Antivirusfirmaerne advarer her til morgen om en ny orm, der i øjeblikket spreder sig hastigt mellem Windows pc'er på internet.
Ormen Bagle ankommer som en e-mail med emnelinjen "Hi" og en vedhæftet exe-fil med et tilfældigt navn. At der er tale om en exe-fil betyder dog, at e-mailen på mange virksomhedsnetværk automatisk filtreres fra.
Alligevel melder antivirusfirmaerne om voldsom aktivitet fra Bagle, der blev opdaget i går, og som har spredt sig til Danmark fra Tyskland og Finland.
Gået amok
Ifølge sikkerhedsfirmaet Comendo, der skanner og filtrerer en række virksomheders e-mails for virus, er inficeringsprocenten hastigt stigende, og i øjeblikket er der Bagle-orm i 8,8 procent af alle de e-mails, Comendo skanner.
Alene i dag har Comendo fjernet mere end 8.600 Bagle-orme, men tallet accelerer fortsat.
- Den er gået amok. De seneste 20 minutter har vi stoppet over 2.000, siger marketingchef Cris Østergaard fra Comendo.
Ligesom en række andre orme, internet har stiftet bekendtskab med det seneste års tid, så spreder Bagle sig ved at installere en SMTP-postserver på den inficerede pc. Bagle indsamler e-mail-adresser fra postprogrammernes adressebøger og fra midlertidigt lagrede websider på harddisken.
Dernæst sender ormen kopier af sig selv til de adresser, den har indsamlet. På nogle systemer vil den vedhæftede fil, som ormen sender med, have samme ikon som lommeregneren i Windows. Hvis brugeren klikker på den vedhæftede fil, så vil ormen både installere sig selv og starte lommeregneren.
Installerer bagdør
Ormen forsøger desuden at installere en bagdør, som en ondsindet person kan bruge til at overtage kontrollen med maskinen.
Antivirusfirmaerne har opdateringer klar, som kan spore og fjerne Bagle, men alligevel har den godt fat viser både den danske statistik fra Comendo og den internationale fra Message Labs.
- Det er en af de hurtigste, vi har set. Den er ikke oppe på Sobig-niveau endnu, men vi er oppe ved Bugbear og Swen. Det er vigtigt at følge den de næste 24 timer for at se, hvor hårdt den vil ramme, siger Chris Østergaard.
Han opfordrer folk til at sikre sig, at de har hentet den seneste opdatering til deres antivirussoftware.
- Det er smart, at den er blevet spredt en søndag. Så vil den allerede ligge i folks postkasser, når de åbner dem mandag morgen, siger Chris Østergaard.
Ormen kan dog kun inficere systemet, hvis brugeren klikker på den vedhæftede exe-fil.
Bagle tilføjer en række linjer i Windows-registeringsdatabasen, og for at slippe af med den, skal man fjerne linjerne. Man kan dog også forsøge at aflive Bagle ved at trykke Ctrl+Alt+Delete og dræbe processen "bbeagle.exe" og derefter søge efter filen med samme navn på harddisken og slette den, skriver antivirusfirmaet F-Secure.
Antivirusfirmaer om Bagle:
Computer Associates
F-Secure
McAfee
Sophos
Symantec
Trend Micro