Ny orm lager DoS-angrep mot Symantec

En ny Internett-orm som ble oppdaget denne uken skal blant annet kunne føre til overbelastning av nettstedet til Symantec.

W32.Winevar.worm, også kalt W32/WineVar.A-mm, I-Worm-Winevar og W32.HLLW.Winevar, er en e-postbasert Internett-orm som inneholder sin egen SMTP-server. Ifølge Telia Security- and Virusresearch i Danmark utnytter ormen to sårbarheter i Microsoft Windows. Microsoft har levert lappesaker til begge hullene, men mange brukere har fortsatt ikke installert dem.

Ifølge Telia kommer ormen i en e-postmelding med tittelen "Re: AVAR(Association of Anti-Virus Asia Reseachers)".

Meldingen inneholder følgende tekst:

"AVAR(Association of Anti-Virus Asia Reseachers) - Report.
Invariably, Anti-Virus Program is very foolish."

og vedleggene:

WIN [tilfeldige bokstaver].TXT (12.6 KB) MUSIC_1.HTM

WIN [tilfeldige bokstaver].GIF (120 bytes) MUSIC_2.CEO

HTML-filen vil forsøke å utnytte et hull i Microsoft Virtual Machine, tillegg til å inneholde ActiveX-kode som gjør .CEO-filer eksekverbare. Hvis bruken eksekverer .CEO-filen, vil følgende bli skrevet på skjermen:

"Make a fool of oneself
What a foolish thing you have done!"

Ormen vil søke etter e-postadresser i alle .HTM*- og .DBX-filer og sende en kopi av seg selv til disse ved hjelp av den innebygde SMTP-serveren. I tillegg skal ormen være effektiv når det gjelder å skru av antivirusprogramvare.

Og, som om ikke det var nok, vil ormen forsøke å lage et tjenestenektangrep mot www.symantec.com, nettstedet til antivirusselskapet Symantec.

Telia vurderer risikoen for smitte som relativt liten, da ormen i hvert fall foreløpig ikke er særlig utbredt.

Til toppen