Efter de første varianter af netværksormen Zotob havde vist, at der fandtes et større antal Windows 2000-pc'er, som ikke er blevet opdateret, har andre grupper af virus-programmører fået blod på tanden.
Det har resulteret i en ormekrig, der minder om kampen i foråret 2004 mellem Netsky, Bagle og Mydoom, om end i noget mindre omfang.
Ifølge Computer Associates har forskellige varianter af orme, som alle udnytter en sårbarhed i Windows' Plug and Play-funktion, inficeret mere end 250.000 systemer.
Det skal dog ses i forhold til de flere hundrede millioner Windows-systemer, der er forbundet til internettet.
Udbruddet ser da heller ikke ud til at nå samme niveau som eksempelvis SQL Slammer eller Mydoom.
Tog kun en uge
Udbruddet blev grundlagt tirsdag aften dansk tid, da Microsoft udsendte sine månedlige opdateringer. Allerede her var Microsoft klar over, at der var tale om en kritisk sårbarhed og advarede derfor kunderne.
Allerede onsdag offentliggjorde en russer den første programkode, et såkaldt exploit, der kan udnytte sårbarheden.
Fredag slog Internet Storm Center alarm og opfordrede systemadministratorer til at opdatere deres systemer, fordi organisationen forventede en orm inden for få døgn.
Søndag dukkede de to første varianter af en netværksorm op, som får navnet Zotob.
Mandag aften og tirsdag morgen fandt antivirusfirmaerne de første eksemplarer af en ny type Rbot, som også udnytter sårbarheden. Rbot indeholder mere avancerede funktioner end Zotob-ormene og kunne hente yderligere ondsindet kode ned fra internettet.
Tirsdag eftermiddag blev tv-stationerne CNN og ABC ramt af én eller flere varianter af disse orme. Det skete formentligt ved, at en inficeret bærbar pc blev koblet til netværket, da medarbejderne mødte på arbejdet.
Ligner en bot-krig
Onsdag opdagede antivirusfirmaerne de første tegn på, at forskellige grupper af virus-programmører forsøgte at bekrige hinanden. Det sker formentligt for at forhindre "konkurrenterne" i at få skabt de netværk af inficerede pc'er, som bagmændene sælger til illegale aktiviteter såsom spam eller pengeafpresning.
Grupperne bag de nyeste varianter af IRCBot og Bozori, der også udnytter Plug and Play-sårbarheden, lader deres orme "dræbe" både Rbot og Zotob for i stedet at inficere systemet. Det oplyser finske F-Secure og britiske Sophos.
- Det ligner en bot-krig, siger teknisk chef Mikko Hypponen ifølge en pressemeddelelse.
Bedst at opdatere
En "bot" er et mere avanceret ondsindet program, som kan bruges til at fjernstyre et inficeret system eller installere andre ondsindede programmer. Et system, der er inficeret med henblik på at blive brugt af kriminelle, kaldes også ofte for en "bot".
Ifølge F-Secure og Computer Associates er det først og fremmest amerikanske firmaer, som har oplevet de største problemer med den nye ormekrig.
For at beskytte sit netværk bør portene 139 og 445 overvåges eller spærres og Windows-systemerne opdateres. Fordi ormene opdateres løbende bør antivirus-softwaren også opdateres jævnligt, om end det ikke giver nogen skudsikker beskyttelse, da en ny variant kan smutte forbi mellem opdateringerne.
Senest har Microsoft også opdateret sit værktøj til fjernelse af virus, så det kan fjerne visse af de nu kendte orme. Den bedste beskyttelse er dog fortsat at installere opdateringerne fra Microsoft for at fjerne selve sårbarheden.
Relevant link