Den trojanske hest, der udsendte spam i store mængder i januar er tilbage.
Ifølge sikkerhedsfirmaet Symantec spreder trojaneren - der blev kendt som Den Trojanske Storm eller Peacomm - sig nu gennem AOL Instant Messenger, Google Talk og Yahoo Messenger.
I en advarsel til Symantecs kunder bliver virusafsenderen kaldt ”lumsk,” fordi virussen ligger gemt i en besked med tilhørende URL, der eksempelvis kan lyde "LOL ;).
- Beskeden bliver kun afleveret til folk, som du i forvejen chatter med. Det gør den meget effektiv og snedig, lyder det fra Alfred Huger, direktør for Symantecs sikkerhedsafdeling
Kan hurtigt ændres
Ud over at beskeden kan ændres, kan serveren som virusen er downloadet fra, hurtigt laves om af afsenderen ved at lave en slags ad hoc forbindelse til en anden computer.
– Alt kan forandre sig konstant, siger Alfred Huger.
Det nyeste angreb fra Peacomm kommer efter en kampagne i januar, hvor den Trojanske Storm fik sit kælenavn fra den inficerende mail-emnelinie, der advarede om enorme storme over hele Europa.
Men en forsker har sporet virussen endnu længere tilbage end det.
Ifølge en analyse af Joe Stewart, en SecureWorks senior sikkerhedsforsker, er Peacomm faktisk et biprodukt af sidste års "Nuwar"-orm.
– Det er nærmest den samme kode, siger Joe Stewart.
Flere DDoS-angreb
Både Joe Stewart og Alfred Huger har lagt mærke til, at den Trojanske Storm har stået bag flere distributed denial-of-service (DDoS)-angreb mod anti-spam hjemmesider for nylig såvel som mod servere, der støtter rivaliserende virus.
Systemer, der er blevet overtaget af Peacomm, har foretaget DDoS-angreb mod mindst fem domæner, der bliver brugt af afsenderne til den såkaldte Warezov (eller Stration) orm, som har fået rigtig meget omtale.
- Det virker som om denne spam-gruppe er indstillet på at angribe alle, der forstyrrer dens planer, uanset om det er en spammer eller en anti-spammer, siger Joe Stewart.
Virusgrupper konkurrerer mod hinanden
Symantecs Alfred Huger er enig: Virusgrupper konkurrerer mod hinanden om systemer såvel som urørte maskiner.
Faktisk viser Symantecs data, at hovedparten af DDoS-aktiviteter kommer fra kamp mellem hackere, når den ene gruppe prøver at afværge den andens forsøg på at indtage en gruppe pc'er.
De to forskere er dpg ikke enige, når det kommer til at forklare hvad Peacomm er for en fisk.
– Den her fyr trækker på standardopskrifter, han vælger de bedste teknikker men bruger også færdiglavede protokoller, siger Joe Stewart og karakteriserer afsenderen som insisterende, men ikke teknisk dygtig.
– Det er meget grundlæggende ting, men det virker, siger han.
Alfred Huger ser anderledes på det. Uanset om han er teknisk dygtig eller ej, handler det om iscenesættelsen, mener han.
– og den er vældig gennemtænkt og godt sat op.
Oversat af Ditte Thøgersen
