Pass opp for ny MSN-orm

Telenors sikkerhetssenter (SOC) har observert økt utbredelse av en orm som blant annet sprer seg via lynmeldingssystemet Live Messenger til Microsoft. Et kjent utviklerfirma i Trondheim, som består utelukkende av erfarne databrukere, skal være blant miljøene som er rammet.

Ormen sprer seg ved at den sender melding som inneholder en link (hxxp://video.stream.idoo. com/video.php?din_e-post) til alle i kontaktlisten.

Trojaneren melder så tilbake til en botnett kontrollserver hvor mange som har mottatt meldingen. Denne meldingen ser slik ut:

"PRIVMSG #msn-spam :MSN// Message sent to: 26 Contacts".

Norman feilet

Alle som trykker på linken vil laste ned trojaneren, men den vil ikke bli installert før man faktisk trykker "kjør". Det er dårlig antivirusdekning på filen, kun 10 av 32 leverandører tar den etter at den er minst to dager gammel.

Blant de mest kjente antivirusleverandørene som ikke oppdaget ormen er norske Norman, samt Symantec og F-prot. Har du en antivirus fra F-secure, Kaspersky, Nod-32 eller Antivir kan du derimot føle deg trygg.

Har du blitt smittet, vil pc-en din bli meldt inn i et såkalt botnett, som gjør at den kan fjernstyres og i praksis foreta seg hva som helst. Det mest vanlige er at den mottar kommandoer for utsendelse av søppelpost, men den kan også bli brukt til rene dataangrep.

Ny ip-adresse

Det anbefales å sperre for domenet video.stream.idoo.com, samt for de to ip-adressene love.mydyn.net så langt har resolvet til. Det var 83.150.32.6 i forgårs, 62.75.222.198 i går og foreløpig 82.196.4.60 i dag. Domenet kan imidlertid plutselig bytte til en ny ip-adresse.

Nærmere analyse Telenor har gjort av trojaneren, viser at den er skrevet i Visual Basic og blant annet sjekker om den kjører i virtulle miljøer som VMware og Virtualbox.

Trojaneren har også muligheten til å spre seg via USB-minnepinner og andre eksterne diskenheter. Måten den gjør dette på er å sjekke hvert 10. sekund etter disker som er identifisert som flyttbare.

For hver disk opprettes det en spesiell systemmappe, "Recycler", hvor filen autorunme.exe legges. Deretter opprettes autorun.inf, som gjør at denne filen vil bli automatisk eksekvert når disken/minnepinnen settes i pc-en (med standard konfigurert Windows XP).

Ormen etterlater seg en eksverbar fil som kan ha mange forskjellige navn, men legger seg gjerne i system-mappen til Windows. Den oppretter også en nøkkel i registry. Dersom du ikke er en erfaren databruker, anbefales det ikke at du forsøker å rydde opp i dette selv.

LES OGSÅ: Ti gratis sikkerhetsprogrammer du må ha