Doomjuice-orm sprer kildekoden til Mydoom

Doomjuice-ormen oppsøker Mydoom-smittede PC-er og er programmert for å angripe Microsofts nettsted.

I går kveld var det klart at det ikke bare er én men to registrerte ormer som oppsøker Mydoom-smittede PC-er. I går ettermiddag skrev digi.no om Deadhat, alias Vesser, en orm som renser Mydoom og erstatter den med sin egen bakdør, til seinere bruk, se artikkelen Gjengoppgjør i virusundergrunnen.

Virusekspertenes tips er at det er Mydoom-opphavet selv som har laget Doomjuice. Noen har døpt den Mydoom.C. Det er misvisende, fordi Mydoom er et virus som spres i hovedsak som vedlegg til e-post, mens Doomjuice er en orm som sprer seg automatisk mellom Mydoom-smittede maskiner.

Doomjuice er programmert til å utløse tjenestenektangrep mot Microsoft, og de spekuleres om det kan være årsaken til tilgangsproblemene til Microsofts nettsted i går ettermiddag (se artikkelen Microsofts nettsted under angrep?). I morgentimene er Microsoft.com oppe som vanlig, og den er oppdatert med nytt materiale om Mydoom.C, blant annet enkle instrukser for hvordan man skal kvitte seg med den og selve Mydoom-viruset.

Den danske sikkerhetseksperten Peter Kruse advarer at Doomjuice inneholder en mekanisme som trapper opp angrepet fra 12. februar.

Et merkelig trekk ved Doomjuice, ifølge Kruse, er at "af uransagelige årsager har forfatteren valgt at distribuere den komplette kildekode til W32.Mydoom-A.worm. Kildekoden kopieres til inficerede systemer sammen med W32.Mydoom-C.worm."

Til toppen