Voldsom spredning av ny Internett-orm

En ny Windows-orm som har fått navnet NetSky.B, spres svært raskt, ikke minst i Norge.

Norman advarer mot en ny Internett-orm som er blitt rapportert inn av flere brukere. Også flere av digi.nos lesere som selv administrerer e-postservere melder om svært høy aktivitet fra denne ormen.

Ifølge Norman er ormen foreløpig blitt observert i Norge og i BeNeLux-landene.

Comendo melder at selskapet stoppet den første ormen av denne typen klokken 09:08 i dag og siden har stoppet over 8000 ormer. Akkurat nå stopper selskapet mer enn én orm i sekundet uten at det er noe som tyder på at kurven er nedadgående.

Virus112 skriver i en melding at tittelfeltet til e-postene som sendes ut av ormen, inneholder ett av de følgende uttrykkene:

unknown

fake

stolen

information

warning

something for you

read it immediately

hello

Det som står i selve meldingen varierer mye, det samme gjør navnet på filen som inneholder ormen.

I tillegg til å spres over e-post, forsøker ormen også å kopiere seg over til delte filområder på andre maskiner den infiserte maskinen har kontakt med.

Når ormen smitter en maskin, oppretter den filen C:\WINDOWS\services.exe

Deretter opprettes verdien "service"="C:\WINDOWS\services.exe -serv" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" i Windows-registeret.

Trolig kan ormen deaktiveres ved å slette den nevnte filen.

Det er grunn til å forvente at de fleste antivirusselskapene vil ha slike filtre på plass innen kort tid, men brukerne må ikke stole blindt på dette.

Mer informasjon om NetSky.B finnes blant annet på denne siden hos Norman.

Følg spam- og virusplagen i Norge time for time.

Til toppen