E-postormen, kjent som Worm.ExploreZip eller ZippedFiles, ble registrert forrige helg. Denne ormen fungerer som et kjedebrev og inneholder en destruktiv last. Ifølge det finske antivirusselskapet Data Fellows, har ormen allerede spredd seg til minst et dusin land, inkludert Norge.
De angrepne brukerne mottar ormen gjennom et e-postvedlegg. Når vedlegget åpnes, vil ormen gå gjennom innboksen i Microsoft Outlook og sende et svar til alle de innkommende meldingene. Her kommer et eksempel på hvordan meldingen vil se ut hvis Ola Nordmann har mottatt en e-postmelding fra Kari Nordmann med tittelen "Ordrebekreftelse":
|
From: Ola Nordmann To: Kari Nordmann Subject: RE: Ordrebekreftelse Hi Kari I received your email and I shall send you a reply ASAP. Attachment: zipped_files.exe |
Vedlegget ser ut som et selvutpakkende WinZip-arkiv, men hvis brukeren prøver å klikke på det, dukker det opp en standard WinZip-feilmelding som forteller at arkivet er skadet:
|
Cannot open file: it does not appear to be a valid archive. If this file is part of a ZIP format backup set, insert the last disk of the backup set and try again. Please press F1 for help. |
I tillegg til å sende ut slike kjedebrev, vil ormen forsøke å skrive over en rekke filer på alle lagringsenheter som er tilgjengelige for brukeren. Dette inkluderer nettverksenheter. Følgende filtyper vil enten overskrives eller slettes:
DOC - Microsoft Word dokumenter
XLS - Microsoft Excel regneark
PPT - Microsoft PowerPoint presentasjoner
ASM - Filer med assembler kildekode
CPP - Filer med C++ kildekode
Ormen vil ikke spres videre hvis brukeren bruker en annen e-postklient enn Microsoft Outlook, men vil fortsatt slette alle de nevnte filene hvis vedlegget åpnes.
Viruseksperter ved Data Fellows mener at selv om Worm.ExploreZip spres raskt, er spredningsmetoden mindre effektiv enn den Melissa-viruset benyttet.
Brukere som sender mye e-post på andre språk enn engelsk, vil nok i de fleste tilfeller stusse når de mottar e-post på engelsk som er svar på meldinger de har sendt ut på andre språk. Om dette er nok til å hindre brukerne i å åpne vedleggene, kan man bare håpe.
De fleste produsenter av antivirusverktøy har nå kommet med oppdateringer som oppdager og varsler om Worm.ExploreZip. Disse kan lastes ned fra de enkelte produsentenes nettsteder.
