Antivirusselskapene advarer mot et typisk e-post virus som av en eller annen grunn sprer seg raskt selv om det bruker det klassiske knepet med infiserende vedlegg til e-post.
Viruset dukket opp i natt og har fått navn som Mydoom.S, Mydoom.R og Ratos.A. Trend Micro som står for Ratos-navnet har varslet at de vil døpe det om til Mydoom.S straks de har sikret at alle kundene deres er utenfor fare. Det dreier seg om en tydelig videreutvikling av Mydoom som først dukket opp i januar i år og siden har kommet i stadig nye utgaver.
Mydoom.S oppgir et alminnelig – og forfalsket – avsendernavn. I emnefeltet står det «photos», og meldingen består ellers bare av teksten «LOL!;))))» og vedlegget «photos_arc.exe».
Vedlegget er på 27 kB og inneholder selve viruset, som frigjøres når mottakeren klikker på det. Mydoom.S leter opp e-postadresser til nye potensielle ofre flere steder på offerets disk, og sender seg selv raskt av gårde til disse. Det kopierer seg selv til PC-ens Windows-mappe som rasor38a.dll, og til systemmappen som winpsd.exe. Det endrer Windows-registeret slik at det aktiveres automatisk hver gang maskinen startes opp.
Den nordiske virusovervåkeren Comendo sier de har stanset i underkant av 2000 e-postmeldinger med Mydoom.S for sine kunder.
På Telenors løpende virusstatistikk figurerer Mydoom.S allerede på femte plass over dagens mest aktive virus, etter det ofte norskspråkige e-postvirus Zafi.B som dukket opp i juni i år, og tre varianter av den gamle kjenningen Netsky som har holdt seg på ti på topplista i mange måneder.
Les også:
- [09.11.2004] Mydoom-orm truer Internet Explorer-brukere
- [29.10.2004] E-postvirus angriper Google
- [10.09.2004] Virus spredte bakdør fra norsk nettsted
- [14.06.2004] Høyrisiko datavirus herjer Norge
I skrivende stund har Telenor fanget opp til sammen 33.336 virusinfiserte e-postmeldinger hittil i dag, hvorav 1943 med Mydoom.S (foreløpig identifisert som Ratos.A på lista). På arbeidsdagene i forrige uke fanget Telenor opp i underkant av 70.000 virusinfiserte e-postmeldinger hver dag.
Mydoom.S infiserer bare Windows-maskiner, fra Windows 95 til XP og Server 2003. I tillegg til å kopiere seg selv og sende seg selv ut, installerer viruset en bakdør, altså kode som uvedkommende kan utnytte til å ta kontroll over offerets PC og for eksempel bruke den i et distribuert tjenestenektangrep.
– Spredningen av denne ormen kan innebære uendelig system- og nettverkshyperaktivitet, som igjen kan gi alt fra mindre personlige plager til skadeverk i global skala, sier Trend Micro i sin kommentar.
Hvis alle fulgte vanlige forholdsregler – ikke klikk på vedlegg fra ukjente avsendere, ikke klikk på vedlegg som inneholder aktiv kode med mindre du vet akkurat hva det består av og hvorfor du får det – ville ikke Mydoom.S hatt noen spredning i det hele tatt.