Mange misforståelser om ILOVEYOU-ormen

ILOVEYOU-ormen fikk viruseksperter til å gå i litt i surr og ryktemakere til å gå i spinn. Også digi.no kom i skade for å feilinformere.

La oss med en gang slå det fast. ILOVEYOU-ormen (heretter kalt ILY-ormen) sletter ikke alt innholdet på harddisken din. Den igangsettes heller ikke ved at du bare åpner e-postmeldingen den er festet til eller når du kjører en virusskanning med anti-virusprogrammet ditt.

Alt dette er uriktige påstander som dukket opp i løpet av torsdagen, dagen da ILY-ormen slo til for første gang.

En annen påstand, denne framsatt av Symantec og gjengitt i digi.no på bakgrunn av et intervju med Compaq Norges Stein Møllerhaug, viser seg også å være gal. Det dreier seg om informasjonen om at WIN-BUGSFIX.exe skulle være en patch til NTOSKRNL- og NTLDR-delene av Windows NT-kjernen.

Les hele saken:



Denne informasjonen er nå trukket tilbake fra Symantecs nettsted. Stein Møllerhaug forteller i dag til digi.no at dette var resultatet av en tidlig analyse av ormen og at Symantecs eksperter hadde feiltolket resultatet av at WIN-BUGSFIX.exe skriver over to bits i de nevnte filene. Møllerhaug mener at slike feil alltid vil kunne oppstå under en slik prosess og at det faktum at resultatene må korrigeres bare er en nødvendig del av prosessen.

De fleste anti-virus-selskapene er nå enige om at WIN-BUGSFIX.exe brukes til å snuse etter mellomlagrede passord på brukerens maskin. Disse passordene sendes så til e-postadressen MAILME@SUPER.NET.PH.

Det som derimot er sant - noe som også må ha vært forvirrende for ekspertene digi.no intervjuet torsdag siden ingen påpekte dette - snarere tvert imot - er at filene som blir overskrevet av ormen vil kunne være en alvorlig kilde for fortsatt spredning av ormen.

Det er nemlig ikke slik at ormen kun bytter ut innholdet i filene med seg selv. Den utvider navnet til filene ved å legge til '.vbs' på slutten. Dette vil si at Windows vil oppfatte at det er snakk om en kjørbar Visual Basic-fil og kjøre denne når brukeren dobbeltklikker på den. Standardinnstillingen til "utforskeren" ("Windows Explorer") i Windows er nemlig slik at den siste delen av filnavnet skjules hvis Windows kan knytte den til en kjent filtype. Dermed vil ikke brukeren kunne oppdage at filnavnet har fått et ekstra haleheng. Og ILY-ormen knytter filnavnendelsen .vbs til Wscript - Windows system for håndtering av skriptfiler - bare for "sikkerhets" skyld.

Du kan endre denne innstillingen ved å finne "Mappeinnstillinger" på menyen til Windows Utforsker/Explorer. Ved å velge denne og deretter fjerne krysset for ruten som er knyttet til opsjonen for å skjule filtypetillegget i filnavnet. Da vil du i hvert fall ha en viss oversikt over hvilke filer som er berørt.

Det viser seg også at ILY-ormen ikke sletter MP3-filene - den lager bare kopier med nytt innhold og ny filtype, samt skjuler de originale MP3-filene for brukere som ikke stilt inn Utforskeren til å vise skjulte filer.

Men de andre filene, det vil si filer med .vbs, .vbe, .js, .jse, .css, .wsh, .sct, .hta, .jpg eller .jpeg til slutt i filnavnet, blir rett og slett slettet.
Les også:
Ibas gjenoppretter tapte bildefiler
ILOVEYOU infiserte alt fra Microsoft til Pentagon
I love you-ormen ødelegger all filsikkerhet i Windows NT
Verdens raskeste selvspredende virus
Se opp for monster-virus
Til toppen