Norman løste Zotob-problemet

Norman har løst den spesielle utfordringen fra Zotob-ormen til deres proprietære Sandbox-teknologi.

Zotob-ormen som rammet blant annet flere medieselskaper i USA tidligere denne uken, men som ikke ble registrert her i landet, skal nå være på retur, selv om den fortsatt kommer i flere varianter.

Ormen rammer særlig Windows 2000-PC-er i bedrifter som ikke har installert de siste sikkerhetsfiksene til Microsoft. Den krever ingen samhandling med offeret, og offeret merker ikke at PC-en infiseres. Flommen av stadig nye varianter gjør at den vanlige metoden med signaturer ikke stanser Zotob.

Virusvernleverandørene har løst dette på forskjellige måter. Symantec har utviklet en metode for å knytte signaturer til kjente sårbarheter, slik at ukjente virus som prøver seg på kjente sikkerhetshull, stanses. Signaturen for sårbarheten som Zotob utnytter, var sendt ut til kundene før ormeflommen satte inn.

Norman har en mer allmenn teknologi, som også skal stanse angrep mot sårbarheter som ennå ikke er oppdaget. «Sandbox» fanger opp ukjent kode i et lukket miljø inne i PC-en, og slipper den ikke til den ekte PC-en dersom den oppfører seg ondsinnet.

Et problem med denne teknologien, er at ormer og virus gjerne leveres i «pakker», som både er kryptert og komprimert. Skal Sandbox virke, må den kunne fange opp denne pakken.

– Det finnes flere hundre slike pakkemetoder, og vi hadde ennå ikke utviklet en utpakking for Zotob da den kom, forklarer supportsjef Eirik Amundsen i Norman til digi.no. – Nå er det gjort, og oppgraderingen er sendt gjennom vår automatiske tjeneste.

Amundsen mener det etter hvert vil bli stadig vanskeligere for orme- og virusmakerne å finne pakkemetoder som Sandbox ikke er i stand til å avsløre.

– Jeg kan ikke garantere at Sandbox vil ta absolutt alle kommende varianter av Zotob, men vi konstaterer at det er stadig sjeldnere at vi ser pakker som Sandbox ikke tar, avslutter han.

    Les også:

Til toppen