Virusbagmændene har sendt antivirusfirmaerne på overarbejde i denne uge. Mindst tre forskellige e-mail-orme kæmper om at lokke uforsigtige internetbrugere til at åbne de ondsindede vedhæftede filer.
Hele balladen startede med en række varianter af e-mail-ormen Sober, som før har stået bag alvorlige udbrud.
Blandt andet takket være et kraftigt afsæt i de tysktalende lande, fordi ormen sender en tysksproget version af dens e-mails til tyske e-mailadresser.
Byge af Bagle
Næppe havde blandt andet finske F-Secure tirsdag erklæret Sober-udbruddet for "årets største" med millioner af inficerede e-mails i omløb på kort tid, før andre virusgrupper svarede igen.
Sober-udbruddet blev nemlig hurtigt fulgt af en byge af varianter af Bagle-ormen.
Det kan ifølge visse antivirusfolk skyldes, at Bagle-bagmændene ville forsøge at øge det vindue, de havde mellem udsendelsen af en ny variant, og antivirusfirmaernes opdateringer.
Idéen bag den strategi ville være, at hvis antivirusfolkene havde travlt med at opdatere deres software mod Sober-varianter, så ville de ikke have ekstra ressourcer til at kaste efter Bagle.
De nyeste Bagle-varianter adskiller sig fra de første eksemplarer i familien ved at være ude af stand til at sprede sig selv.
Bagdørsprogram installeres
I stedet udsendes de i stort antal via e-mail fra inficerede systemer. Når modtageren åbner den vedhæftede fil, installeres et bagdørsprogram, som kan downloade ny ondsindet kode.
Ifølge det danske sikkerhedsfirma CSIS har bagmændene bag Bagle dog endnu ikke iværksat den næste fase, hvor de inficerede systemer downloader ny kode fra kompromitterede webservere.
Som om Sober og Bagle ikke gav nok arbejde, så har e-mailormen Mytob nu også kastet sig ind i kampen.
Dermed er de tre mest aktive virusfamilier nu i færd med at udkæmpe en kamp om at få inficeret nye systemer.
Senest har flere antivirusfirmaer også rapporteret om varianter af bagdørsprogrammet eller den trojanske hest Mitglieder.
Sælges videre til kriminelle
Den kraftige aktivitet afviger væsentligt fra, hvad vi har set det sidste lange stykke tid. Virusbagmændene lever af at opbygge netværk af inficerede pc'er, såkaldte zombier.
Disse netværk sælger de videre til kriminelle, som udnytter dem til spam, svindel eller pengeafpresning mod internetfirmaer.
Men virusbagmændene er afhængige af, at der er tusindvis af ubeskyttede Windows-pc'er koblet på internettet med uforsigtige e-mailbrugere. Store virusangreb er derfor ikke den typiske taktik, fordi det skaber en medieopmærksomhed, som kan gøre brugerne mindre forsigtige.
I 2004 udkæmpede bagmændene bag Netsky, Mydoom og Bagle en "krig", hvor virusprogrammerne sørgede for at afinstallere konkurrentens software.
Der er imidlertid ikke tegn på en tilsvarende rivalisering i de nye varianter.
Et muligt motiv til den usædvanlige aktivitet kan derfor være, at bagmændene ønsker at opbygge store zombie-netværk, inden julehandlen går i gang på internettet.
