En ny orm, som spreder sig via e-mail til Windows-maskiner, gør livet surt for antivirusprogrammerne. Ormen Atak holder et vågent øje med, om den er ved at blive undersøgt af antivirussoftware.
Eksempelvis kan ormen ifølge det rumænske antivirusfirma Bitdefender ikke afvikles i en såkaldt sandkasse. En sandkasse er et isoleret testmiljø, hvor antiviruseksperterne kan studere, hvordan ormen opfører sig.
Visse antivirusprodukter, som eksempelvis det norske Norman, benytter sig ligeledes af en tilsvarende lukket og sikker sandkasse til at tjekke mistænkelig programkode, som ankommer per e-mail.
Opdager sandkasser
Atak-ormen indeholder ifølge Bitdefender et særligt datocheck, som afslører testmiljøet. Det får ormen til at afslutte sig selv, inden den gør nogen skade.
Teknisk leder Mikko Hypponen fra det finske antivirusfirma F-Secure er enig med konklusionen.
- Det er almindeligt, at en orm har flere krypterede lag for at holde nysgerrige ude, men den her orm går længere. Den forsøger aktivt at opdage, hvis den bliver analyseret af antivirusværktøjer. Får den mistanke, lukker den ned, siger han til Cnet.
Gør ingen skade
Ifølge flere antivirusfirmaer gør ormen ingen umiddelbar skade på systemet, men kildekoden indeholder en tekststump. Den kan antyde, at der enten er flere versioner på vej, eller der er funktioner i ormen, som endnu er ukendte.
Tekststumpen er skrevet i såkaldt "Elite-speak" og henviser til flere kendte orme: "4tt4(k 4g4!n$t N3tSky, B34gl3, MyD00m, L0vG4t3, N4ch!, Bl4st3r" ("Attack against Netsky, Beagle, Mydoom, Lovgate, Nachi, Blaster", red.).
Atak-ormen gennemsøger pc'en for at finde e-mail-adresser, som den sender sig selv til i e-mails med emnelinjerne "Read the Result!", "Important Data!" eller blot et tomt felt.
Antivirusfirmaerne har udsendt opdateringer, som kan spore ormen.
