Den seneste udgave af ormen Netsky spreder sig i øjeblikket hastigt, hvilket i går fik antivirusfirmaerne til at opgradere trusselniveauet for Netsky.P og ringe med alarmklokkerne.
Den seneste variant spreder sig både som hidtil via e-mail, men er i langt højere grad end tidligere optimeret til at sprede sig via fildelingstjenester, delte netværksressourcer, ftp og http-servere.
Netsky.P spreder sig ligesom forgængerne til pc'er med Microsofts styresystem Windows 95, 98, ME, NT, XP, 2000 og 2003.
Udnytter velkendt hul
Ligesom den seneste version af den rivaliserende orm, Bagle, forsøger Netsky.P at udnytte et velkendt sikkerhedshul i Microsofts webbrowser, Internet Explorer.
Sikkerhedshullet gør det muligt at udføre programkode på pc'en, hvis blot den orme-inficerede e-mail vises i postprogrammerne Outlook og Outlook Express.
Den nye metode til at sprede Netsky er ikke det eneste, som ormen har lånt fra rivalen Bagle. Netsky.P er også langt mere avanceret end familiens forgængere, når det gælder om at skrue de e-mails sammen, som ormen spreder sig gennem.
Netsky.P er samtidig mere fokuseret på at inficere delte netværksressourcer og ad den vej få adgang til andre internet- eller lokalnetværksbrugeres pc'er.
Ormen kopierer sig selv til en lang række filmapper med navne, som typisk bruges til at dele filer. Dermed forsøger Netsky at sprede sig til fildelingstjenester, p2p, ftp, http og almindelige delte Windows-mapper.
Ormen gemmer sig under en lang række filnavne, som lokker med alt fra Harry Potter over piratsoftware til porno med popstjerner.
Filerne ender alle på .EXE eller .SCR og fylder knap 30 kilobytes.
Ny bagmand?
Der har tidligere været spekulationer fremme i antiviruskredse om, at det ikke længere er den originale forfatter, som står bag de nye versioner af Netsky.
På et tidspunkt antydede forfatteren med en tekst i selve programkoden til K-varianten, at det ville være den sidste udgave. I K-varianten lovede forfatteren desuden, at kildekoden til ormen ville blive gjort tilgængelig.
Antivirusfirmaerne har siden søgt efter koden, men den er ikke dukket op på de sædvanlige postlister og nyhedsgrupper, som antivirusfirmaerne overvåger.
Alligevel mener flere eksperter, at der er tegn på, at de nye versioner er fremstillet af nye bagmænd, som har fået fat på den originale kode. Blandt andet er der spor efter, at koden i de nye varianter er blevet kompileret på et andet system end de første.
Antivirusfirmaer om Netsky.P:
