Ingen orm kan drepe Internett i løpet av minutter

Denne høsten har vært en av de verste med hensyn til virusangrep og spredning av fiendtlig kode.

Problemene startet egentlig med Code Red, som i juli spredde seg fra webserver til webserver. I løpet av 24 timer var mer enn 300.000 servere infisert. Etter en omfattende opprydding hadde de fleste lukket muligheten for reinfeksjon, men ikke alle. I august ble mer enn 170.000 servere reinfisert, skriver PDI Consult.

Deretter fulgte Sircam-viruset - også med betydelig spredning. Sircam er et virus som stjeler data, og er dermed ikke noe hyggelig bekjentskap.
Nimda fulgte i forskjellige varianter og medførte store problemer, nettverksmessig, for svært mange virksomheter. I løpet av et døgn var mer enn 2,2 millioner PC-er infisert, ifølge PDI. Etter den første Nimda-ormen kom flere varianter, og vi har selvsagt også stiftet bekjentskap med Badtrans, Aliz og Goner.
Det som kjennetegner dagens utvikling er, ifølge PDI, spredningsfrekvensen og antall nye store angrep.

- En annen viktig endring er at vårt tidligere problem med makro- og skriptvirus nå er erstattet med de mer tradisjonelle filvirusene. Ifølge en oversikt i Virus Bulletin står nå filvirus for 99 prosent av tilfellene, skriver selskapet som understreker at Microsoft-produktene i det alt vesentligste har vært spredningsmåten.

PDI tror nå antivirus-selskapene får nye utfordringer.

- Et begrenset antall virus benytter Pegasus e-post applikasjon. HLLP.TOIDE@MM er et eksempel på dette. Denne erstatter innholdet i utgående e-post med sin egen melding, legger ved en infisert, kjørbar fil, og sender dette i stedet for den originale meldingen.

I august 2001 oppdaget man at en orm kan spres ved hjelp av PDF-filer. Et eksempel på dette er Peachy. Peachy er egentlig en VBS- masse spreder som benytter CreateObject-funksjonen i Outlook, men denne gangen er VBS-filen en del av PDF-filen som kommer som vedlegg til e-post, forklarer selskapet.

Peachy leter i adresseboken, finner de tre første adressene, og lager en melding med en infisert PDF-fil som sendes ut.

Mens CreateObject-funksjonen og adresseliste-metoden har vært populære de seneste to årene, har egen SMTP-metode vært "slageren" i annet halvår av 2001.

- Erfaringene fra i år tyder på at vi får stadig flere e-postormer som Nimda, som aktiviseres ved at man leser e-post.

Slike kombinasjonsvirus forårsaker store problemer i forbindelse med desinfisering / fjerning av ormen og PDI forventer at disse problemene vil fortsette lang tid framover.

- Vanlige brukere er normalt ikke spesielt interessert i datasikkerhet og vi vil trolig se stadig flere ormer som benytter sikkerhetshull i operativsystem eller applikasjoner. Nimda benytter 16 slike sikkerhetshull.

Skrekkscenarier om at enkelte ormer eller virus kommer til å drepe Internett i løpet av minutter er ikke spesielt troverdige, skriver selskapet og peker på at eksperten V. Bontchev (F-PROT-utvikler) mener at storspredninger som Nimda har en kort varighet.

Selskapet konkluderer med at "Hva som enn hender vil vi også i framtiden måtte forholde oss til denne typen unødige plager."