Bugbear-ormen verre enn Klez

Bugbear sprer seg noe tregere denne uken enn i forrige, men ormen ligger likevel an til å bli tidenes verste e-postvirus.

Tross enkelte meldinger om at Bugbear-ormen snart ventes å gå i dvale, opprettholder antivirusselskapene sin "high risk, high alert"-klassifisering av e-postviruset.

Det er det da også god grunn til, for statistikken viser at Bugbear er på god vei til å ende opp som tidenes verste e-postorm. Våre egne erfaringer i digi.no er at virusfiltrene på våre mailservere knapt rekker å tygge unna all pågangen av virusinfisert mail - en pågang som har økt betraktelig de siste dagene.

Les mer om Bugbear:


Bare i forrige uke registrerte MessageLabs over 320.000 e-brev inneholdene Bubear-vedlegget, det er langt flere enn det som ble registrert for det hittil verste e-postviruset Klez.h i sin første uke (april 2002). Klez.h-ormen er uten sidestykke det mest trafikkskapende viruset som hittil er spredt over Internett.

"Tøylesløst og fortsatt voksende" er Message Labs' karakteristikk av Bugbear. MessageLabs kan ikke måle antallet Internett-tilknyttede PC-er som er infisert med e-postormen, men selskapet observerer likevel trenden godt ut fra at man filtrerer e-post for flere hundre tusen kundemaskiner.

Ifølge CNET News.com, registrerte MessageLabs at Klez.h-ormen passerte én million infiserte e-postmeldinger i USA i juni, og foreløpige beregninger tyder på at Bugbear sprer seg dobbelt så raskt som Klez.

Bugbear-viruset har de typiske e-postorm-særtrekkene, pluss litt til: Etter at en PC er infisert søker Bugbear på maskinen etter alle registrerte e-postadresser og sender seg selv videre til alle i adresseregisteret. Ormen lager en randomisert liste av adressene den finner og plasserer dem i "Fra"-feltet, dette for å skjule hvor den infiserte e-posten faktisk kommer fra og dermed blir det vanskeligere å slå alarm til rette vedkommende om at hans/hennes maskin er infisert. Ormen prøver også å kopiere seg selv til andre PC-er som deler harddisker med det infiserte systemet.

Ekstra skremmende er det at Bugbear søker etter en lengre liste med definerte sikkerhetsprogrammer, antivirusverktøy inkludert, og forsøker å stoppe disse fra å kjøre på den infiserte maskinen. Ormen kan også finne på å starte omfattende skrivejobber - nettverksskriveren kan bli satt til å skrive ut bunkevis med bortimot blanke ark - i tillegg til at den inneholder en tastaturlogg, hvilket kan skremme vannet av enhver nettbankkunde. Bugbear-ormen benytter seg av et godt kjent sikkerhetshull som du kan lese mer om her.

Men ikke alle skjelver i buksene over aggressive Bugbear. Network Associates, selskapet som står bak virusbekjemperen McAffe, opprettholder riktig nok høy alarmberedskap i dag, men antyder overfor Reuters at det kan bli aktuelt å nedgradere e-postormen til "medium risk" allerede fra i morgen av fordi ormens spredningshastighet ser ut til å avta.

Det er mange som håper at Network Associates får rett.

Til toppen