En god parasit dræber ikke sin vært. Det gælder også indenfor computervira, hvor de mest effektive og lumske virusformer ligger skjult på pc’en i lang tid, uden at forårsage synlige skader, og replikerer sig selv i stort antal. Først på et senere tidspunkt træder virussen i aktion og sletter filer på harddisken.
NewLove, også kaldet VBS.NewLove.A, er en ny Loveletter-variant, der spreder sig gennem adressekartoteket i programmet Outlook (ikke Outlook Express). I modsætning til Loveletter, der kun angriber filer med endelser som .JPG, .JS og .MP3, er den nye virus mindre selektiv i sin hærgen på computeren.
Hver eneste fil på harddisken, som ikke er i brug, bliver slettet og erstattet med en ny fil med det oprindelige navn og endelsen .vbs. Filen er tom, og det oprindelige indhold kan ikke genskabes. NewLove gennemsøger først alle lokale drev og foldere, og angriber derefter netværksdrev i lokale netværk. Virussen kan kun overskrive filer, som brugeren har skriverettigheder til.
Mutant
Den nye virus er mere snedigt programmeret end LoveLetter. Mails med den oprindelige ormevirus kan kendes på emnelinien "ILOVEYOU" og teksten "kindly check the attached LOVELETTER coming from me". Den vedhæftede fil har navnet LOVE-LETTER-FOR-YOU.vbs.
NewLove skifter konstant mailens emnelinie og navnet på den vedhæftede fil. Dog vil emnelinien altid starte med "FW:" eller "VS:" og den vedhæftede fil altid have endelsen .VBS. Programmøren har indbygget en usædvanlig mekanisme i virussen, der henter navnet på en fil på ofrets maskine (fra folderen Dokumenter i Startmenuen), og bruger dette navn til den vedhæftede fil, som virussen sender sig selv videre i.
Resultatet er, at medarbejdere i virksomheder modtager mails med filnavne, som de kender, og derfor har større tillid til filen end til mærkelige kærlighedsbreve fra Nettet. Denne angrebsform kaldes også "social engineering" - ofret lures i falsk tryghed, inden den ondartede virus nådesløst slår til og sletter indholdet på harddisken.
Ligesom Loveletter er NewLove skrevet i sproget Visual Basic Script (deraf endelsen .VBS), men ifølge viruseksperter er koden helt ny. NewLove er meget sværere at opdage og stoppe med antivirusprogrammer end forgængeren, fordi den hele tiden skifter form. Den rammer kun computere med Windows 98 eller 2000, eller Windows 95 med Internet Explorer 5.0.
Svagheder
Nu skulle man umiddelbart tro, at Newlove har potentialet til at forvolde langt mere skade end Loveletter, der ifølge analysefirmaet Computer Economics var skyld i skader for over 60 mia. kr. Men det er tilsyneladende ikke tilfældet. Newlove har kun ramt ganske få virksomheder - 10-11 i Israel, Europa og USA. Tallene kan dog dække over mange tusinde enkelte arbejdspladser.
En af årsagerne kan være, at virksomheder efter Loveletter er blevet meget opmærksomme på den trussel, som udgøres af vedhæftede filer med e-mails. Den bedste beskyttelse mod sådanne vira er, at lade være med at åbne filer fra ukendte afsendere - især hvis endelsen er .VBS, .JS, .EXE eller .COM.
Men den største del af forklaringen ligger i Newlove selv. Den ondartede virus sletter alle filer på maskiner, og får derfor systemet til gå ned - inden det er muligt for virussen at sprede sig selv videre til ret mange modtagere. En computer, som er inficeret med Loveletter, fungerer derimod stadig - selvom en lang række filer bliver overskrevet - og kan tjene som smittebærer indtil virussen opdages og fjernes.
En anden forklaring er, at Newlove konstant skifter størrelse for at snyde antivirusprogrammer. Hver gang, den sender sig selv videre, tilføjer den 10 nye kodelinjer, som skal gøre det umuligt at blokere virussen ved at lede efter filer med en bestemt størrelse. Men virussen tilføjer kun nye linier, og fjerner aldrig kode. Det betyder, at den konstant vokser, og i sidste ende vil komme til at fylde mange GB - hvilket mange mailsystemer ikke accepterer.
Denne mekanisme forhindrer, at virussen kan sprede sig i samme grad som Loveletter. Men selvom Newlove fra fødslen er udstyret med svagheder, der begrænser dens udbredelse, skal der ikke mange ændringer til, før den bliver ligeså smitsom som sin forgænger.
De fleste antivirusfirmaer har allerede opdateret deres programmer, så de kan genkende og fjerne den nye virus. Firmaet TrendMicro tilbyder også tjenesten HouseCall, hvor man kan få scannet sin pc via Nettet - altså uden at installere et virusprogram.
Hvis man ønsker maksimal beskyttelse mod e-mail virus, kan det anbefales at fjerne Windows Scripting Host, der fungerer som vært for Visual Basic Scripts. En detaljeret vejledning findes hos F-Secure.
Læs også:
