Ormekrigen fortsætter. Siden mandag eftermiddag er der dukket to nye varianter af ormen Netsky op. Dermed er Netsky nået til bogstavet K i antivirusfirmaernes navngivning.
I øjeblikket spreder varianten Netsky.J sig i blandt andet Danmark, rapporterer sikkerhedsfirmaet CSIS. Ormen rammer alle versioner af Windows.
Ormen ankommer som en vedhæftet PIF-fil i en e-mail med forfalsket afsenderadresse. Der er ikke ændret meget ved de to nyeste varianter i forhold til de foregående.
Programkoden er blot omskrevet lidt, hovedsageligt ved at ændre på de tekstbidder, som ormen bruger til at opbygge de e-mails, der skal lokke brugeren til at klikke på den vedhæftede fil.
Derefter er programmet blevet kompileret, altså oversat til binær kode, som kan afvikles på de Windows-pc'er, som ormen angriber, og til sidst pakket med et nyt pakkeprogram i forhold til den foregående version.
- Det er ufatteligt, at en orm, der ankommer som en PIF-fil, kan sprede sig. Jeg må formode, at det ikke er virksomheder, der bliver ramt. Private brugere må lære, at de ikke må klikke på PIF-filer, siger sikkerhedsekspert Peter Kruse fra CSIS.
Blokér for PIF-filer
Virksomheder bør blokere for PIF-filer på virksomhedens gateway-server, da det ikke er et format, der normalt anvendes til at sende harmløse filer via e-mail.
- Når de her orme stadig kan sprede sig, så kan det skyldes, at der hele tiden kommer nye internetbrugere til, som er nybegyndere og ikke kan forstå, at deres pc kan blive inficeret med en virus, siger Peter Kruse.
De seneste to varianter af Netsky er blot de seneste eksempler på, at krigen mellem tre grupper af virusprogrammører fortsat raser.
De fleste sikkerhedseksperter er enige om, at det drejer sig om en kamp om at opbygge den største hær af "zombier", altså inficerede Windows-pc'er, som via ormen har fået installeret en bagdør. Zombie-hæren fungerer som et netværk til udsendelse af spam, mener sikkerhedseksperterne.
Ifølge virusadvarselstjenesten Outpost 24 indeholder de nye versioner af Netsky lige som de foregående en fornærmelse rettet mod programmørerne af ormene Mydoom og Bagle.
Forsinket computerlyd
At det måske er gået lige lovlig stærkt for programmørerne bag Netsky med at udsende de nyeste versioner, kan ses på den lyd, som ormen er programmeret til at afspille.
De foregående versioner af Netsky har alle gennem pc'ens indbyggede højtaler afspillet tilfældige lyde om morgenen på den dag, hvor ormen er blevet spredt.
Denne gang har programmørerne tilsyneladende glemt at ændre datoen, da ormen vil forsøge at afspille lydene på den 2. marts 2004 mellem klokken 6.00 og 9.00. Det var samme tidspunkt som en tidligere variant.
Hos blandt andet Panda Antivirus kan man høre en lydfil med den lyd, som Netsky frembringer på inficerede pc'er.
Antivirusfirmaer om Netsky.J:
