Indhold
Det seneste døgn har antivirusfirmaerne haft travlt med at opdatere deres programmer for at fange de seneste varianter af en ny sofistikeret spam-virus.
Siden de første eksemplarer dukkede op tirsdag, har antivirusfirmaerne sporet mindst 15 forskellige varianter, og det har gjort det svært for firmaerne at følge trop.
- Det virker næsten som om, de har holdt øje med, hvornår der kom en opdatering og så har udsendt en ny variant, siger Diego D'Ambra fra det danske firma Softscan.
Den heftige aktivitet er blevet yderligere kompliceret af, at virussen, der faktisk slet ikke er en virus, benytter sig af en indviklet spredningsmetode.
- Det er opsigtsvækkende at se så mange forskellige eksemplarer så hurtigt. Vi nåede dårligt at få opdateret for den ene, før vi kunne gå i gang med at se på de næste eksemplarer, som brugerne sendte ind, fortæller Diego D'Ambra.
Det gav også anledning til navneforvirring blandt antivirusfirmaerne med navne som Bagle, Mitglieder og Tooso.
Det finske antivirusfirma F-Secure har på sin weblog forsøgt at rede trådene ud ved at tilbyde en forklaring: Der er spredt et antal nye varianter af e-mailormen Bagle.
Disse udsender ikke som ellers kopier af sig selv, men derimod et downloader-program.
Det er et program, som udelukkende har til formål at downloade selve det skadelige program fra internettet.
I visse tilfælde vil downloaderen bane vejen ved at sætte antivirus og firewall ud af funktion. Selve downloaderen kræver som oftest, at brugeren selv åbner den vedhæftede fil.
Downloader-programmet kan ikke sprede sig selv, men henter i stedet en bagdør fra forskellige servere. Dertil kommer et usædvanligt designmønster: Bagle-ormene er denne gang sat op som klient-server.
Det vil sige, at Bagle-ormen ikke selv høster e-mailadresser fra de inficerede Windows-pc'er.
I stedet forbinder den til serveren, som giver dem en liste med adresser, som klienten skal spamme. På den måde undgår bagmændene at spamme den samme modtageradresse mere end én gang.
- Det er smart, fordi de så undgår mange af de fælder, antivirusfirmaerne har opstillet, som simpelthen er mailadresser, der samler spam og virus ind, forklarer Diego D'Ambra.
Han oplyser, at selv om angrebet har givet antivirus-verdenen sved på panden, så er antallet af de nye virus i omløb ikke alarmerende.
Sammenlignet med eksempelvis den seneste variant af Sober-ormen er det nye angreb forholdsvis beskedent til trods for den avancerede spredningsmekanisme.
- Erfaringerne viser, at en virus ikke behøver være specielt sofistikeret for at slå igennem. Den skal bare være smart nok til at få folk til at klikke på filen, siger Diego D'Ambra.
De fleste antivirusprogrammer kunne i forvejen spore mange af de nye virusser ud fra generiske profiler af Bagle-ormene og downloader-programmet Mitglieder. Alligevel har firmaerne udsendt opdateringer, som optimerer sporingen af de enkelte varianter.
Denne artikel stammer fra Computerworld Online.
