Artikkelen ble oppdatert med en lenke til en beskrivelse av den ene av de to ormene som politiet ble infisert av.
Som meldt tidligere i dag har Kripos og andre politienheter igjen blitt angrepet av dataorm.
Politiets data- og materielltjeneste (PDMT) har nå sendt ut en melding der de hevder at «virusangrepet» nå er under kontroll.
– Datasystemene i de politienhetene som var rammet er tilbake i normal drift. Spredningen av viruset begrenset seg til noen få politienheter i Sør-Norge og påvirket ikke politiets arbeid med trygghet, lov og orden. Politiets data- og materielltjeneste (PDMT) iverksatte etablerte rutiner umiddelbart for å håndtere situasjonen og har i løpet av det siste døgnet løst situasjonen. Politiets IT-systemer er operative. Angrepet har ikke påvirket politiets beredskap, heter det i meldingen.
Ifølge PDMT var klienter og servere oppdatert med «siste versjon» antivirus da angrepet begynte, men den ondsinnede koden ble likevel ikke oppdaget.
– Nå er politiets antivirusprogram igjen blitt oppdatert fra leverandøren med en ny versjon som oppdager det aktuelle viruset, heter det.
Meldingen stadfester at det ikke dreier seg om ett virus, men om to ormer, henholdsvis «worm_ircbot.woo» og «worm_silly.sz». Ifølge PDMT døper de om Word- og pdf-filer til exe-filer.
Det bekreftes at ormene har skapt problemer hos Kripos, Riksadvokaten og ved politidistriktene Follo, Søndre Buskerud og Telemark. Spredningen skal være stoppet, og det er ikke meldt om tapte dokumenter.
Til slutt heter det at angrepet var langt mindre alvorlig enn det tidligere i år.
Det er sparsomt med beskrivelser for de nevnte ormene.
Trend Micro har imidlertid nettopp lagt ut informasjon om worm_ircbot.woo.
Etter det digi.no får forklart av en antivirusleverandør – som ikke har politiet som kunde – kommer nye varianter av ondsinnet kode så raskt at døpingen skjer automatisk, og beskrivelser blir bare utarbeidet i spesielt relevante unntakstilfeller.
«Ircbot» brukes om ormer som styres fra IRC-servere, det vil si «Internet Relay Chat» eller prateromservere. «Silly» brukes om ormer som ikke gjør særlig annet enn å spre seg, gjerne ved hjelp av USB-pinner.
Ormer som døper om Word- og pdf-filer til exe-filer er godt kjent: Avhengig av metode kan det være alt fra trivielt til utfordrende å gjenvinne de opprinnelige dokumentene. Ircbot- og Silly-ormer som døper om Word og pdf har hittil i hovedsak opptrådt i Asia, etter det digi.no får vite.
Les også:
- [17.12.2009] Enda en dataorm boltrer seg hos Kripos
—
