Den nye variant af e-mail-ormen Mydoom har fået antivirusfirmaerne til at vågne op fra sommerdvalen og finde de store alarmklokker frem for at advare Windows-brugerne.
Det er O-varianten (hos nogle antivirusfirmaer kaldes den M eller L-varianten), som har fået flere sikkerhedsfirmaer til at udsende de kraftigste alarmer, der er muligt for en orm, som spredes på denne måde og ikke i sig selv er destruktiv.
Danmark sluppet
Indtil videre ser stormen dog ud til at være gået udenom Danmark, oplyser sikkerhedsfirmaet Comendo, som scanner e-mail for virksomheder.
- Vi har ikke mærket det store til den. Indtil videre har vi fået omkring 3.000 styk, og et rigtigt stort angreb ligger på omkring 50.000 om dagen. Så den er ikke på vores top fem, siger marketingchef Chris Østergaard fra Comendo.
Det samme billede bekræftes af Thomas Madsen hos konkurrenten Softcom.
- Den er ikke så voldsom. Vi får 350 styk i timen, og russiske Kaspersky Labs var hurtigt ude med en kur mod den, så den er der styr på. Den bliver ikke nogen dræber, siger han.
Det ser derimod ifølge de store antivirusfirmaer ud til at være fortrinsvis USA og Tyskland, som er ramt af Mydoom.
Bruger Google
Ormen byder på en nyskabelse i forhold til tidligere. Den tager nemlig internettet til hjælp samtidig med, at den søger efter nye mål for spredningen ved at finde e-mailadresser, der ligger lokalt på den inficerede pc.
Når den finder et domænenavn på pc'en, sender den forespørgsler til søgemaskinerne Altavista, Google, Lycos og Yahoo for at finde e-mailadresser, der tilhører domænet.
Det gav ifølge Netcraft og ISC, som begge overvåger problemer på internettets infrastruktur, problemer for blandt andet Google.
Tidligere varianter af Mydoom har rettet oversvømmelsesangreb mod webstederne for Microsoft, SCO Group og den amerikanske pladebranche RIAA.
Disse angreb har dog haft en mere politisk karakter og har ikke været en del af ormens spredningsmetode.
Tusindvis af åbne bagdøre
Den første bølge af skade, som den nye Mydoom forårsager - nemlig belastningen af internettet - ser ud til at være på tilbagetog.
Efterdønningerne er imidlertid tusindvis af inficerede Windows-pc'er, som har fået installeret en bagdør af Mydoom-ormen.
Bagdøren er formentligt installeret for at give virusprogrammørerne mulighed for at bruge de inficerede pc'er som 'zombier', der kan udsende spam og bruges som springbræt til at udsende den næste orm.
Erfaringen viser dog, at der også kan være andre, som vil forsøge at smutte ind gennem bagdøren for at sprede deres egne orme eller installere spionprogrammer, som eksempelvis lytter efter kodeord til netbanker.
Skyder med løst krudt
Samtlige antivirusfirmaer har udsendt opdaterede signaturfiler, som kan spore og fjerne den nye Mydoom.
Alligevel kan brugerne ifølge antivirusfirmaet McAfee modtage e-mails, som umiddelbart ligner de mails, som Mydoom udsender. Der er dog blot tale om løst krudt fra Mydooms side.
Denne Mydoom indeholder imidlertid ligesom en tidligere variant en fejl i koden, som betyder, at den vedhæftede fil er tom. Derfor kan en Mydoom-mail med en vedhæftet fil med en størrelse på en til to kilobyte stadig slippe forbi antivirusprogrammet.
Ifølge McAfee er filerne dog harmløse.
