Hold virusbeskyttelsen ajour!

For et par uker siden fikk jeg hakeslepp av en antivirustest på nettstedet til det amerikanske sertifiseringsselskapet ICSA. En rekke produkter, blant dem Sophos, Symantec og Norman, var oppført med karakteren "ikke bestått".

Ett virus hadde felt dem alle: TCM_69.

Antivirusdatabasen til Trend Micro hadde ikke denne nøyaktige betegnelsen, men selskapet bekreftet på direkte forespørsel at TMC_69, TMCL69-E, TMC:LEVEL42, TMC, TMC_LEVEL-69, TMC.5454 og TMC.A viser alle til det samme viruset. Det dreier seg om en polymorf filinfiserer som rammer com- og exe-filer. Det er ikke så stort, bare 5454 bytes. TMC fester seg i minnet når du kjører en infisert fil, og sprer seg videre til alle com- og exe-filer som du kjører.

Sophos, Symantec (Norton Antivirus) og Norman hadde ikke detektert dette viruset under ICSAs apriltest. En ringerunde gjorde meg ikke klokere. Viruset er praktisk talt ukjent. Selv om det er en typisk kandidat for smitte via e-post, var det heller ingen som kunne fortelle nøyaktig hva slags skade det gjør.

Henrik Amundsen Vaage i Symantec Norge var den som brakte klarhet i det hele. ICSA hadde kontaktet Symantec sentralt og informert om nederlaget med TMC. Det tok ikke lang tid før Symantec fikk lagt inn en oppgradering som også tar TMC i dets ulike varianter.

- TMC-viruset er en gammel kjenning, bekreftet Vaage.

- Men ingen hadde støtt på det i vill tilstand før, derfor hadde ikke Norton Antivirus noe motgift på det tidspunktet ICSA gjennomførte sin test.

Mandag ettermiddag 7. juni oppdaterte ICSA sitt nettsted, og la inn to nye tabeller med antivirustester, datert henholdsvis mai 1999 og juni 1999. Av disse går det fram at Sophos, Symantec og Norman har bestått prøven, og er igjen godkjent av ICSA.

Oppfatningen blant antivirusleverandørene av om et virus kan påtreffes utenfor laboratoriene, spriker noe. Tallet på virus som bare eksisterer i kontrollerte omgivelser i et laboratorium, er altfor stort til at antivirusprodukter kan oppdateres løpende ut fra dem. Følgelig opererer man med lister over "ville virus". ICSA har en egen liste som oppdateres hver måned. April-testen bygget på listen fra februar, mai-testen på listen fra mars, juni-testen på listen fra mai, og så videre.

TMC er følgelig ikke lenger noen trussel, forutsatt at du har oppgradert antiviruset ditt de siste dagene. Har du noe gammelt, for eksempel fra april, bør du ikke føle deg trygg. Er du registrert som kunde, kan du oftest få antivirusleverandøren til å sende deg en e-post hver gang du bør oppgradere beskyttelsen din.

Trend Micros antivirusdatabase er ennå ikke oppgradert med opplysninger om PrettyPark, en trojaner som ble oppdaget i vill tilstand i Frankrike før helga, og som allerede har rukket å infisere en rekke PC-er. Smittemetoden er den gamle vulgære: Offeret mottar et vedlegg kalt PrettyPark.exe. Når vedlegget kjøres - i strid med den grunnleggende regelen å aldri kjøre ukjente exe-filer mottatt per elektronisk post - søker PrettyPark gjennom systemet, finner fram til passord og kreditkortnummer, og legger dem ut på en egen chat-kanal.

En motgift er allerede klar, og igjen - selv om du oppgraderte i forrige uke for å sikre deg mot TMC - må du nok oppgradere antistoffet ditt med det første for å verne mot PrettyPark.

Til toppen