Conficker/Downandup, den mest hypede orm i nyere tid, menes at gå amok i dag.
Men foreløbigt har den massivt omtalte orm opført sig fuldstændig, som test i lukkede miljøer hos sikkerhedsfirmaerne har påvist, at den ville reagere.
Det fortæller Peter Kruse fra sikkerhedsfirmaet Csis, der natten igennem har haft opmærksomheden rettet mod danske computeres indbyggede ure.
Ormen menes at have inficeret mindst 9.000 danske computere trods tilgængelige patches og antivirussoftware.
"Den begynder at forespørge på de 50.000 domæner, den kan generere hver dag. Den kontakter 500 vilkårlige domæner og ligger sig i dvale igen i 90 minutter," fortæller Peter Kruse.
Disse opkald vil ifølge sikkerhedseksperten fortsætte, indtil ormen igen bliver opdateret. Men Confickers/Downandups skabere har imidlertid endnu ikke frigivet en opdatering til den teknisk flot udførte orm.
"Lige nu snor den sig bare i blinde og kan ikke få fat i noget," siger Peter Kruse.
holder vejret i spænding
Fraværet af dommedag har sat spekulationer i gang om, hvorvidt den hypede orm er en aprilsnar til sikkerhedsbranchen.
Og det kan ikke udelukkes, forklarer Peter Kruse, der dog som resten af branchen holder vejret i spænding.
"Set ud fra at det er 1. april, kunne det meget vel være, at den vil opdatere i dag. Men det kan ligeså godt være om 14 dage eller en måned. Det ved kun de, der sidder og laver den," siger Peter Kruse.
Ubehagelige muligheder
Problemet er, at den potentielle magt fra ormens syv millioner inficerede maskiner efterlader sikkerhedsbranchen på baghjul i forhold til Conficker/Downandup. Og det gør naturligvis sikkerhedsfolkene utrygge.
"Vi må erkende, at det ikke er os, der har bolden. Og det har det ikke været i et godt stykke tid med denne orm," siger Peter Kruse.
Han forklarer, at det er bagmændene med et foreløbigt ukendte mål, der bestemmer tempoet, og hvad den raffinerede orm skal kunne.
"De har skrevet koden, så vi i branchen ikke har mulighed for at hjælpe systemer, eksempelvis ved at deaktivere det netværks, som ormen kan ringen hjem til," siger Peter Kruse.
Sikkerhedseksperten fremhæver, at branchen tidligere har set ormens bagmænd udføre opdateringer meget hurtigt og uforudsigeligt.
"De er fuldstændig uforudsigelige, og det er det, som gør det her ubehageligt," siger han.
Den nye opdateringsfunktion med 50.000 domæner gør det nemlig umuligt at gribe ind ved at opkøbe eventuelle domæner, som ormen bruger til opdatering.
Ifølge Peter Kruse har branchen formentlig været ekstra meget på dupperne omkring Conficker/Downandup, fordi bagmændenes arbejde virker professionelt, at de har beskyttet ormen rigtig godt, og at de kan deres kram.
Samtidig er det et anseeligt antal maskiner, som er inficeret, hvilket giver en betydelig magt, hvis bagmændene muterer ormen til noget ondt på et tidspunkt, forklarer Peter Kruse.
"Det er noget modbydeligt noget, hvor ingen kan vide sig sikker på, om det er en joke," siger Peter Kruse.
Klart er det dog ifølge Peter Kruse, at ejerne af de mange millioner inficerede maskiner ikke vil se noget som helst sjovt i den mulige aprilsnar.
Sådan fjerner du ormen
Peter Kruse fortæller, at brugere som regelmæssigt opdaterer deres pc og bruger sikre kodeord ikke behøver at frygte Conficker/Downandup mere end andre trusler på internettet.
Er man ikke i denne gruppe, har man til gengæld grund til at være bange, fortæller han.
Det første, man bør gøre for at undgå Conficker eller Downadup, er at installere den sikkerhedsopdatering fra Microsoft, der hedder MS08-067.
Den retter sårbarheden, som gør, at ormen kravler ind på Windows-maskiner, fortæller Peter Kruse.
"Herefter bør man slå auto-run fra på sin USB-port og vælge stærke passwords også på delte drev internt i firmaerne," siger han.
Er man så uheldig, at der allerede er en orm på besøg, kan man hente et gratis værktøj, der fjerner den. De findes både til netværk og almindelige maskiner.
Det kan eksempelvis gøres hos antivirus-producenten BitDefender
