Få ditt eget presserom

Få ditt eget presserom
Nyheter
Kontakter
19/08-03   -   Pressemeldinger

To ormer sprer seg med lynets hastighet

To ormer sprer seg nå med stor hastighet via e-mail. Mange av EuroTrust Virus112’s største kunder har mottat så mange mail, at deres mailsystemer er gått ned. En variant af Sobig-ormen, kalt Sobig-F, er klart den som sprer seg hurtigste og derfor har EuroTrust Virus112 utsendt Rød Alarm på Sobig-F. Men den nye ormen W32.Dumaru.worm følger tett bak.

EuroTrust Virus112 har mottat mange henvendelser fra bedrifter og brukere, som observerer et stort antall av Sobig-F. Ormen er særligt aktiv i Norge, USA og Danmark, og spredningen har eksplodert i dag tirsdag 19.08.2003. EuroTrust Virus112’s eget mailscanningssystem mottok på et tidspunkt ca 50.000 infiserte mail på under 30 minutter.

Den raske spredningshastigeten kan skyldes at Sobig-F er i stand til å spre seg via network shares og dermed kan sprer seg ukontrollert i et internt netverk uten bruk av e-mail.

Når klokken er mellom 19.00 og 23.59 (Coordinated Universal Time) og det er mandag eller fredag, vil ormen forsøke å downloade en fil, som eksekveres. Filen blir hentet på en bestemt URL, så innholde av filen kan variere. Tidligere Sobig-varianter har for eksempel hentet spam relay servere, som brukes til å sende ut spam. Men innholdet av denne filen kan være ondsinnet.

Sobig.F åpner dessuten for porter, slik at den personen, som har skrevet ormen, kan utnytte det infiserte system til mye mer, for eksempel finne passwords eller formatere harddisken.

W32.Sobig-F.worm er en ny variant i Sobig familien. Ormen er pakket med TELock for å gjøre det vanskeligere å analysere koden og for å unngå detektion av antivirus-software. W32.Sobig-F.worm er en typisk massmailer, som annkommer via e-mail som en vedheftet pif-fil med et varierede innhold.

Sobig-F vil gjennomsøke det lokale systemet for e-mailadresser, som den vil anvende til å sende en kopi av seg selv til. Bemerk at W32.Sobig-F.worm spoofer til og fra e-mail adresser med høstede adresser fra den infiserte maskinen. Det kan derfor ofte forekomme, at e-mailen ser ut som den kommer fra en person, som du kjenner og har tillit til.

Dumaru-ormen kommer via e-mail som en vedheftet exe-fil. Av mailen fremgår det at den kommer fra "Microsoft " med emnet "Use this patch immediately !". Det er et statisk innhold, så det er relativt lett å filtrere ormen bort.

Pressekontakter


Selskap

EuroTrust Virus112 A/S
Poppelgårdvej 11-13
2860 2860 Søborg, Norge

  23905050

http://www.virus112.no

Motta nyheter fra EuroTrust Virus112 A/S via epost

Registrer deg her
Vårt oppdrag er å strømlinjeforme og formidle all slags presse- og forretningsinformasjon og gjøre den tilgjengelig for alle på alle tilgjengelige plattformer.

Om MyPressWire