen

Det minner om et gjengoppgjør. En ny orm jakter opp Mydoom-infiserte PC-er, og erstatter bakdøren.

Sikkerhetsovervåkerne har avdekket noe som ser ut som et gjengoppgjør i virusundergrunnen. En egen orm, vekselvis kalt Vesser og Deadhat, jakter på PC-er infisert med en av variantene av Mydoom-viruset. Den identifiserer disse ved bakdøren som Mydoom-viruset installer, trenger gjennom bakdøren, installerer sin egen bakdør, og prøver deretter å slette Mydoom-bakdøren.

Merk at Vesser alias Deadhat er en orm, og ikke et virus. Den lever sitt eget liv på nettet, og er ikke avhengig av at noen klikker på et vedlegg til e-post.

For å få fart på sin egen spredning, leter den også opp en eventuell Soulseek-mappe – Soulseek er en fildelingstjenesten – og installerer seg der i 16 eksemplarer, under navn som minner om kjente virusvernere og operativsystemer.

I tillegg avslutter den flere sikkerhetsapplikasjoner, blant dem antivirusprogramvare, og, i noen tilfeller, essensielle systemfiler for Windows.

Ormer som jager ormer er ikke nytt. I august i fjor ble det sluppet en orm, Nachia, som lette opp PC-er med sårbarheten brukt av Blaster-ormen, slettet Blaster, og installerte en Microsoft-oppgradering som gjorde PC-en immun mot både seg selv og Blaster. Dessverre gjorde Nachia vel så mye skade som Blaster, fordi den druknet lokale nettverk i uhemmet trafikk.

Hensikten med Mydoom var dels å kjøre tjenestenektangrep mot SCO Group, dels å installere en bakdør som siden kunne brukes til å sende spam. Når Vesser/Deadhat angriper Mydoom for å erstatte den opprinnelige bakdøren med en annen, kan det være to mulige forklaringer.

Hvis Mydoom og Vesser har samme opphav, kan det hele være så enkelt som en oppgradering.

Men hvis Mydoom og Vesser stammer fra rivaliserende virusmakere, kan vi stå overfor et tilfelle av gjengoppgjør i virusundergrunnen, mellom to grupper som kjemper seg imellom for å kontrollere spammarkedet.

Spam dreier seg som kjent om penger. Det skal bare noen få kjøp til for at noen millioner e-post lønner seg. Og når tilbudene ikke lenger bare har med kjønnsorganer og legemidler å gjøre, men også om avansert programvare – for eksempel Autocad nedsatt fra 2500 dollar til 30 – hardner det mellom helerne.

Foreløpig er spredningen svært beskjeden. Det ligger i ormens natur. Deadhat/Vesser har ikke hele verden som mål, men bare kjernen av anslagsvis 50.000 sløve PC-brukere verden over som enten ikke har oppdaget at de er smittet av Mydoom, eller ikke gidder å gjøre noe med det. Om Deadhat/Vesser eller Mydoom spyr spam, spiller kanskje ikke så stor rolle for oss andre.

Til toppen