I siste sjudagers periode fanget Telenors e-posttjeneste opp i underkant av 24.000 datavirus. Hittil i dag (per kl 12) er det stanset nærmere 27.500 virus, hvorav over 25.000 eksemplarer av det nye viruset som slo til i USA i går kveld norsk tid, vekselvis kalt Mydoom, Novarg, Mimail.r og Shimg.
Les også:
- [29.01.2004] Advarsel mot spam-motoren i Mydoom
- [28.01.2004] Epost-filtere gjør vondt verre i virusflom
- [28.01.2004] Mydoom-viruset verre enn Sobig
- [27.01.2004] Raskt spredende virus forbereder angrep mot SCO
Tilsvarende tall fra Itegra (Virusfree.no) viser 5.069 stansede virus de siste sju dagene. Over halvparten av disse – 2.664 – er silt ut de siste 24 timene. (Hos Itegra er de siste 24 timene inkludert i tallet for de siste sju dagene, hos Telenor er tallene hittil i dag ikke med i tallet for de sju foregående dagene.)
Grafene til Comendo for Norge (de oppdateres kontinuerlig på Følg spam- og virusplagen i Norge time for time) viser en nærmest eksponentiell vekst i virusfangsten hele formiddagen. Andelen smittet e-post var vokst til 10 prosent i timen fra kl 9 til kl 10, deretter til 15 prosent fra kl 10 til kl 11, og til rundt 23 prosent fra kl 11 til kl 12.
Det innebærer at mellom hver femte og hver fjerde e-post som mottas i Norge i øyeblikket, bærer Mydoom eller et annet virus.
Ifølge Itegra stammer 93 prosent av den smittede e-posten fra privateide domener, i motsetning til tilbydereide domener. Det tyder på at det først og fremst er profesjonelle brukere som sprer smitte, ikke private.
Ifølge Comendo sprer det nye viruset seg med "utrolig" fart verden over, selv om det ennå ikke har overgått Sobig.f (spredning i august 2003) eller Bagle.a (spredning for et par uker siden).
Av utfyllende informasjon gitt av Computer Associates, går det fram at det ikke er alltid vedlegget er i zip-format (komprimert), og at emnefeltet og navnet på vedlegget kan variere ganske mye. Selve meldingen varierer også, og er laget etter modell av intetsigende feilmeldinger for å lure det potensielle offeret til å klikke på vedlegget.
"Fra-adressen" i smittet e-post er forfalsket. Det hjelper følgelig ikke å gjøre avsenderen oppmerksom på at hans e-postadresse sprer smitte. Adressen tilhører sannsynligvis ikke vedkommende, og å svare gjør bare vondt verre, siden e-postkanalene får enda mer e-post å hanskes med.
Bakdøren som viruset legger igjen, åpner TCP port 3127. Dersom den skulle være i bruk, prøver den på neste port, fram til port 3199.
Computer Associates bekrefter at hensikten med bakdøren er å lansere et tjenestenektangrep mot SCO Group i tidsrommet 1. til 12. februar 2004.
