Statistikk fra Telenor viser at flere varianter av ormfamilien Mytop nå er svært aktiv i Norge. Over 50 prosent av de infiserte e-postmeldingene Telenor har fanget opp de siste tre timene, har inneholdt en variant av Mytob.
Størst er spredningen av Mytob.FC, også kjent som W32/Mytob.be@MM, W32/Mytob-L og W32.Mydoom.BU@mm. Denne spres kun via e-post, mens enkelte andre varianter kan spres til andre Windows-maskiner over lokalnett på grunn av en eldre sårbarhet i Windows NT og nyere som Microsoft for lengst har publisert en sikkerhetsoppdatering til.
Mytob ormene har en egen SMTP-motor som benyttes for å sende e-post til adresser ormen finner på det infiserte systemet. Ormene åpner i mange tilfeller en bakdør og kommuniserer til utgiveren via en IRC-kanal.
Ormen vil forsøke å stanse en rekke forskjellige prosesser på det infiserte systemet, inkludert Taskmng.exe og Regedit.exe, som ellers kan benyttes for å stoppe ormen manuelt. Brukeren kan dog døpe om navnene på disse filene og dermed narre ormen.
Mytob ser i de fleste tilfeller ut til å være enkel å stoppe og fjerne. Det er trolig bare å fjerne nøkkelen fra "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" i Windows-registeret, i tillegg til filen oppføringen peker til. I noen tilfeller kan det også være nødvendig å fjerne oppføringer i Hosts-filen til Windows.
Ifølge Trend Micro finnes det nå 118 varianter av Mytob-ormen, alle med litt forskjellige egenskaper.
Det er vanskelig å lage en generell beskrivelse av hvordan de infiserte e-postmeldingene ser ut, men flere av dagens har på engelsk meldt om stengte e-postkonti. Vedlegget, som har sett ut til å være en tekstfil ved at filnavnet er som følger
"email-info.txt .exe",
inneholdt selve ormen.
Selv om vi har mottatt e-post med denne ormen helt siden i dag morgen, var det først på ettermiddagen at vi fikk varsler fra våre antivirusløsninger om at e-postmeldingene var infisert. Dette til tross for at vi flere ganger manuelt har forsøkt å få lastet ned nye virussignaturer.
Mer oppdatert virusstatistikk finner du på denne siden.
