Uforklarlige avvik i Nimda-rapporter

Norske brukere har rapportert 6423 Nimda og 535 Sircam til Trend Micro det siste døgnet. Det strider mot tall fra Itegra, som ser mye Sircam og ingen Nimda.

Spredningstall fra Trend Micro og Itegra AS kan ikke sammenliknes direkte. Men begge har tall for smittetilfeller av Nimda og andre ormer i Norge det siste døgnet, og avviket er reelt.

I de 24 timene fram til kl 14:45 norsk tid torsdag 20. september hadde Trend Micro mottatt rapporter om 61.594 tilfeller av Nimda-smitte verden over, og 6.136 tilfeller av Sircam. Tallene for Europa - inkludert Norge - er henholdsvis 7.493 og 2.400. Tallene for Norge overrasker: henholdsvis 6423 Nimda og 535 Sircam. Sverige melder bare fra om 80 Nimda-tilfeller.

I timene fra midnatt til kl 14:00 samme dag, vasket Itegra 6000 e-postmeldinger for sine bedriftskunder. Av disse måtte 250 renses for smitte. I en håndfull tilfeller dreide smitten seg om Magistr. Resten var Sircam. Itegra mottok ikke ett eneste tilfelle av Nimda, utenom det de selv satte ut for å kontrollere at fangst-systemet deres virker.

- Tallene våre stammer fra frivillig rapportering fra våre kunder, forteller Morten Jensen i Trend Micro Norge. - Overrapporteringen i Norge i forhold til for eksempel Sverige, skyldes at vi i Norge har lykkes bedre enn våre svenske kolleger i å få kundene til å rapportere. At TV 2 har en lenke til vår gratis House Call-tjeneste, bidrar mye til å øke rapporteringen fra Norge i forhold til andre land. Selv om det er overrapportering fra Norge, er vi helt sikre på at tallene gjenspeiler en reell bølge av smittetilfeller. I går var ikke Nimda på oversiktene våre i det hele tatt. Vi vet at store kunder er smittet i Sverige, men de rapporterer altså ikke.

Inge Moen i Itegra mener Nimda umulig kan ha noen større spredning per e-post i Norge.

- Vi har bare tall for spredning via e-post, sier han. - Men tallene er entydige. Vi har en rekke store og godt eksponerte kunder. Smitteprosenten er vesentlig høyere enn normalen, men det skyldes nesten utelukkende Sircam.

Avviket virker uforklarlig, selv om man kan tenke seg at Nimda-smitten ikke spres så mye gjennom e-post, men heller gjennom de øvrige smitteveiene som kombi-ormen behersker, for eksempel gjennom nettsteder og delte disker.

- Vi har ennå ikke opprettet noen statistikk fangst for portskanning, men vi merker av loggene at det er langt mer angrep mot de vanlige portene enn normalt, sier Moen.

Dette er i tråd med observasjoner fra andre sikkerhetsselskap. Statistikk fra SANS Institute, som er ajour per 18. september, viser at rapporterte portskanninger den dagen - som var da Nimda dukket opp for alvor - hoppet til mer enn det dobbelte av gjennomsnittet de foregående fire ukene. 43 prosent av disse var i USA. De eneste andre land med over fem prosent andel av det døgnets portskanninger var Kina og Korea.

Til toppen