Ny e-postorm rammer sløvinger

I fjor raste ormene Badtrans.B og Nimda gjennom et for lengst kjent og fikset Microsoft-hull. Uten fiks, vil Bugbear/Tanatos ta deg enda en gang.

Ormevernleverandørene varsler om en ny e-postorm som sprer seg til de sløveste i blant oss, de som ikke har installert noen av Microsofts fikser for nettleseren Internet Explorer og e-postklienten Outlook det siste året.

Vekselvis kalt "Tanatos" og "Bugbear", utnytter den nye ormen det samme hullet som Nimda og Badtrans.B gjorde i fjor høst, det vil si IFrame-sårbarheten som Microsoft kunngjorde og tettet i mars i fjor.

Bugbear/Tanatos sprer seg i første omgang gjennom et e-postvedlegg som ufikset Outlook åpner uten at brukeren klikker på den. Den sender seg videre til de som er oppført på offerets Outlook-adresseliste. Samtidig har den en mekanisme til å kopiere seg selv gjennom delte nettdisker. E-posten har vilkårlig emne og vedlegget har vilkårlig navn.

Ormen sørger for å installere seg lokalt slik at den startes hver gang PC-en startes på ny. Den søker opp en rekke alminnelige Windows-prosessorer og setter dem ut av spill. Den finner blant annet fram til utbredt virusvern og brannmur for å stanse dem. Den åpner en TCP-port som lytter etter kommandoer utenfra. Den åpner for at følsomme lokalt lagrede data fanges opp av uvedkommende, som også kan registrere tastetrykk og fange opp brukernavn og passord.

Velholdte nettverk som blokkerer e-postvedlegg av typen pif, scr og exe, og brukere som følger vanlige regler for Internett-ferdsel, vil ikke ha problemer med ormen. Derfor er risikoen satt til middels, selv om det er registrert en rekke tilfeller i Storbritannia, Danmark og Norge.

Til toppen