SKADEVARE

Mydoom-orm truer Internet Explorer-brukere

En ny versjon av Mydoom-ormen utnytter et sikkerhetshull i Internet Explorer hos alle uten Service Pack 2.

Harald BrombachHarald BrombachNyhetsleder
9. nov. 2004 - 10:01

Sårbarheten i Internet Explorer knyttet håndteringen av visse attributter i HTML-taggen IFRAME, må umiddelbart sees på som mer alvorlig nå som flere antivirusselskaper melder om at en ny versjon av Mydoom-ormen utnytter nettopp dette sikkerhetshullet. Hullet finnes ikke hos på Windows-maskiner hvor Service Pack 2 er installert, men antallet Windows-brukere som av ulike årsaker ikke har installert servicepakken, er fortsatt høyt.

Maskiner med eldre Windows-versjoner, Windows Server 2003 og Windows XP uten SP2 er sårbare. På Microsofts side om kommende sikkerhetsoppdateringer, står det ingenting om at noen oppdatering som tetter sikkerhetshullet, er planlagt. Microsoft har den andre tirsdagen i hver måned som fast dag for utgivelse av sikkerhetsfikser, inkludert dagen i dag (i praksis i kveld norsk tid).

Den nye ormen, som kalles for W32.Mydoom.AH@mm, W32.MyDoom.ai@mm eller Bofra.B, avhengig av hvilket antivirusselskap man spør, sprer seg selv ved å sende meldinger til e-postadressene den greier å finne på de den infiserte maskinen. E-postene, som er lokkemiddelet til ormen, inneholder tekst som lokker mottakerne til å klikke på en lenke til en webside som utnytter IFRAME-sårbarheten. Åpnes siden i Internet Explorer på en usikker maskin, vil maskinen kunne bli infisert.

Ormen vil ifølge Symantec forsøke å sprøyte inn koden sin i alle prosesser på maskinen som kjøres i forgrunnen. Hvis dette ikke lykkes, vil den kjøre som en egen prosess.

Mydoom-ormen vil opprette en bakdør med TCP-porten 1639 hvor den lytter etter kommandoer. Den vil forsøke å få kontakt med en rekke IRC-servere via TCP-port 6667. Den gjør en del mindre endringer i Windows-registeret og sender e-post med forfalsket avsender via sin egen SMTP-motor.

Ifølge Symantec inneholder e-posten én av de følgende meldingene:

  • Hi! I am looking for new friends.

    My name is Jane, I am from Miami, FL.

    See my homepage with my weblog and last webcam photos!

    See you!

  • Hi! I am looking for new friends. I am from Miami, FL. You can

    see my homepage with my last webcam photos!

  • Congratulations! PayPal has successfully charged $175 to your credit card. Your order tracking number is A866DEC0, and your item will be shipped within three business days.

    To see details please click this link

    DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This email is being sent by an automated message system and the reply will not be received.

    Thank you for using PayPal.

Mer informasjon om den nye Mydoom-ormen finnes blant annet på denne siden.

Windows-brukere som har installert antivirusløsning vil trolig kunne laste ned oppdaterte signaturfiler nå. Brukere uten en slik løsning, og som heller ikke har installert Service Pack 2 for Windows XP, må være ekstra nøye med ikke å klikke på lenker de får tilsendt per e-post av denne typen. Siden e-posten er engelskspråklig, er faren for spredning i Norge trolig mindre enn i engelsktalende land.

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.