Julen er ikke bare hjerternes fest, men øjensynlig også en højtid for virusprogrammører. Blot en uge efter at BadTrans.B-virusen ramlede ind i adskillige tusinder af pc?er kloden rundt, er en ny virus, W32.gone.worm, på spil. Gone bliver virussen kaldt, fordi den henviser til formen ? pentagon.
Den bliver kategoriseret som en højrisiko-virus af antivirus-producenter som Symantec, der også noterer, at den spreder sig hurtigere end BadTrans.B. i USA. Spredningskanalerne er pc?er med Windows og Outlook-mailprogrammer via adresse-listerne. Imidlertid benytter den sig også af beskedtjenesten ICQ.
Ifølge sikkerhedsekspert ved Telia Security Group, Peter Kruse, er det meget sandsynligt, at den rammer danske pc?er onsdag, når folk møder ind på kontorerne og åbner deres mailprogrammer.
Spredning via mail og ICQ
Han oplyser, at Pentagon fremstår som en mail fra en god ven eller bekendt, der tilbyder modtageren en ny pauseskærm. Teksten skrevet på engelsk med hilsenen ?Hi? i emnelinien, og den medfører en fil som vedhæftet ?gone.scr?.
Bliver den åbnet, aktiveres virusen ? og sender sig hurtigt videre via adressebogen i Outlook og via beskedtjenesten ICQ og chatprogrammet mIRC. Hvis mIRC er installeret på computeren, kan den ifølge Peter Kruse bruges til et Denial of Service angreb eller et overbelastningsangreb mod andre pc?er.
Når den vedhæftede fil gone.scr er aktiveret, ruller følgende besked frem på skærmen:
pentagone
coded by: suid
texted by: ThE_SKuLL and |satan|
greetings to: TraceWar, k9_unit, stef16 ^Reno
greetings also to nonick2 out
there where ever you are
Herefter kommer der en falsk fejlmeddelelse frem på skærmen: ?Error While Analyse DirectX!?, der blot optræder for at skjule for brugeren at videresendelse af mails til personerne i adressebogen er i gang. I øvrigt sletter den bagefter selv alle sendte mails fra udbakken.
Endvidere gemmer den en kode i den centrale registreringsdatabase, så den kan aktiveres ved næste opstart af maskinen.
Sletter antivirusprogrammer
Pentagon-virusen har desuden den kedelige bieffekt, at den i aktiveret form går ind og sletter virusbeskyttelsen fra programmer fra Symantec AntiVirus og firewalls som Zonealarm, der er meget brugt hos private pc-brugere.
Det efterlader systemerne forsvarsløse mod virusen.
Virusen er skrevet i Visual Basic og pakket med værktøjet UPX. Pakket med det værktøj er det sværere for antivirusprogrammer at opdage virus.
Ifølge internationale nyhedstjenester og forskellige antivirusproducenter samt sikkerhedsfirmaer W32.gone.worm sig meget hurtigt verden over.
Sikkerhedsekspert Peter Kruse fra Telia Security giver følgende anvisninger på, hvordan W32.gone.worm kan fjernes fra pc'en, hvis den er blevet inficeret:
Windows NT/2000
1) Stop ormen i systemprocessen. Dette gøres ved at trykke
ctrl+alt+delete og find dernæst GONE.SCR og pentagone i joblisten.
Afslut (end task) og
2) Gå derefter ned i windows systemmappen og slet gone.scr
3) Slet derefter værdien: "gone.scr" i registreringsdatabasen.
Windows 95/98/ME:
1) Boot fra en ren DOS diskette
2) Gå ind i Windows system mappen - skriv f.eks.: cd windows\system [enter]
og derefter kommandoen del gone.scr [enter]
3) Slet derefter værdien "gone.scr" i registreringsdatabasen.
Desuden har portalen Safe2Day et program til download, der kan fjerne virusen.
