Ny data-orm sprer seg med rakettfart

Ormen Nimda.A@mm sprer seg raskt over Internett, og har fått høyrisiko-rangering av de fleste antivirusselskapene. Ormen sprer seg, ifølge McAfee, via vedlegg i e-posten, eventuelt finner den en bakdør i Microsofts IIS-programvare skapt av ormene Sadmind eller Code Red eller bruker IIS Unicode-svakheten og lager, ifølge Symantec, en nettside som tilbyr ormen for nedlasting i EML-format (Outlook Express-fil) til alle besøkende.
Ormen er enda ikke gjennomanalysert, men Norman skriver at den ankommer innboksen som README.EXE, og gjør om C-disken til en delt folder, slik at datasnoker får tilgang til maskinen. Den kan også spre seg via delte foldere, mener de. Ifølge Norman kan IIS-hullene lappes med en samlet sikkerhetsoppdatering fra Microsoft, som du finner her.

Når den infiserte filen kjøres, vil den kopiere seg selv til systemkatalogen som den skjulte filen LOAD.EXE, en fil som kalles fra SYSTEM.INI, slik at den kjøres når maskinen startes.

Faren med Nimda.A@mm er at den masse-sender seg selv ut via MAPI, til alle kontakter i adresseboken din, samt at den åpner opp en delt folder som gir tilgang til filer på den infiserte maskinen.

Antivirusprogramvaren bør oppdateres snarest, og den danske virusanalytikeren Peter Kruse anbefaler at det skjer før man åpner e-postklienten. Du kan risikere å bli smittet via IFrame-sårbarheten hvis ikke Outlook er blitt oppdatert i det siste.

For å slippe risikoen, kan du skru av all Active Scripting i Internet Explorer - ved å høyreklikke på IE-ikonet, velge "egenskaper", trykke på "sikkerhet" og "brukerdefinert nivå". Gå ned på listen, og deaktivér Active Scripting, anbefaler Kruse.

En nettverksadimnistrator digi.no har mottatt e-post og diverse logger fra, mener ormen ser ut til å spre seg omtrent ti ganger så raskt som den katastrofe-varslede ormen Code Red.

De fleste antivirusleverandørene ser ut til å ha lagt ut definisjoner sent tirsdag kveld.