Virusvernselskapene advarer mot en såkalt godartet orm som dukket opp i går. "Nachi" – eller "Welchia" eller "MSBlast.D" –prøver å jakte på MSBlaster-ormen som fortsetter å spre seg, selv om den ikke lyktes å gjennomføre det bebudede tjenestenektangrepet mot Microsoft lørdag. Nachi utnytter den samme sårbarheten som MSBlaster, men skal være bedre programmert slik at den vil være i stand til å spre seg raskere.
Les også:
- [16.09.2003] Privat/offentlig partnerskap for IT-sikkerhet
- [16.09.2003] Dette gjør Microsoft for din sikkerhets skyld
- [11.09.2003] Kritisk sårbarhet åpner for ny "MSBlaster-orm"
- [01.09.2003] Arrestert tenåring var ikke hjernen bak MSBlaster-ormen
- [22.08.2003] Orm- og virusmakerne ikke i nærheten av å bli tatt
- [21.08.2003] Hjelpeormen verre enn skadeormen
- [21.08.2003] Kritiske sårbarheter avslørt i Microsofts nettleser
- [20.08.2003] Nachi-ormen ødela bookingsystemet
- [19.08.2003] Norge oversvømt av datavirus og ormer
- [18.08.2003] Feilslått ormangrep mot Microsoft
- [14.08.2003] MSBlaster ebber ut
- [13.08.2003] MSBlaster blåste Telia Sonera av nettet
- [12.08.2003] Mange trolig smittet uten å vite det
- [12.08.2003] Blitskrig fra en varslet orm
Det virusvernerne er enige om, er at Nachi prøver å laste ned og installere fiksen til den sårbarheten den selv bruker til å spre seg, og som Microsoft la ut 16. juli, men bare dersom maskinen har en engelsk, kinesisk, forenklet kinesisk eller koreansk versjon av Windows. F-Secure mener Nachi bare infiserer Windows XP-maskiner, mens andre mener den også sprer seg til Windows 2000-maskiner. F-Secure mener Nachi også sprer seg til servere gjennom den såkalte WebDAV-sårbarheten som Microsoft redegjorde for og fikset i mars i år.
Nachi vil videre prøve å fjerne MSBlaster dersom den finner den. Denne rensingen skal ikke være fullt ut effektiv, slik at rester av den ondartede ormen fortsatt vil befinne seg i maskinen selv om den er deaktivert.
Den godartede ormen tar skritt for å sikre at den overlever på maskinen den har infisert, men bare fram til 1. januar 2004. Da er den programmert til å avinstallere seg selv.
Virusvernerne understreker at også godartede ormer som Nachi er lovstridige. Internet Security Systems viser til rapporter fra Japan der Nachi har utløst så mange samtidige nedlastinger av fiksen for den såkalte RPC-sårbarheten som både den og MSBlaster utnytter, at andre tjenester i nettverket er blitt utilgjengelige.
Statistikken fra Internet Storm Center viser at det fortsatt er mye unormal trafikk mot port 135, den som brukes av begge de krigende ormene. Nivået mandag var likevel lavere enn på søndag, med en nedgang i antall registrerte tilfeller fra 10,8 millioner til 9,4 millioner. Symantec mener at det kumulative tallet på maskiner som er eller har vært smittet av MSBlaster i løpet av de siste ti dagene er over 570.000. TruSecure har gjennomført en undersøkelse av 1103 internasjonale storbedrifter, og konkludert med at 21 prosent har opplevd å bli smittet av MSBlaster på et eller annet vis.
Alle de store virusvernerne har oppdatert sine signaturfiler mot Nachi.
