Norman advarer mot en ny Internett-orm som er blitt rapportert inn av flere brukere. Også flere av digi.nos lesere som selv administrerer e-postservere melder om svært høy aktivitet fra denne ormen.
Ifølge Norman er ormen foreløpig blitt observert i Norge og i BeNeLux-landene.
Comendo melder at selskapet stoppet den første ormen av denne typen klokken 09:08 i dag og siden har stoppet over 8000 ormer. Akkurat nå stopper selskapet mer enn én orm i sekundet uten at det er noe som tyder på at kurven er nedadgående.
Virus112 skriver i en melding at tittelfeltet til e-postene som sendes ut av ormen, inneholder ett av de følgende uttrykkene:
unknown
fake
stolen
information
warning
something for you
read it immediately
hello
Det som står i selve meldingen varierer mye, det samme gjør navnet på filen som inneholder ormen.
I tillegg til å spres over e-post, forsøker ormen også å kopiere seg over til delte filområder på andre maskiner den infiserte maskinen har kontakt med.
Når ormen smitter en maskin, oppretter den filen C:\WINDOWS\services.exe
Deretter opprettes verdien "service"="C:\WINDOWS\services.exe -serv" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" i Windows-registeret.
Trolig kan ormen deaktiveres ved å slette den nevnte filen.
Det er grunn til å forvente at de fleste antivirusselskapene vil ha slike filtre på plass innen kort tid, men brukerne må ikke stole blindt på dette.
Mer informasjon om NetSky.B finnes blant annet på denne siden hos Norman.