To nye, farlige makrovirus er sluppet løs

De siste dagene er det blitt funnet to nye makrovirus som smitter Word 97-filer. Det ene viruset har mye til felles med det beryktede Melissa-viruset.

Flere antivirusselskaper melder nå at det er dukket opp to nye virus som hvor begge regnes som aggressive, riktignok på hver sin måte.

W97M_60thSKEPTIC er et virus som har mye felles med Melissa-viruset som herjet over hele verden tidligere i år. Viruset spres ved å sende et infisert dokument som vedlegg til e-postmeldinger til opptil 60 mottakere som er registrert i adresseboken til e-postprogrammet Outlook på den infiserte maskinen.

Tittelen på e-posten er "Important Message From <brukernavn>" mens innholdet i selve meldingen er "Look what I found...". Viruset oppretter to filer i roten på c:-disken. Disse filene, SS.BAS og SS.VBS, brukes til å infiserer normal.dot-filen til Word. I tillegg legges det til en ny nøkkel i Windows-registeret. Nøkkelen legges under "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run". Nøkkelen kalles "Sixtieth Skeptic" og har verdien "C:\SS.VBS". Dette betyr at filen SS.VBS, som er en VisualBasic skriptfil kjøres hver gang maskinen startes opp.

Det er til nå ikke kjent om SKEPTIC-viruset har mer destruktive egenskaper.

Faren for å bli smittet av SKEPTIC er foreløpig liten, siden viruset ifølge Trend Micro kun er blitt funnet på ett eneste nettsted.

Det andre viruset som er blitt oppdaget denne uken er W97M/Thus.A. Dette er ser ut til å være et mye mer destruktivt virus enn SKEPTIC, men spres ikke like effektivt. Likevel er det ifølge Norman blitt oppdaget i vill tilstand, blant annet ved flere finansielle institusjoner.

Thus.A-viruset spres kun når et Word-dokument som inneholder viruset åpnes i Word. Viruset skrur da først av makrovirusbeskyttelsen i Word slik at programmet ikke viser den normale meldingsboksen som forteller om faren med makrovirus. Så fjerner viruset alle eksisterende makroer fra "thisDocument"-modulen og infiserer den. Deretter tvinger viruset Word til å lagre den globale malen slik at andre Word-dokumenter som opprettes eller endres også blir smittet. Til slutt sørger viruset for at lasten klargjøres for dens oppdrag.

Lasten er nemlig den destruktive delen av dette viruset. Den 13. desember, uansett år, vil Thus.A-viruset prøve å slette alle filene som ligger på C:-disken. Dette kan føre til at maskinen ikke vil starte opp og at programvaren, inkludert Windows, må installeres på nytt.

De fleste produsentene av antivirusverktøy, inkludert Norman og Trend Micro har kommet med oppdatering til sine verktøy slik at de oppdager og sletter både W97M_60thSKEPTIC og W97M/Thus.A.

Til toppen