Det ondsindede Sality-angreb, som i sidste uge ødelagde 80 administrative maskiner hos containergiganten A.P. Møller-Mærsk, spredte sig i løbet af weekenden, så omkring 300 maskiner hos firmaet nu er inficeret.
Mens 300 medarbejdere i øjeblikket ikke kan udføre deres arbejde, har andre ansatte fået indraget ferien for at rense og geninstallere de ramte maskiner.
I fredags fortalte it-sikkerhedschef Kim Aarenstrup til Computerworld, at Sality-virussen var stoppet, og at man regnede med at have alt ved det gamle i løbet af fredagen.
"Når vi når fyraften, har vi styr på den her," sagde Kim Aarenstrup fredag.
Sådan kom det imidlertid ikke til at gå, afslører han nu. Efter weekenden har antallet af inficerede maskiner hos containergiganten nemlig nået 300.
Sværere oprydning
"Det var en smule større end først antaget, og det var simpelthen, fordi at nogle af de maskiner, som var blevet inficeret, gik i stykker og rapporterede dermed ikke ind, at de var inficerede," siger Kim Aarenstrup.
Ifølge Kim Aarenstrup gør det større antal af inficerede maskiner ikke sagen meget værre, set som virus-incident. Når det handler om oprydningsarbejdet, er sagen imidlertid værre, fordi det bliver mere komplekst at rydde op i 300 maskiner i stedet for 80, siger han.
Kim Aarenstrup beretter, at ødelagte maskiner i denne sammenhæng betyder, at maskinerne bliver gjort ubrugelige af virussen, så maskinerne ikke fungerer.
Derfor skal de enten re-installeres eller renses. Begge dele har ifølge Kim Aarenstrup vist sig at være effektivt.
"Det er Sality-virus familien, vi har med at gøre. Og den variant har man så ikke set før," siger han og fortæller, at virksomhedens anti-virusleverandør hen over weekenden har udarbejdet en modgift, så firmaet var parat til at tage i mod folk mandag morgen.
Vi sidder og venter
Virusangrebet betyder dog, at flere hundrede ansatte mandag ikke er i stand til at passe deres arbejde. Simpelthen fordi det ikke har været muligt at udskifte så mange computere, mens it-personalet renser eller geninstallerer de ansattes maskiner.
"Det mest irriterende er tabet af produktivitet. Vi sidder lige nu en masse mennesker, der venter på at få renset vores computere," siger Kim Aarenstrup.
Han fortæller, at virksomheden netop nu har en flok mennesker til at gå rundt for at rette de omkring 300 inficerede maskiner op.
"Det er lidt træls, at vi behøver manuel intervention, hvor vi ellers plejer at kunne rette tingene op elektronisk," siger Kim Aarenstrup.
Virus-angrebet betyder også, at der er folk, som er kaldt ind fra ferie, mens firmaet ellers klarer sig med hjælp fra eksterne samarbejdspartnere og medarbejdere, som ikke holdt ferie, forklarer it-sikkerhedschefen.
Datatab kan ikke udelukkes
It-sikkerhedschefen fortæller, at det stadig primært er administrative computere, som er berørt af virusangrebet. Men han kan ikke udelukke, at det senere viser sig, at en enkelt server er inficeret.
"De har ikke været ude og røre ved vores produktionsmiljøer nogen steder," siger han.
Han vil heller ikke udelukke, at angrebet kan have ført til datatab for den enkelte ansatte.
"Men ikke datatab på den måde, at der er røget informationer ud af forretningen," siger han.
Derimod er det sandsynligt, at medarbejdere, som har haft dokumenter åbne, eller som har gemt data på en maskine, som er nødt til at blive re-installeret, har tabt data, hvis ikke de har gemt arbejdet et alternativt sted.
I følge Aarenstrup er medarbejderneinstrueret i ikke at gemme kritisk information på deres computere, men på deres netværksdrev, hvor data opbevares sikkert.
Ny udgave reddede it-chefs pc
Ifølge it-sikkerhedschefen er det ærgerligt, at så ødelæggende vira som Sality stadig bliver spredt.
"Det, som selvfølgelig er træls, er, at den har været så ødelæggende. Det er rigtigt ærgerligt. Vi troede, at det var i en fjern fortid, at man var destruktiv," siger han.
Han fortæller, at de mere moderne vira prøver at snige informationer ud af folk, men sjældent forsøger at ødelægge sin ressource.
"Derfor kan jeg også have en mistanke om, at det i virkeligheden er en dårligt kodet virus, som simpelthen sletter nogle ting. Men noget af det ligner et bevidst forsøg på at ødelægge nogle ting," siger Kim Aarenstrup, der afslører, at hans egen pc fungerer efter virus-angrebet:
"Ved et tilfælde så testede vi en helt ny udgave af vores anti-virussystem på min computer for lang tid siden, og tilfældigvis har den taget denne virus. Så jeg og mange hundrede andre er gået ram forbi," siger Kim Aarenstrup.
Men nu er spredningen under kontrol, fortæller it-sikkerhedschef Kim Aarenstrup.
"Vi har både fået standset virus-udbruddet og fået kuren til at få det rettet op. Det, der er i gang nu, er en oprydningsopgave," siger Kim Aarenstrup.
A.P. Møller-Mærsk venter at være igennem oprensningen af de 300 maskiner i løbet af i dag eller tirsdag.
Modbydelig virus
Hos it-sikkerhedsfirmaet CSIS kalder Peter Kruse den nye variant af Sality, der i forvejen er nummer to på listen over sommerens værste vira, for "modbydelg."
Sality-virussen benytter såkaldt endpoint obfuscation, (EPO), der gør koden svær at læse for antivirus-motorer, som benytter signaturskanning.
"Den binære kode ændrer hele tiden udsende. Det gør den til en kompleks kode," sagde Peter Kruse fredag til Computerworld.
