Virusormen Bugbear.B er fortsat yderst aktiv, og nye mutationer er dukket op. Tirsdag toppede Bugbear.B foreløbig herhjemme, men holder ifølge det danske firma Comendo samme høje aktivitetsniveau i dag.
Hos Comendo, der statistik over, hvilke vira der bliver fanget af antivirussystemerne hos selskabets virksomhedskunder, topper Bugbear.B listen suverænt. Flere end syv ud af ti virus-inficerede mails, som Comendo stopper, er Bugbear.B.
Den dukkede op herhjemme i løbet af grundlovsdag og har siden haft travlt med at formere sig.
- Den første, vi fangede, kom faktisk fra en computer i Sønderjylland, siger Chris Østergaard marketingchef hos Comendo.
Hektisk aktivitet fortsætter
Det er dog typisk fra Kina eller USA, de fleste virus første gang dukker op herhjemme.
I øjeblikket kommer de fleste e-mails med Bugbear.B dog fra Norge.
Selv hvis Bugbear nu har toppet herhjemme, så vil der fortsat forekomme en hektisk aktivitet fra virussen i de næste par måneder, vurderer Chris Østergaard.
- Bugbear.A var aktiv i to-tre måneder sidste år. Bugbear.B vil formentligt leve lige så længe, siger Chris Østergaard.
De fleste vira lever to til tre uger, men Bugbear har bredt sig så hurtigt, at en masse inficerede pc'er vil blive ved med at sprede virussen.
Nye mutationer
Når en velprogrammeret virus stryger til tops i virusstatistikken, så går der ikke længe, før nye mutationer begynder at dukke op. Den mest udbredte Bugbear-mutation hedder Bugbear-dam, og den spreder sig ligesom faderen ganske kraftigt.
Bugbear-dam udgør lige nu over 12 procent af de virusser, som Comendo registrerer. Til gengæld er den på grund af en nedarvet fejl i originalen ganske harmløs, oplyser antivirusfirmaet Trend Micro.
Bugbear ligner på mange punkter Fizzer og Sobig, som hærgede i maj og fortsat holder sig i live. De spredes hovedsageligt via e-mail og åbner bagdøre.
Uenighed om banktrussel
Bugbear.B og dens mutationer har givet anledning til en række spekulationer om en særlig trussel mod netbankers sikkerhed. Bugbear indeholder nemlig en liste med 1400 domænenavne, der tilhører banker over hele verden, heraf fem danske.
Antivirusfirmaerne er dog ikke helt enige om, præcis hvilket formål listen opfylder.
Bugbear gennemsøger den inficerede pc for at finde adresser, der indeholder bankdomæner. Man ved også, at Bugbear, hvis den finder et bankdomæne, tilføjer en linje i Windows registreringsdatabase, som gør det muligt at kalde op via et modem, uden brugeren bliver spurgt.
Nogle virusanalytikere mener, at listen over bankdomæner først og fremmest skal hvæsse tænderne på Bugbear, hvis den inficerer en pc, der tilhører netværket i en bank, så den dels bedre kan sprede sig og dels gøre bagdøren lettere tilgængelig.
Sender kodeord til lukkede e-mail-adresser
Andre mener, at formålet er at ramme netbankkunder. Bugbear.B installerer en bagdør, der gør det muligt så at sige at fjernstyre den inficerede pc. Samtidig installerer Bugbear også et lille program, der kan opfange tastaturtryk og dermed kodeord.
Det betyder, at Bugbear i teorien kan bruges til at få fat i en inficeret brugers kodeord til netbanken, dernæst kan en udefrakommende snige sig ind af bagdøren og kalde op til netbanken via modemmet, uden brugeren opdager noget.
Ved at bruge den inficerede pc til opkaldet, får den udefrakommende adgang til den nøgle, der er nødvendig for at kunne bruge netbanken. Den nøgle ligger nemlig gemt i en fil på den inficerede pc.
Der er dog ingen rapporter om, at netbankkunder har fået misbrugt deres konto. Bugbear.B sender nemlig de registrerede tastaturtryk, som kan indeholde kodeord, til en liste af e-mailadresser, som nu er lukkede.