Nytt NT-virus overfører seg selv

NT-viruset Remote Explorer infiserer NT-tjenere og NT-klienter uten noen form for brukermedvirkning.

Ifølge Network Associates (kjent for blant annet antiviruset McAfee) ble Remote Explorer først oppdaget hos en kunde 17. desember i år. Det kal være det første virusprogrammet som sprer seg selv fra NT-maskin til NT-maskin, både tjenere og klienter. Det kopierer seg selv til katalogen NT Driver og døper seg ie403r.sys. Det installerer seg som en tjeneste under navnet Remote Explorer. Det bærer en egen dll-fil, altså en pakke med programrutiner, som hjelper den i prosessen med å infisere andre maskiner og kryptere filer av typen exe, txt og html.

Spredningen initieres ved at viruset stjeler sikkerhetsprivilegiene til domeneadministratoren. Filene som komprimeres og krypteres, velges på tilfeldig grunnlag. Infiserte filer kan gjerne ligge på maskiner med andre varianter av Windows, men smitte kan bare spres gjennom NT. Spredningen gjennom Internett kan bare skje med aktiv brukermedvirkning.

Utgangspunktet er en virusfil på 125 kB med anslagsvis 50.000 linjer kode skrevet i C. Network Associates anslår at skrivingen må ha krevet minst 200 arbeidstimer, i tillegg til ressursene og kontaktene som kreves for å skaffe ytterligere prekompilert kode.

Network Associates antyder på nettstedet at en fiks kan gjøres tilgjengelig i løpet av 21. desember amerikansk tid, men noen slik er ennå ikke lagt ut når dette skrives. Fiksen skal gjøre det mulig å avsløre viruset, fjerne det, avsløre smittede filer og gjenopprette disse til opprinnelig status. Nettstedet inneholder detaljerte instrukser for hva man kan gjøre for å beskytte seg. Viruset er hukommelsesresident, slik at maskinen må tas ned. Ødelagte filer må inntil videre slettes og gjenopprettes fra siste sikkerhetskopi.

Det er ikke materiale om Remote Explorer på nettstedene til de øvrige antivirusleverandørene. Symantec og Trend Micro uttaler at ingen av deres kunder har meldt om tilsvarende problemer.

En talsperson for telekomgiganten MCI Worldcom bekrefter at selskapet er smittet, men sier samtidig at angrepet er under kontroll og at det ikke får noen betydning for selskapets drift eller kunder. Network Associates har ikke bekreftet at MCI Worldcom er den av deres kunder som er smittet, men hevder at det dreide seg om et titalls steder med til sammen flere tusen klienter og tjenere.

Visepresident Gene Hodges i Network Associates sa på en pressekonferanse i USA i natt norsk tid at Remote Explorer er det første viruset med potensial til å ødelegge informasjonssystemet i et stort selskap. Han mente derfor at man sto overfor et første tilfelle av kyberterror. Senere uttalelser fra selskapet har dempet karakteristikken til "det mest sofistikerte virus vi har sett".

En talsperson for Microsoft sa at viruset er uvanlig fordi det sprer seg så raskt, men at det ellers ikke er eksepsjonelt. Microsoft peker på at vanlig datasikkerhetspraksis og regelmessig bruk av antivirusprogramvare forebygger angrep også fra Remote Explorer.

Viruset har en tidsfunksjon som gjør at den prøver å spre seg raskere fra lørdag ettermiddag til tidlig søndag morgen enn ellers i uka. Noen har spunnet videre på dette og spekulert i om det kan være funksjoner i Remote Explorer som ennå ikke har gjort seg virksomme. De mener viruset kan være programmert til å konsentrere seg om å spre seg i en første fase, og at ødeleggelser i større omfang kan komme siden. Det svarer til den beskrivelsen Network Associates har gitt av det første smittestedet: Viruset var først og fremst ute etter å spre seg og å gjemme seg. De faktiske ødeleggelsene var få.

Til toppen