BEDRIFTSTEKNOLOGI

Japansk orm sprer seg hurtig

Den irriterende ormen FBound.C sprer seg nå hurtig. Teksten kan være japansk, men innholdet er bare universelt kjipt: Nok en masse-spredningsorm er løs.

14. mars 2002 - 11:22

Ormen FBound.C ser ut til å ha sitt utspring i Asia. Ormen er, sannsynligvis av opphavsmannen, kalt "I-Worm.Japanize", og om mottageren har .jp i e-postadressen sin, vil den velge mellom 16 forskjellige emne-tekster.

Virusanalytiker Snorre Fagerland i Norman sier FBound.C kan ha kommet fra Asia, men at den nå sprer seg raskt til andre deler av planeten.

Vedlegget heter PATCH.EXE, og sørger for å sende ormen videre til alle i windows-adresseboken din og alle adresser den finner i Temporary Internet Files på maskinen din.

Det er samme taktikk som Sircam-ormen brukte, bare at den sørget for å ta med seg dokumenter fra harddisken din med det samme. digi.no ble senest for en ukes tid siden tilsendt private dokumenter med navn som "Kjærlighetslivets gleder" på grunn av Sircam.

Slik funksjonalitet har heldigvis ikke FBound. Den nøyer seg med å sende seg selv i alle retninger, noe som kan være plagsomt nok. Antivirussselskapene pleier gå ut med advarsler når det ser ut til at slik spredning kan ta av i meste laget.

Ormen installerer ikke seg selv til systemet, så etter omstart er det bare å slette den fra temp-folderen den ble lagt i da den ble eksekvert, ifølge F-Secure Corporation.

Dessuten koder ormen filen sin til en enkel linje, noe som bryter med RFC-reguleringen for Base64-koding. Dette kan føre til at endel mailservere nekter å behandle e-post med ormen i.

Ormen er blitt kalt både DotJayPee og Jaize, men de fleste antivirusselskapene ser ut til å ha landet på FBound.C, da den tilhører samme familie som to foregående ormer, FBound.A og FBound.B.

Den angriper kun Windows-baserte systemer.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.