Computerworld News Service: En gammel men lidet kendt orm er begyndt at kopiere nogle af infektionsstrategierne fra Conficker, som fik en del omtale i sidste uge, advarer sikkerhedseksperter fra Microsoft.
Neeris så dagens lys i maj 2005 og udnytter nu den samme fejl i Windows, som Conficker så fermt gør. Den spreder sig også ligesom Conficker via USB-drev, oplyser Ziv Mador og Aaron Putnam fra Microsoft Malware Protection Center.
Ifølge Mador og Putnam har hackerne bag Neeris for nylig gjort det muligt for ormen at udnytte sårbarheden MS08-067, som Microsoft rettede sidste oktober. Denne nødopdatering lukkede et sikkerhedshul i tjenesten Windows Server, som bruges til fil- og printerdeling.
Conficker, som 1. april begyndte at bruge en ny metode til at modtage kommandoer fra sine hacker-bagmænd, udnyttede sidst i 2008 og først i 2009 den samme MS08-067-sårbarhed med overvældende virkning. I løbet af januar inficerede Conficker for eksempel millioner af computere, mange af dem ved at udnytte MS08-067.
"Neeris spreder sig også via autorun," skriver Mador og Putnam i et indlæg på malware-centrets blog.
"Den ny Neeris-variant tilføjer endda det samme automatisk afspilnings-valg 'Åbn mappe for at vise filer', som Conficker gør."
Conficker spreder sig fra inficerede pc'er ved at tilføje en autorun.inf-fil til rod-mappen af enhver USB-baseret enhed, der er forbundet til computeren, primært flash-drev. Når dette drev senere sættes i en uinficeret pc, kopierer autorun.inf-filen usynligt ormen over på den ny computer.
Mador og Putnam spekulerer, om måske programmørerne bag Conficker og Neeris er i ledtog.
"Det tidligst kendte tilfælde af Neeris er fra maj 2005, så det ser ud til, at det faktisk er Confickers programmører, der her er efterlignerne.
Men programmørerne af Neeris tilføjede først MS08-067-strategien senere. Derfor er det muligt, at hackerne samarbejder eller i det mindste er opmærksomme på hinandens 'produkter'," siger de.
Tilfældigvis fremkom den nyeste variant af Neeris 31. marts og 1. april. 1. april var dagen, da Conficker øgede antallet af domæner, som ormen kan bruge til at route instrukser fra sine kontrolservere. Denne deadline gav anledning til en regulær storm af dommedagsprofetier.
"Neeris blev dog ikke downloadet af nogen Conficker-variant, og der er ingen beviser for, at den skulle være relateret til Conficker.c's domænealgoritme-aktivering 1. april," udreder Mador og Putnam.
Selvom Neeris blev opdaget for næsten fire år siden, har Microsoft ikke tilføjet noget 'fingeraftryk' af ormen til virksomhedens Værktøj til fjernelse af skadelig software, som opdateres og gendistribueres hver måned i Windows-opdateringer. Værktøj til fjernelse af skadelig software skanner efter kendt malware og renser systemet, hvis det finder nogen. Microsoft tilføjede opdagelse af Conficker til Værktøj til fjernelse af skadelig software midt i januar.
"På grund af lighed med Conficker afhjælpes også de fleste problemer med Neeris," forklarer Mador og Putnam.
"Sørg for at installere MS08-067, hvis du ikke har gjort det endnu, og vær opmærksom på kun at bruge automatisk afspilnings-valg, du kender, eller overvej at slå autorun helt fra."
Oversat af Thomas Bøndergaard
