Sikkerhedsfirmaet CSIS advarer nu mod en orm, der spreder sig via MSN Messenger.
Det sker på baggrund af henvendelser fra flere private brugere og tre mellemstore virksomheder med mellem 80 og 200 medarbejdere, der alle har oplevet problemer med ormen på nært hold.
"Det er en type orm, som man har set før. Den anvender MSN Messenger-kartoteket til at sende sig selv videre fra inficerede maskiner. Det vil sige, at spredningen egentlig begynder hos den enkelte bruger og så selv går videre til samtlige den brugers kontaktpersoner i MSN," oplyser sikkerhedsekspert Peter Kruse fra CSIS.
Spredningen foregår ved, at brugeren får en hilsen, der ser ud til at komme fra en person, man kender.
Dansk hilsen
Den hilsen kan være på dansk og vil typisk lyde sådan her: 'Hej. Er det virkelig dig på dette billede'.
"Det betyder, at når man modtager det fra en person, man kender, og linket indeholder en reference til samme person, og det står på dansk, er det desværre nok til at rigtig mange klikker på linket og aktiverer ormen," siger sikkerhedseksperten Peter Kruse fra CSIS.
Når ormen er aktiveret, sker der det, at den på den ene side distribuerer sig videre til alle kontaktpersoner. Derudover vil den forbinde sig til to forskellige såkaldte botnet servere, der begge er irc-baserede.
Virksomheder opdager ikke ormen
De befinder sig i Kina, og de maskiner, der er blevet inficerede kan så fjernstyres over http gennem port 80.
"Det betyder oversat til almindelig dansk, at mange virksomheder sandsynligvis ikke vil opdage den her kommunikation, fordi den foregår via almindelig webtrafik, og så vil den få lov til at forbinde sig, til trods for at den inficerede maskine står i et internt netværk," fortæller Peter Kruse.
Der vil ormen kunne udstede kommandoer direkte ned på maskinen. Det vil sige, at den kan downloade nye komponenter, scanne netværket, lave distribueret denial of service-angreb eller trække information ud
"Man kan stort set gøre alt, hvad man måtte have lyst til med en inficeret maskine, fordi det er bygget ind i et botnet, og botnettet er så i stand til at kunne udstede kommandoer på systemet," siger Peter Kruse fra CSIS, der betegner truslen fra ormen som 'medium' risiko.
Det skal virksomhederne gøre
Virksomhederne kan undgå ormen ved at regulere kommunikationen.
Peter Kruse mener dog, at virksomhederne får mere ud af at informere medarbejderne om de risici, der kan være forbundet med brug af MSN Messenger.
"For vi har set de her orme før, og vi kommer til at se dem igen, fordi det er en nem måde at plante skadelig kode i virksomhederne. Så man kan lige så godt få budskabet ud med det samme," siger Peter Kruse.
CSIS har i samarbejde med Norman udviklet et gratis standalone removal værktøj, som kan findes her.
