Antivirusfirma: Seks procent af pc'er inficeret med Downadup-orm

Downadup-ormen kan have inficeret helt op mod seks procent af alle pc'er, hævder antivirusfirmaet Panda Security.

Downadup-ormen er godt på vej til at skrive sig ind i historiebøgerne som ét af de værste virusangreb nogensinde. I hvert fald hvis man skal tro statistik fra flere antivirusfirmaer.

Panda Security vurderer ifølge en pressemeddelelse, at op mod seks procent af alle pc'er kan være blevet inficeret med den mest udbredte variant af ormen.

Til amerikanske Computerworld vurderer firmaet, at tallet endda kan være endnu højere.

»De seks procent kommer fra de folk, der har valgt at besøge vores websted og foretage en scanning. Hvis vi så på den generelle befolkning, så kunne tallet ligge på 20 til 30 procent,« siger chefevangelist Ryan Sherstobitoff til Computerworld.com.

Tallet skal dog formentligt tages med et alvorligt gran salt. Panda har registreret lidt over 115.000 inficerede pc'er ud af omkring to millioner, som er blevet scannet ved hjælp af selskabets webbaserede scanner.

Uden yderligere oplysning om, hvilke brugere der har valgt at foretage scanningen hos Panda, er det derfor vanskeligt at projicere tallet ud på den generelle internetpopulation.

Tilsvarende er konkurrenten F-Secures bud på omkring 9,5 millioner inficerede pc'er ligeledes et tal, som er forbundet med stor usikkerhed.

Ifølge F-Secure er tallet bestemt ud fra en kombination af antallet af inficerede Windows-pc'er, som har kontaktet det domæne, F-Secure har registreret, og et tal sendt fra hver maskine om antallet af maskiner, den har inficeret.

Downadup-ormen generer dagligt en liste på omkring 250 domænenavne. Ormen forsøger at kontakte disse domæner for at hente opdateringer. Bagmændene behøver således kun registrere et enkelt af disse domæner for at styre ormen. Til gengæld vil det være vanskeligt at stoppe ormen ved blot at spærre for domænerne, da der hver dag kommer nye domæner til.

NAT-routere slører antallet

Flere antivirusfirmaer registrerer derfor ét eller flere af de kommende domæner for at kunne tælle, hvor mange pc'er der forsøger at kontakte domænet.

Problemet er imidlertid, at alle pc'er på et netværk med en NAT-router vil have den samme IP-adresse. Derfor er det ikke nok at optælle unikke IP-adresser.

Derfor bruger F-Secure også et tal, som optræder i den HTTP-header, som ormen sender til serveren. Tallet skal formentligt angive, hvor mange pc'er den pågældende maskiner har inficeret.

Ved at kombinere disse oplysninger, når F-Secure frem til dets skøn, som ifølge selskabet selv er et konservativt skøn. Det forudsætter imidlertid, at tallet, som angives i HTTP-headeren, er korrekt, og der ikke er et stort overlap mellem maskiner, som konstant forsøger at inficere de samme pc'er.

Netværksdrev en farlig smittekilde

Selvom Downadup-ormen mest er kendt for at sprede sig ved hjælp af en sårbarhed i Windows, så er den største trussel reelt ormens mulighed for at sprede sig via netværksdrev.

Denne spredning er ganske vist ikke automatisk, men kan til gengæld ske til Windows-pc'er, som er fuldt opdaterede, hvis blot en bruger åbner et netværksdrev, som er inficeret.

Microsoft har frigivet en opdateret version af selskabets værktøj til fjernelse af ondsindede programmer, som kan fjerne Downadup. Imidlertid forhindrer ormen en bruger i at besøge Windows Update, så det kræver en manuel kørsel af en downloadet version.

Microsoft anbefaler ligeledes, at man slår Autorun-funktionen i Windows fra. Ifølge US-CERT skal man imidlertid være opmærksom på, at den normale metode til at slå funktionen fra, ikke yder fuld beskyttelse. US-CERT har derfor frigivet en mere detaljeret vejledning.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jens Madsen

Er det ikke lidt useriøst at scanne i postmapperne og papirkurven og kalde det infektioner?

Det er meget almindeligt, at virus'er placerer sig i papirkurv kataloget. Dette katalog, er ligeså godt som alle andre placeringer, hvis der i registreringsdatabasen, eller i windows systemfiler refereres til filen i kataloget.

Jens Madsen

Hvis jeg kopierer en fil ind i "recycled" på harddisken, vises den ikke i skraldespanden, og den forsvinder ikke, ved "tøm papirkurv". Prøv, at kopiere en fil ind, sæt den til hidden, og readonly, og se om den bliver vist - og kan slettes. Prøv at eksperimentere med hidden og readonly, for at se om du kan få den frem i "papirkurven".

Grunden til, at papirkurven vælges, er at uanset hvordan du konfigurerer windows til at vise filer (hidden mv.) så er muligt, at få filerne til at ikke kunne vises fra windows brugergrænsefladen, når filerne lægges i papirkurv - og de slettes ikke med "tøm papirkurv".

Du kan se filerne fra systemprompt'en, ved at skrive CD recycled, for alle drevs (hver drev, har sin egen recycled).

Samtidigt, skal du bruge dir /AH for at vise hidden filer, og directories.

Kopierer du en fil ind i "recycled" fra system prompt'en, kan du se, at den ikke vises i papirkurven i windows, og oftest sættes den også til readonly og hidden, så den ikke umiddelbart vises fra system prompt'en. Papirkurven, er derfor et godt skjulested.

Log ind eller Opret konto for at kommentere