Af Kim Elmose
- De firmaer og brugere, der blev ramt i går, har nok lært noget om VBS og vedhæftede filer. Og alle er opmærksomme ? i den næste måneds tid, og så?..jae, er det glemt, ler IT-chef hos Virus112, Heini Zachariassen dagen efter, at virus-ormen VBS.Homepage ramte landet og gav mailserverne hos flere hundrede virksomheder kvababbelser. Spredningen er øjensynlig ovre nu.
Ifølge ham er læren oven på gårsdagens virusangreb, at overraskende få firmaer og brugere har lært noget som helst af den udbredelse, som Anna Kournikova-virusen fik for et par måneder siden. Der bliver stadig klikket lystigt på vedhæftede filer, og sikkerhedsprogrammerne er stadig ikke sat til at bremse visual basic script-filer, selv om langt de fleste brugere sagtens kan undvære dem.
- Det er ikke noget, som du sender til dine venner, noterer Heini Zachariassen og tilføjer, at han og hans kolleger i Virus112 i første omgang ikke tog VBS.Homepage alvorligt.
- Vi troede ikke på, at folk ville lade sig narre af den ? med engelsk emne-linie og en engelsk besked om et emne, der i øvrigt ikke signalerede noget særligt. Anna Kournikova kendte mange, men det her handlede bare om en hjemmeside. Men den menneskelige faktor spillede ind, siger han.
Kryptering narrede antivirusprogrammer
Flere læsere af Computerworld Online har undret sig over, at antivirusprogrammerne ikke fangede VBS.Homepage, når den var skrevet ved brug af samme virusværktøj, som Anna Kournikova-virusen blev udviklet i.
Men ifølge sikkerhedskonsulent Ken Willén fra Vigilante er forklaringen, at koderne i VBS-filen er krypterede. Derudover følger der en algoritme med, der fungerer som dekrypteringsnøgle. Når scriptet bliver aktiveret, afkoder nøglen den kodede VBS-fil og danner en ny VBS-fil, som bliver placeret på harddisken.
Det sidste er et smart træk, bemærker Ken Willén. Normalt tjekker virusprogrammerne indkommende filer for koder. De afviser dem, der viser, at en fil vil gå ned og ændre i det allerhelligste på pc?en ? systemregistreringsdatabasen ? eller automatisk generere nye mails til kontakter i adressebogen.
- Men når scriptet bliver placeret på harddisken ud fra en krypteret fil, så ser programmerne det ikke. Det er også svært for producenter af antivirusprogrammer at tage højde for alle mulige varianter af viruser, understreger sikkerhedskonsulenten fra Vigilante ? og giver samme råd som sin kollega fra Virus112.
- Blokér for alle VBS-filer, så de bliver placeret i karantæne. Så kan modtageren af en mail be- eller afkræfte, om han ventede en sådan fil fra afsenderen. Det her burde ikke ske, men det gør det desværre. Måske er det fordi, at IT-afdelingerne ikke får tid til at se ordentligt på sikkerheden, andet end i én måned efter et angreb, hvorefter de får besked på at vende tilbage til at få forretningen til at køre, siger Ken Willén.
