Ny Mydoom-variant sletter lokale filer

En ny variant av Mydoom-ormen klatrer oppover på den norske virusstatistikken.

Antivirusselskapene melder at Mydoom.F dukket opp i USA allerede fredag morgen, men at det drøyde til mandag og tirsdag før spredningen fikk merkbare utslag.

Telenors løpende virusstatistikk viser at 192 eksemplarer ble fanget opp i Norge mandag, og at spredningen økte til 1.942 i går, tirsdag. Det var nok til en fjerdeplass på viruslisten, så vidt bak to år gamle Klez.H med 1.977. Øverst troner Netsky med 16.761, deretter holder Mydoom.A stand med 2.610.

Fram til kl 0935 onsdag registrerte Telenor 5.996 virus, hvorav 3.525 Netsky, 1.056 Mydoom.A og 456 Mydoom.F. De siste fem kvarterene før kl 0935 var det 2.148 virus, hvorav 1.743 Netsky, 142 Mydoom.A og 71 Mydoom.F. Det innebærer at Netsky spres i langt større omfang, og samtidig øker hurtigere enn begge Mydoom-variantene. På den andre siden tar Mydoom.F litt innpå Mydoom.A.

Det skal ikke være noen teknisk grunn til at det drøyde flere døgn fra Mydoom.F ble oppdaget til det spredte seg. Teorien blant antivirusleverandørene er at det var først mandag at noen med tilstrekkelig lange kontaktlister klikket på vedlegget til en smittet e-post.

Mydoom.F-bærende e-post kjennetegnes av svært varierte meldinger, gjerne korte og kryptiske. Det er tilsvarende stor variasjon i navnet på vedlegget. I likhet med de fleste moderne virus er avsenderadressen er hentet fra offerets PC, så det er hensiktsløs å sende svarmeldinger, slik mange e-postservere fortsetter å gjøre.

En talsperson for Network Associates mener at Mydoom.A og Mydoom.F har forskjellige forfattere, og at opphavet til Mydoom.D kan være det samme som for Netsky. Det er i hvert fall svært mange likhetstrekk mellom Mydoom.F og Netsky.

Mydoom.F unngår å sende seg til domener knyttet til amerikanske myndigheter og antivirusleverandører. Den oppretter en bakdør som lytter på port 1080.

I motsetning til Mydoom.A og Netsky gjør den også lokal skade, ved å slette vilkårlig valgte filer med endingene .mdb, .doc, .xls, .sav, .jpg, .avi og .bmp.

Mydoom.F er programmert til to tjenestenektangrep, mot henholdsvis Microsoft og platebransjeorganisasjonen RIAA. Angrepene kjøres når den infiserte PC-ens dato er mellom 1. februar 2004 og 24. februar 2006, ifølge Trend Micro.

Til toppen