Windows lammet av ny hamskiftende orm

Antivirusleverandørene advarer mot en ny skadeorm som lammer Windows, spres gjennom Outlook, og stadig skifter både filnavn, hilsen og kodelengde.

Trend Micro, Symantec og Sophos er blant de første som advarer mot den nye skadeormen som foreløpig er døpt blant annet VBS_NewLove.A, VBS/Spammer.A eller VBS.Loveletter.FW.

Ifølge Symantec har ormen skadet kunder i Israel, Europa og USA. Trend Micro viser til tre ikke-navngitte ameerikanske kunder, hvorav et selskapet i Cupertino i California, der 5000 PC-er skal være rammet.

Den nye skadeormen er et skript i Visual Basic (VB), og sprer seg som et vedlegg til e-post, med endelsen VBS, i likhet med den filippinske LoveLetter-ormen. På emnelinjen i infisert e-post står det først "FW:", så et vilkårlig valgt filnavn, uten endelsen VBS. Vedlegget består av det samme filnavnet, med VBS som endelse. Filnavnet velges tilsynelatende blant navnene på tidligere mottatte vedlegg.

Det vil si at skadeormen gjerne kan opptre i en e-post-melding kalt "FW: Bilde av Sigurd på ettårsdagen.jpg", med vedlegget "Bilde av Sigurd på ettårsdagen.jpg.vbs".

Hvis du klikker på dette vedlegget, og har Windows Scripting Host aktivisert - dette er for øvrig standardinnstillingen i Windows - utløser du en serie med ødeleggende automatikk. Ormen kopierer seg selv et par steder i Windows-katalogen, og utvider seg selv med noen vilkårlige kommentarer på vilkårlige steder i skriptet. Den velger seg et nytt navn, og sender seg selv til alle som er listet i den lokale katalogen til e-post-klienten Outlook. Så innleder den en prosess som systematisk setter alle fillengder til null, på både lokale og nettdisker.

Når denne prosessen kommer langt nok, er PC-en håpløst fortapt. Windows må reinstalleres.

Egenskapen som gjør at ormen stadig blir større ved å utvide seg selv, kalles "polymorfi". Det betyr at den stadig endrer to egenskaper som brukes av virusskannere til å identifisere skadelig kode, lengde og "signatur". Antivirusleverandørene må følgelig finne fram til en måte å identifisere ormen som ser bort fra endringene den påfører seg selv.

Trend Micro, Symantec og Sophos har allerede lagt ut antistoff. De øvrige leverandørene vil nok komme etter om kort tid.

Microsoft har varslet at et tillegg til Outlook vil bli lagt ut snart. Tillegget skal gjøre det enklere for sluttbrukere og administratorer å hindre spredningen av potensielt skadelige vedlegg.

Imens er den viktigste regelen like enkel som den alltid har vært: Ikke klikk på vedlegg hvis du ikke er sikker på hva innholdet er.

Les også disse sakene:


USA trakk forslag om globalt kyberpoliti
Filippinene forbereder lover mot kyberkrim
USA vil ha internasjonalt kyberpoliti
LoveLetter-mistenkt knyttet til Word-virus
LoveLetter-opphav er folkehelt på Filippinene
LoveLetter-kvartett mistenkt, men ikke arrestert
MS forbedrer sikkerheten i Outlook
Ny e-postorm: South Park truer Windows-brukere

Til toppen