Svensk orm er løs

En svensk Internett-orm ble nylig oppdaget. Den skiller seg fra mengden først og fremst fordi den registrerer vertmaskinens språkinnstillinger.

F-Secure opplyser at ormen Ganda, også kjent som W32/Ganda.A@mm, WORM.SwedenSux og Myzli, ble oppdaget mandag denne uken.

Ormen har en egen SMTP-motor for å sende e-postmeldinger til alle adresser den finner i adresseboken til Microsoft Outlook.

E-postmeldingene som sendes ut inneholder et vedlegg som er en SCR-fil - altså en skjermbeskytter. Filnavnet er alltid kort, for eksempel RG.SCR eller PW.SCR.

Enkelte av meldingene som sendes utnytter et sikkerhetshull i e-postprogrammets håndtering av IFRAMEs. Dette gjør at den vedlagte SCR-filen eksekveres automatisk. Det er kun enkelte eldre og ikke-oppdaterte e-postklienter som har et slikt sikkerhetshull.

Enkelte av meldingene som sendes av ormen har falsk avsenderadresse, ofte adresser som tilhører svenske journalister eller skoler. Eierne av disse adressene har selvsagt ingenting med ormen å gjøre, men blir likevel belastet med klager. Nyhetsbyrået TT skriver om at en kvinne ansatt i Tidningen Ångermanland hadde mottatt over 2000 e-posthenvendelser tidligere i dag.

Meldingene som Ganda sender ut er på enten svensk eller engelsk - avhengig av språkinnstillingene på den infiserte maskinen.

Ormen påvirker ifølge F-Secure også .exe- og .scr-filer på den infiserte PC-ens harddisk ved å legge til en kort kode i slutten av vær av disse filene. I tillegg omadresseres enkelte API-anrop.

Mer informasjon om denne ormen finner du her.

Til toppen