Nytt sex-virus på vei til Norge

PDI advarer nå mot et nytt virus som sendes via e-post. Filnavnet er ofte porno, sexy virgin eller liknende. Viruset er vanskelig å håndtere og ødelegger de filene de kommer inn på, sier en virus-ekspert.

Antivirus-selskapet PDI advarer nå mot et nytt virus, Win32/Hybris, som ser ut til å spre seg. Enn så lenge virker det som om viruset holder seg i Syd- Amerika, men ettersom det sender seg via e-post er det bare et tidsspørsmål før det kommer til Norge, mener PDI.

Per Hansen i PDI forteller til digitoday.no at de nye 32-bits virusene er mye mer komplisert enn de vi har sett tidligere. - De er dessuten vanskeligere å fjerne, og de ødelegger mer. Viruset ødelegger ofte de filene det kommer inn på, slik at disse må slettes og installeres på nytt.


Hansen legger til at det i fjor fantes 40 slike virus, mens det hittil i år er blitt oppdaget over 400.

Selskapet hadde klokken 13:00 i dag ikke fått noen meldinger om virus-infeksjoner i Norge, men har fått rapporter om noen i Sverige.

- Dette er kanskje den mest kompliserte og avanserte virusormen vi har sett. Virusormen er skrevet av signaturen Vecna. Han har tidligere tilhørt virus-skrivergruppen 29A, og har blant annet skrevet virus som Babylonia, Ultimate, Evil, Chop, Bonk og Cocaine. Han har dessuten hjulpet til med visse deler av det nåværende kjente og aktuelle viruset MTX, opplyser PDI.

De mener det er mest sannsynlig at Vecna stammer fra Syd-Amerika.

Viruset sprer seg videre som mange tilsvarende virus - gjennom å sende seg selv via e-post. Den ligger aktivt i datamaskinen og venter på at det skal komme inn en e-post. Når det gjør det, vil viruset fange opp e-post adressen, vente en liten stund og så sende seg av sted som en infisert fil.

Filnavnet har for det meste en pornografisk tilknytning. På F-Secure sine nettsider opplyses det at de vanligste filnavnene på denne ormen er porno, sexy virgin, joke, dwarf4you, midgets, sexynain, pluss noen spanske ord. Endelsene på filer som sendes er enten EXE. eller SCR (screensaver).

Det som gjør dette viruset spesielt er dens mulighet til å oppdatere sine komponenter. Viruset har, ifølge PDI, rundt 32 "plugins", så det viruset faktisk gjør av skade på hver infiserte maskin er derfor litt vanskelig å avgjøre siden infeksjonene varierer fra datamaskin til datamaskin. Dette på bakgrunn av de komponenter som finnes installert.

Komponentene er dessuten kryptert med en RSA-lignende 128 bits kryptering, så de er vanskelige å analysere.

De PDI har tittet nærmere på gjør blant annet følgende:

1. Infiserer alle ZIP- og RAR-filer på samtlige enheter mellom C: og Z:. Den døper om samtlige EXE-filer den finner i arkivet til EX$ og skaper en infisert EXE-fil med samme navn som originalen. Dette er omtrent som Companion-viruset bruker å fungere.

2. Sender melding til nyhetsgruppen Alt.Comp.Virus. Disse meldingene er egentlig komponenter til viruset. Viruset sammenligner seg også med meldinger i denne nyhetsgruppen og ser om det finnes noen med høyere versjonsnummer en den selv har, og om den finner noen, lastes den ned og viruset oppdateres.

Dette er det første viruset som bruker en nyhetsgruppe for å oppdatere seg selv.

Meldingen er beskyttet med en 128 bits nøkkel.

3. Leter opp andre datamaskiner på Internett som er "infisert" med bakdøren SubSeven og infiserer disse. SubSeven har funksjoner som tillater utenforstående å laste opp filer fra maskiner som har bakdøren installert, dette uten at brukeren ser det.

Mer informasjon finner du ved å følge denne pekeren.

Til toppen