Frykter massespredning av 12-hodet orm

Den såkalte Frethem-familien har i skrivende stund mutert til 12 ulike varianter, og nå spår virusbekjemperne at en massespredning er like rundt hjørnet.

Det er fortrinnsvis to varianter av Frethem-ormen som nå ser ut til å opptre i en mer aggressiv form enn tidligere. Den aller nyeste av dem, Frethem-L, rapporteres å ha spredt seg raskt i Nederland via flere åpne mailinglister. Det er denne, sammen med K-varianten av ormen du i første omgang bør være på vakt mot.

Ormen kommer til en e-postkasse nær deg, og fremtoningen vil se omtrent slik ut:

Emne: "Re: Your password!"
Innhold:

[L-varianten]: TOM

[K-varianten]:

"
You can access very important information by this password
DO NOT SAVE password to disk use your mind
now press cancel
"
Vedlegg:
"
decrypt-password.exe (48640 bytes)
MD5: 5412f64b6d2279d2da89a43be9e1a001

- og Password.txt [L-varianten]
"

- Den vedlagte exe-filen er pakket med UPX (Ultimate Packer for eXecutables) og PE-pack, og er skrevet i Microsoft Visual C/C++. Hvis vedlegget åpnes/kjøres vil ormen samle inn e-postadresser fra Microsoft Outlook Express mailbox-filer (.DBX) og Microsoft Windows Address Book (WAB). Den forsøker ved ankomst å utnytte en svakhet i Microsoft Internet Explorer (Incorrect MIME Header Can Cause IE to Execute E-mail Attachment), forteller sikkerhetsekspert Peder Kruse i Security & Virusresearch i Telia Networks i en e-post til digi.no.

De fleste av digi.nos lesere har nok allerede sørget for å tette dette hullet, men dersom du ikke skulle ha gjort det allerede - besøk umiddelbart denne siden for å få fatt på Microsofts egen oppdatering. For dersom du ikke har oppdatert datasystemet ditt, vil ormen automatisk starte opp og avvikle sin ondsinnede kode selv uten interaksjon fra deg som bruker.

Den vedlagte exe-filen kopierer seg selv til Windows-mappen og den videre bane \Start Menu\Programs\Startup\setup.exe i håp om at den kan aktivere seg selv dersom systemet restartes. Stiangivelsen er presis nok for en rekke Windows-varianter, men dersom du har en norskspråklig utgave av Windows vil den neppe være gyldig og dermed ikke fungere. Ormen vil likevel kunne videresende seg til de adressene du måtte ha oppført i Outlook dersom den på et tidspunkt blir kjørt, selv om den altså ikke kan reaktiveres ved gjenstart av systemet.

Ifølge Kruse inneholder ormen også en forbindelse til Internet Explorer hvorfra den vil forsøke å åpne en rekke nettsider - omtrent 50 i tallet - trolig et håp fra virusforfatterens side om å tjene noen raske penger på besøk. Flere av disse nettsidene inneholder nemlig oppringningsprogrammer som kan nedlastes automatisk og ringe opp mer og mindre "eksotiske" steder rundt om i verden.

- Hvis Microsoft Windows ikke er forsvarlig oppdatert er det meget sannsynlig at disse oppringningsprogrammene, såkalte dialere, vil installere seg helt av seg selv - uten interaksjon fra deg som bruker, advarer Telias sikkerhetsekspert.

Les også:

Som vanlig anbefaler vi at du installerer et antivirusprogram på din maskin og sørger for at denne fortløpende (og gjerne automatisk) oppdateres.

- Firmaer bør dessuten overveie å blokkere for .exe-filer på gateway-nivå, alternativt installere mer enn ett antivirus-produkt, er rådet fra Peder Kruse.

Også Panda Software registrerer nå så mye økt spredning av den nye K-varianten av Frethem-ormen at man går ut med en generell advarsel og tilbyr samtidig sine kunder gratis verktøyet PQRemove som oppdager og uskadeliggjørFrethem.K fra infiserte maskiner. Dersom du ikke fra før er registrert Panda-bruker, kan du teste ut selskapets daglig oppdaterte online-scanner.

Eller du kan tenke som så at 'det er typisk norsk å være god' og følgelig velge norske Norman i Norge...

Til toppen