Virusmakerne forbereder seg på Windows .Net

Antivirusselskapene mottok fredag en kopi av en orm kalt Sharpei som er delvis skrevet i Microsofts nyeste dataspråk, C#, og dermed designet for å infisere datamaskiner som kjører Microsofts .Net-rammeverk.

Antivirusselskapet Network Associates Incorporated har foreløpig gradert Sharpei-ormen til "low", men trekker likevel frem viruset som interessant ettersom det er det andre eksemplet på kort tid der en virusforfatter forsøker å infisere deler av .Net-rammeverket.

I januar kom det første varselet på hva Microsoft kan vente seg til høstens lansering av .Net.

Les også:
Tsjekker sprer konseptvirus mot Microsoft .Net


Konseptviruset Donut gjorde en marginal bruk av .Net-komponenter, og Microsoft gikk ut i etterkant og tok avstand fra bruken av merkelappen ".Net-orm". Microsoft har ennå ikke kommentert Sharpei-ormen.

Et konseptvirus er et virus som er laget for å bevise at en bestemt sårbarhet eller sikkerhetshull kan utnyttes til å spre ondsinnet kode. Selve konseptviruset er gjerne uten egentlige skadevirkninger. W32.Donut - også kalt W32/Celt.A - har en størrelse på 8 kB størrelse og viste at det er mulig å lage en eksekverbar fil beregnet på Microsofts .Net-rammeverk, slik at smittende kode sprer seg til liknende filer på brukerens datamaskin.

Antivirusselskapene retter en generell advarende pekefinger til bransjen og minner om at virusprogrammerere åpenbart følger godt med i .Net-teknologien, med tanke på å utnytte mulighetene som ligger i selve ideen med webtjenester - at tjenester låner kode fra hverandre over nettet.

Diskusjonsforumet Slashdot.org og nyhetstjenesten CNET News.com vier derfor den nye Sharpei-ormen stor oppmerksomhet. Viruset vil også fungere uten bruk av C#. Sharpei er imidlertid ikke ennå spredt ut i det fri, det vil si at ingen kunder ennå er smittet. Dersom den slippes løs, vil den fungere som ormer flest, det vil si at den sprer seg selv via adresselisten i PC-brukeres e-postboks.

Sharpei-ormen opptrer med overskriften "Important: Windows update" fulgt av denne meldingen: "Hey, at work we are applying this update because it makes Windows over 50% faster and more secure. I thought I should forward it as you may like it."

Hvis PC-brukeren åpner vedlegget, vil ormen sende seg videre til alle adresser som er listet i Outlooks adressebok. Deretter sletter den all e-post fra sendt-mappen for å fjerne spor. På PC-er som kjører Windows XP og andre .Net-kjørbare datamaskiner, vil Sharpei, ifølge News.com, i tillegg infisere filer i fire andre mapper. Dersom disse filene åpnes, vil viruset starte på nytt.
Til toppen