Kjedemail med råtten mark

Antivirusmiljøet advarer mot kjedemail med de Windows-ødeleggende ormene Irok og Kak. Irok spres som vedlegg mens Kak spres som usynlig Javascript.

F-Secure advarer om at både Irok og Kak er observert i det fri, og melder om rask spredning flere steder verden rundt. I advarselen heter det at de to er teknisk sett svært ulike. Samtidig har de felles trekk. Begge spres utelukkende gjennom Microsofts e-post-klient Outlook og rammer bare brukere av Windows.



Dette er en typisk melding som sprer Irok. Vedlegget Irok.exe er på 10001 bytes. Når det klikkes på, smitter det Windows 95, 98, NT og 2000, og sprer seg selv videre til 60 mottakere hvis det finner en Outlook-adresseliste. Det overser tynnklienten Outlook Express. Det prøver ellers å spre seg gjennom chatklienten Mirc.

Irok infiserer com- og exe-filer. Etter hvert som den kjører sender ormen meldinger til skjermen, og opplyser etter hvert at den har ødelagt en rekke filer ved å overskrive dem.

Kak-ormen er ikke synlig i den mottatte meldingen. Den er skrevet i Javascript og kan bare kjøre på fransk- og engelsk-språklige utgaver av Windows 95 og 98. Videre spredning skjer gjennom Outlook Express. Vanlig Outlook nyttes ikke.

Kak virker ved å utnytte et kjent sikkerhetshull i Outlook Express som lar Javascript eksekveres automatisk straks en e-post-melding åpnes for å leses. Ormen erstatter brukerens signatur fil med en html-fil som den selv kryper inn i. Den spres videre hver gang det sendes e-post fra Outlook Express.

Kak aktiveres den første dagen i hver måned dersom maskinen startes etter klokka 17. Da vises denne meldingen:

Så låser Windows seg, men starter normalt når maskinen slås på igjen.

Sikkerhetshullet som Kak utnytter, har vært kjent siden august i fjor. Fra Microsofts nettsted får du en gratis oppdatering for å tette igjen hullet. Imens kan du slå av "Active Scripting" i Outlook Express.

F-Secure forundrer seg over at virusmakere fortsatt synes det er gøy å plage sine medmennesker med tåpelige påfunn som Irok og Kak. Det er i disse dager ett år siden det beryktede makroviruset Melissa startet sin ødeleggende ferd. Mannen bak Melissa. David L. Smith, har erkjent seg skyldig i datakriminalitet og venter på sin dom. Strafferammen er fra fem til ti års fengsel, og bøter på opptil 150.000 dollar.

Oppdatert antivirus fra de store leverandørene skal nå være i stand til å avvise både Kak og Irok. Har du vært uforsiktig og latt deg smitte av Irok må du slette filene Irok.exe, Irokrun.vbs og Winrde.dll, samt alle filer med navn Irok.Trojan.Worm. Framgangsmåten for å kvitte seg med Kak er mer komplisert. Følg instruksene på nettstedet til F-Secure Corporation.

Les mer om datavirus:
Fantastisk skjermsparer dreper Windows
PR-byrå overrasket redaksjoner med datavirus
Visio-virus oppdaget
Første Windows 2000-virus funnet
Virus kostet verden 100 milliarder i 1999
Les mer om Melissa:
Melissas far erklærer seg skyldig
Ny Melissa-variant sletter disken til jul
Ny Melissa-variant herjer i Spania og USA
Melissa har fått slemme søsken
Den Melissa-mistenkte skal ha tilstått
Melissa-smittede lite rammet av CIH
Erfaringer fra besøk av Melissa og hennes søsken
Melissa - bare en forsmak
Swanholm presiserer: - Melissa ga 40 til 50 prosents økning
Melissa ga salgshopp på 50 prosent
Risikerer ti år for Melissa
Melissa kan ha fått en halvbror
Nytt virus spres med rekordfart
Til toppen