Virus offentliggjør dokumentene dine

For få dager siden ble et nytt virus, som nå kalles Word Macro/PolyPoster, oppdaget. Dette viruset kan komme til å publisere dine Word-dokumenter på en rekke nyhetsgrupper.

Viruset, som er blitt oppdaget og isolert av datasikkerhetsselskapet Data Fellows, er som navnet sier en makro i et Word-dokument. Viruset kommer inn på en brukers datamaskin ved at brukeren får tak i dette Word-dokumentet på et eller annet hvis, for eksempel per e-post eller gjennom en nyhetsgruppe.

Viruset vil deretter spre seg til alle dokumenter som senere opprettes eller endres i Word.

Men dette er bare en del av problemet.

Viruset vil på tilfeldige tidspunkter aktiveres. Det vil da forsøke å sende ut dokumenter som er i bruk til en rekke populære nyhetsgrupper på Usenet. Meldingen som sendes ut på nyhetsgruppene, skal se ut som en vanlig melding fra den aktuelle brukeren av maskinen, komplett med signaturfil. Dette betyr at alt fra kjærlighetsbrev til konfidensielle opplysninger kan bli offentliggjort for mange tusen lesere av nyhetsgruppene. Meldingene som sendes ut er selvsagt også infisert av viruset, slik at stadig flere vil bli rammet.

Lederen for Data Fellows' antivirus forskningssenter, Mikko Hyppönen, sier at man har ventet på en slik virustype i to år nå.

- Det er enkelt å rette opp skadene som gjøres av virus som - når det aktiveres - kun sletter data. Alt du trenger da er en backup. Det er derimot ingen måte å rette opp skadene i tilfeller der virus offentliggjør konfidensielle dokumenter på Internett, sier han.

Riktignok er det i mange tilfeller mulig å slette meldinger som er blitt publisert på Usenet, men da må man i første omgang vite at meldingene er blitt sendt ut. I tillegg vil mange ha kunnet lese meldingene og vedleggene før man rekker å få fjernet dem.

Ifølge Hyppönen virker det heller ikke som om tradisjonelle sikkerhetsmetoder som brannmurer vil kunne forhindre slike angrep. Dette fordi det hverken er forbudt å motta e-post med Word-dokumenter som vedlegg, eller å sende ut meldinger til nyhetsgrupper.

Nå har heldigvis WM/PolyPoster endel begrensninger. Blant disse er behovet for at brukeren benytter nyhetsgruppeleseren Forté Agent. Viruset benytter innstillingene fra dette programmet til å finne ut hvilken Usenet-server brukeren har tilgang til, samt opplysningene om brukeren. Agent og Free Agent fra Forté, er blant markedets mest utbredte Usenet-leserne for PC.

Per Hansen, direktør for PDI Consult, Data Fellows' norske samarbeidspartner, sier til digi.no at dette viruset ennå ikke er oppdaget i Norge. Dette er heller kanskje ikke så rart, siden det bare er få dager siden det ble oppdaget første gang.

Hansen forteller også at WM/PolyPoster er svært enkelt å modifisere, noe som kan gjøre det vanskelig å sikre seg mot alle varianter av viruset.

Data Fellows har likevel oppdatert sitt antivirusverktøy, F-Secure Anti-Virus, slik at de varianter av viruset som hittil er oppdaget, blir slettet fra maskinen.

Til toppen