Ny orm utkledd som Microsoft-sikkerhetsvarsel

Virusvernerne advarer mot Gibe.B, en e-post- og KaZaA-orm som gir seg ut for å være en sikkerhetsvarsel fra Microsoft.

Gibe.B, også døpt Worm/Gibe.B og Win32.Gibe.B@mm, ble oppdaget 23. februar, men har det siste døgnet klatret opp på femte plass på statistikken til MessageLabs. Det opplyses at ormen er mest aktiv i Storbritannia, Australia – der den først ble oppdaget – USA, Hongkong, Frankrike og Spania. Etter den norske statistikken på Virusfree.no å dømme, har den ennå ikke gjort seg særlig gjeldende her i landet.

Ormen sprer seg ved å sende seg selv til adresser fra adresselistene i Outlook og Outlook Express. Den benytter også fildelingstjenesten KaZaA og meldingstjenesten mIRC.

Spredd per e-post gir den seg ut for å være en sikkerhetsvarsel fra Microsoft, der vedlegget UPDATEnnnn.exe (nnnn er et vilkårlig tre- eller firesifret tall) beskrives som en nødvendig sikkerhetsfiks – "February 2003, Cumulative Patch" – for Internet Explorer, Outlook og Outlook Express, under Win 9x/Me/2000/NT/XP. Emnefeltet viser Fw: Check this patch from Microsoft eller en tilsvarende melding, mens mottakerfeltet lyder Microsoft Customer.

Norman forteller at skadevirkningen ikke er ferdig utredet, men at mye tyder på at det installeres en bakdør, det vil si en mulighet for uvedkommende til å få offerets PC til å gjøre hva som helst, som å slette lokale data eller delta i et distribuert tjenestenektangrep.

Ormen er skrevet i Visual Basic og er på 155.648 bytes.

Heuristiske virusvernere viste seg i stand til å fange opp ormen.

Til toppen