Mandag morgen har gruppen bag Mydoom-ormen indledt en massiv udsending af en ny variant af ormen.
Ifølge flere antivirusfirmaer har gruppen formentligt udnyttet et netværk af pc'er, som i forvejen er inficeret med tidligere varianter af Mydoom.
Mydoom-ormene indeholder en bagdør, som gør det muligt at fjernstyre en inficeret pc.
Dermed kan bagmændene bruge de inficerede pc'er til at udsende spammails, men de mange "zombier", som de kaldes, kan også bruges som afsæt for næste generation af ormen.
ADSL-zombier med orm
Det er netop, hvad gruppen bag Mydoom har gjort denne gang. Ifølge det finske antivirusfirma F-Secure afslører afsendernes IP-adresser, at den nye variant især kommer fra ADSL-kunder.
Den nye Mydoom-variant, som de fleste antivirusfirmaer benævner Mydoom.S, spreder sig til Windows-pc'er via e-mail.
I dette tilfælde er der tale om en simpel e-mail, som forsøger at lokke modtageren til at åbne den vedhæftede programfil.
Emnelinjen er blot "photos" og selve teksten i e-mailen lyder "LOL;))))". Selvom e-mailen altså lokker med billeder, så er den vedhæftede fil et program, som installerer Mydoom-ormen og åbner en bagdør.
Afsenderadressen er forfalsket og er ligesom modtageradressen fundet ved at gennemsøge pc'ens filer for e-mailadresser.
Gruppen bag Mydoom har desuden kompromitteret mindst én webserver, som ormen derfor forsøger at hente opdateringer fra.
Snyder antivirus
Ifølge F-Secure og det danske sikkerhedsfirma Softscan har bagmændene desuden sikret sig mod, at den nye variant bliver fundet af antivirusprogrammernes generelle filtre.
Mange nye varianter af en velkendt orm kan ofte findes af antivirussoftware fra første sekund, fordi den nye variant har et mønster, som ligner de foregående orme i familien.
Det har Mydoom-forfatterne altså denne gang forsøgt at sikre sig mod, inden de udsendte den nyeste Mydoom.
Derfor er det nødvendigt at opdatere sin antivirussoftware, hvis man vil være sikker på, at Mydoom.S bliver fanget automatisk.
Tidligere varianter af Mydoom-ormen har haft stort held til at sprede sig, og det er sammen med Netsky og Bagle-ormene en af de mest aktive orme, som spredes via e-mail.
