Godartet orm jakter på MSBlaster

"Nachi"-ormen sprer seg gjennom den samme sårbarheten som MSBlaster. Den prøver å avinstallere ondskapen og installere Microsofts fiks.

Virusvernselskapene advarer mot en såkalt godartet orm som dukket opp i går. "Nachi" – eller "Welchia" eller "MSBlast.D" –prøver å jakte på MSBlaster-ormen som fortsetter å spre seg, selv om den ikke lyktes å gjennomføre det bebudede tjenestenektangrepet mot Microsoft lørdag. Nachi utnytter den samme sårbarheten som MSBlaster, men skal være bedre programmert slik at den vil være i stand til å spre seg raskere.

    Les også:

Det virusvernerne er enige om, er at Nachi prøver å laste ned og installere fiksen til den sårbarheten den selv bruker til å spre seg, og som Microsoft la ut 16. juli, men bare dersom maskinen har en engelsk, kinesisk, forenklet kinesisk eller koreansk versjon av Windows. F-Secure mener Nachi bare infiserer Windows XP-maskiner, mens andre mener den også sprer seg til Windows 2000-maskiner. F-Secure mener Nachi også sprer seg til servere gjennom den såkalte WebDAV-sårbarheten som Microsoft redegjorde for og fikset i mars i år.

Nachi vil videre prøve å fjerne MSBlaster dersom den finner den. Denne rensingen skal ikke være fullt ut effektiv, slik at rester av den ondartede ormen fortsatt vil befinne seg i maskinen selv om den er deaktivert.

Den godartede ormen tar skritt for å sikre at den overlever på maskinen den har infisert, men bare fram til 1. januar 2004. Da er den programmert til å avinstallere seg selv.

Virusvernerne understreker at også godartede ormer som Nachi er lovstridige. Internet Security Systems viser til rapporter fra Japan der Nachi har utløst så mange samtidige nedlastinger av fiksen for den såkalte RPC-sårbarheten som både den og MSBlaster utnytter, at andre tjenester i nettverket er blitt utilgjengelige.

Statistikken fra Internet Storm Center viser at det fortsatt er mye unormal trafikk mot port 135, den som brukes av begge de krigende ormene. Nivået mandag var likevel lavere enn på søndag, med en nedgang i antall registrerte tilfeller fra 10,8 millioner til 9,4 millioner. Symantec mener at det kumulative tallet på maskiner som er eller har vært smittet av MSBlaster i løpet av de siste ti dagene er over 570.000. TruSecure har gjennomført en undersøkelse av 1103 internasjonale storbedrifter, og konkludert med at 21 prosent har opplevd å bli smittet av MSBlaster på et eller annet vis.

Alle de store virusvernerne har oppdatert sine signaturfiler mot Nachi.

Til toppen