Ny orm smitter via lenke i e-post

Hvis Windows Media Player plutselig slutter å virke, kan du ha fått en orm fra en lenke i en e-postmelding.

Virusvernselskapene melder om et nytt virus, eller rettere sagt en orm, døpt Wallon. De første eksemplarene ble fanget tirsdag. Det spesielle med denne ormen er at den ikke sprer seg som vedlegg til e-post. I stedet oppfordrer den til å klikke på en lenke som ser slik ut, ifølge Symantec og F-Secure:

http://drs.yahoo.com/[domenenavn]/NEWS

Lenken ser ut som en normal lenke til omdirigeringstjenesten til Yahoo!, og ormen bruker faktisk denne tjenesten. F-Secure forklarer at lenken sender offeret til et nettsted som serverer et dokument kalt terra.html, der man sendes videre over en kryptert lenke til count.html.

Denne siste nettsiden utnytter en av Windows-sårbarhetene som Microsoft tettet i midten av april – kjent som object data vulnerability, altså ikke LSASS som Sasser-ormen benyttet seg av – til å sette i gang en nedlasting som ender med at programfilen wmplayer.exe til Windows Media Player overskrives av en fil kalt sys.exe.

Overskrivingen skjer på en måte som gjør at det nye programmet aktiveres etter de samme betingelsene som ville ha uløst Media Player, for eksempel hvis man skal kjøre en lokal multimediefil eller lytte eller se video over Internett. I stedet for å vise multimedia, henter sys.exe nok en ondsinnet programfil fra Internett og kjører den. Plutselig har du fem nye knapper på Internet Explorer som peker på hver sin Google-side, startsiden til nettleseren er endret til nok en Google-side, og søkesiden er endret til Google. Deretter aktiverer ormen sin egen e-postmotor, og sender sin Yahoo-lenke videre til alle e-postadresser den finner på PC-en.

Leverandørene har for lengst oppdatert sine tjenester for å fange opp Wallon-ormen. Spredningen er foreløpig liten – den står ikke på ti-på-topp-listen på Telenors løpende virusstatistikk – og skaden vurderes som forholdsvis liten, selv om det kan være omstendelig å kvitte seg med ormen.

Det mest interessante ved Wallon er at den smitter via en lenke og ikke gjennom et vedlegg – og at Yahoo! ikke har bedre kontroll på sin omdirigeringstjeneste enn at de lar seg misbruke. Forhåpentlig vil ikke dette forholdet vare ved.

Til toppen