Mens virusprogrammørerne i denne uge har udkæmpet en krig om territorium i cyberspace, så har antivirusfirmaerne haft travlt med at opgradere våbenarsenalet.
Virusprogrammørerne er som regel et skridt foran antivirusfirmaerne. Det seneste eksempel er ormen Bagle, hvor de nyeste varianter spreder ormen i en krypteret ZIP-fil.
Denne type ZIP-filer har antivirusskannerne hidtil ikke kunnet scanne. Modtagerne af de inficerede e-mails har derimod kunnet læse adgangskoden til at åbne filen i den tekst, der står i mailen. Dermed er ormen smuttet forbi antivirusfirmaernes forsvarsværker.
Gæt et kodeord
Nu har antivirusfirmaerne Bitdefender og Kaspersky Labs som de foreløbigt første tilføjet en ny funktion, der gør virusscannerne i stand til at læse de krypterede ZIP-filer.
Scannerne gennemsøger selve teksten i e-mailen og leder efter ord, der kan bruges som kodeord til at pakke den krypterede fil ud. Scanneren prøver sig derefter frem med de bedste kandidater.
Det for vil eksempel sige de ord som står ved siden af ordet "password", og alle ord, der har den rette længde for et kodeord. Altså ord, der er længere end fire bogstaver, men ikke længere end otte til tolv bogstaver, og gerne ord der indeholder tal.
Når først det rigtige kodeord er fundet, kan virusscanneren pakke filen ud og scanne den som normalt.
Det er naturligvis vigtigt, at virusscannerne rammer rigtigt i et af de første forsøg, da det kræver en del ressourcer at scanne en mail på denne måde. Det kan sætte farten drastisk ned på store postsystemer, hvor der lander tusindvis af inficerede mails, som skal scannes.
Ifølge Kaspersky Labs var ormen Fearso den første, som udnyttede krypterede ZIP-filer. Fearso dukkede første gang op i sommeren 2003, men ingen af de 24 varianter af ormen er blevet fundet uden for lukkede miljøer.
Det har Bagle-ormene nu ændret.
Filter stopper orm
Hidtil har det bedste våben mod de krypterede ZIP-filer været at indsætte et filter på postserveren, som filtrerer ZIP-filer fra. Men at lukke generelt for ZIP-filer kan give næsten lige så mange problemer som ormene selv, fordi det er meget udbredt at udveksle filer komprimeret med ZIP.
Ormen Bagle.J er dog pakket med en ældre version af ZIP-programmet, og derfor er det muligt at filtrere den fra.
- Vi kan dårligt tillade os at fjerne alle ZIP-filer, men når vi kan se, at en fil er pakket med den gamle version, så siger vi fint, den kan vi fjerne, siger sikkerhedschef Per B. Hansen fra TDC Erhverv.
I forvejen filtrerer mange virksomheder og internetudbydere bestemte filtyper fra, som sjældent bruges til andet end at sprede virus og orme. Det gælder blandt andet alle PIF, SCR, COM, BAT og EXE-filer.
