Advarsel mot spam-motoren i Mydoom

Bakdøren til Mydoom er innrettet mot spam, og en ny variant er programmert til å angripe Microsoft.

Det siste døgnet har det dukket opp flere varianter av Mydoom-viruset som først dukket opp seint mandag kveld denne uken. I tillegg har ekspertene gravet seg dypere ned i koden til bakdøren som Mydoom installerer hos dem som klikker på e-postvedlegget der viruset skjuler seg.

Tidligere er det opplegget for tjenestenektangrep mot SCO Group som har preget kommentarene om bakdøren. I går ble det bekreftet at bakdøren også kan brukes som spam-motor. Det innebærer at PC-er der viruset ikke fjernes, kan utnyttes av spammere til anonym massespredning av reklamemeldinger. Dette var også en viktig egenskap ved Sobig, viruset fra august i fjor som i likhet med Mydoom først og fremst forårsaket skade ved å overbelaste nettverk med e-post.

Symantec melder at de har oppdaget trafikkmønstre som tyder på at Mydoom-smittede PC-er er i ferd med å kartlegges av ukjente som disponerer flere tusen PC-er verden over.

En ny variant av Mydoom er avslørt, med to nye egenskaper:

  • Den endrer innstillinger i virusvernet på offerets PC, slik at det ikke lenger henter fortløpende oppdateringer fra riktig webadresse. Offeret vil også ha problemer med automatiske oppdateringer fra Microsoft.

  • Den er innstilt på å delta i et tjenestenektangrep mot Microsoft.

Tall fra virussporere tyder på at Mydoom-spredningen holder seg på et vedvarende høyt nivå i norske bedrifter. Telenor melder at 54 prosent av Mydoom-fangsten de siste 48 timene er kommet de siste 24 timene – 90.046 av 165.492. På en normal dag, er Telenors virusfangst mellom 7000 og 7500. Tilsvarende tall fra Itegra er 47 prosent – 1.319 av 2.804, mot en normal dagsfangst i underkant av 500.

Comendos oversikt over virusaktivitet i Norge viser at den holdt omtrent samme nivå fra kl 10 helt til kl 24. Så falt spredningen, men holdt seg likevel langt høyere enn normalt, natten gjennom.

Til toppen