Tusentals datorer smittade av nytt virus

Har spridit sig blixtsnabbt från Asien

Ett nytt datorvirus sprider sig nu blixtsnabbt via e-postmeddelanden.

Det nya viruset kallas för Nimda. Det är en agressiv mask som utnyttjar ett antal säkerhetsluckor.

- Jag har aldrig sett en internetmask som även hackar webbservrar. Den verkar ha spritts oerhört snabbt, säger datorsäkerhetsexperten Per Hellqvist.

De första rapporterna om det nya viruset kom under tisdagseftermiddagen. På kort tid har det spridits över hela världen via e-postmeddelanden.

- Jag har just fått rapporter om den bortifrån Asien, samtidigt som den uppenbarligen redan nått hit, säger Per Hellqvist på IT-säkerhetsföretaget Symantec.

Datorexperter hade senare under tisdagskvällen lyckats spåra ursprunget till Kina.

- Vad vi sett hittills har den inga destruktiva tendenser. Däremot maskpostar den sig själv och hackar web-servrar på Internet, säger han.

Samma säkerhetsluckor som Code Blue

Det nya viruset försöker attackera Microsoft information server på samma sätt som Code Red och Code Blue gör fast mycket mer snillrikt.

– Code Red och Code Blue-virusen söker efter en säkerhetslucka vardera i systemen men Nimda letar efter 16 stycken samtidigt vilket gör det så aggressivt. I Rumänien har en ”offerdator” (honey pot) registrerat runt 1000 angrepp i timmen, säger Per Hellqvist.

När Nimda hittat en sårbar server lägger det upp en hemsida.

Den som surfar till hemsidan blir erbjuden att ladda ner en fil, en outlook-fil, som har masken som en bifogad fil.

- Det är nåt som jag aldrig sett tidigare, säger Per Hellqvist.

- När man har dubbelklickat och blivit infekterad så öppnar den c-enheten, och sen försöker den sprida sig vidare till andra datorer i nätverket.

Nimda samlar även e-postadresser från användarnas adressböcker i e-postprogrammen – men också från nedladdade dokument (cachefiler) – och skickar sig vidare till alla adressater.

– Därför har viruset fått en så stor och sanbb spridning, enligt Per Hellqvist på Symantec.

Visar sig som en liten fyrkant

I vissa e-postprogram syns viruset bara som en millimeterstor grå fyrkant i innehållsfältet. Som ”subject” står i många fall mycket långa och obegripliga meddelanden:

wareMicrosoftWindo-, b4 0desktopdesktopexempelexempel

exempeldesktopexempelexempeldesktop.

I de tidigare versionerna av den här sortens virus har den smittande bilagan varit bifogad som en normal bilaga. Men i den nya versionen ligger den farliga bilagan i själva texten. Det gör att många av de virusskydd som fungerat mot andra virus inte skyddar mot Nimda.

Inte destruktivt

– Viruset är inte destruktivt, det förstör inte filer. Däremot ger den upphov till en stor mängd kommunikation över nätet. Bandbredden äts upp av all genererad trafik, det blir trögsurfat och ”stopp i sladdarna” och kan i värsta fall slå ut e-postservrar hos företag. Drabbade internetleverantörer kan till och med få det svårt att förmedla sina tjänster till kunder.

Senare på tisdagskvällen rapporterades att flera mindre internetleverantörer i USA klappade ihop.

- Det är mycket troligt att det beror på viruset, säger Per Hellqvist.

Drabbar främst pc-användare

Enligt honom är det främst pc-användare med operativsystemen Windows NT och Windows 2000 som ligger i riskzonen. För drabbade företag och privatpersoner rekommenderar Per Hellqvist följande åtgärder för att förhindra Nimdas framfart:

spärra "readme.exe"-filer i e-postservern

spärra "readme.eml"-filer i brandväggen

ladda ner uppdateringsfil från Microsofts hemsida.

Fredrik Rundkvist, Dino Stén