I love you-ormen ødelegger all filsikkerhet i Windows NT

Den raskt spredende I Love You-ormen laster ned og kjører en exe-fil som endrer kjernen i Windows NT og ødelegger all filsikkerhet i systemet.

(OBS: Etter at denne artikkelen ble offentliggjort, er det kommet fram at den inneholder feil. Disse er korrigert i en senere artikkel: Mange misforståelser om ILOVEYOU-ormen.)

De alvorligste egenskapene i I Love You-ormen ligger ikke i VisualBasic-skript-filen som nå sendes til tusenvis av e-postbrukere verden over.

- At ormen sender ut massevis av e-postmeldinger og sletter innholdet til en del filer har mindre betydning, sier Stein Møllerhaug, sikkerhetsekspert hos Compaq Norge, til digi.no.

- Det er den eksekverbare filen som lastes ned fra en ekstern webserver som er den største trusselen. Denne filen, WIN-BUGSFIX.exe, endrer kjernen til Windows NT slik at operativsystemet mister all filsikkerhet. Det vil si at alle NT-brukere plutselig får tilgang til alle filene på de infiserte NT-systemene.

At digi.no tidligere i dag ikke fikk tak i denne filen fra den nevnte webserveren, mener Møllerhaug skyldes at kapasiteten til maskinen til tider har vært sprengt.

Møllerhaug mener det helt sikkert er mange systemadministratorer verden over som har åpnet disse vedleggene på NT-maskiner. Og han mener at når folk først gjør slike ting, er det ikke så usannsynlig at de lar være å rydde etter seg i ettertid. Dette vil i praksis si at disse maskinene kan være fritt vilt i lang tid framover.

Analysene av den eksekverbare filen er ennå ikke ferdige. Det er ikke umulig at det ligger flere overraskelser der. I tillegg inneholder skriptfilen en del kryptisk kode som genererer en HTML-side. Dette området er ennå ikke blitt analysert og kan ifølge Møllerhaug by på enda flere overraskelser.

Møllerhaug mener at til tross for at ormen er ganske sindig laget, mangler utvikleren visse grunnleggende kunnskaper. Tilsynelatende har utvikleren trodd at spredningen av viruset vil kunne forsterkes ved å erstatte innholdet i blant annet MP3- og JPEG-filer med selve ormen. Men slik filer kan bare åpnes hvis filtypen er korrekt. Når bildene og musikken er erstattet av en orm, vil brukerne bare oppleve en melding om at disse filene er av feil type.

Les mer om I-love-you-ormen i disse artiklene:


Verdens raskeste selvspredende virus
Se opp for monster-virus

Til toppen