En ny Internet orm, pakket ind i zip, spreder sig hastigt på Internet.
Kruse Security har valgt at opgradere denne trussel fra en lav/medium vurdering til en Medium. Opgraderingen sker på baggrund af flere rapporteringer om infektioner - også i Danmark.
W32.Mimail.worm, er en Internet orm, som er pakket i zip, for på den måde, at snige sig forbi diverse gateway filtre. Det er ikke tilfældigt, at ormen netop er blevet sendt i kraftig spredning fredag eftermiddag/ aften. Det er forfatterens hensigt, at rumme et tomrum, hvor systemadministratorer hen over weekenden, kan glemme at opdatere, eller indlægge filtre på deres gateway scannere.
Ormen bygger på en exploit kode, som er identisk med en proof-of-concept kode anvendt hos malware.com. Der er tale om en sårbarhed, som kan betyde, at koden efter udpakning kan afvikle sig selv, hvis brugeren åbner det medfølgende HTML dokument. Det kan naturligvis ikke forekomme hvis maskinen er opdateret behørigt.
At ormen anvender zip er ikke en ny trend. Vi har bl.a. set det samme anvendt i visse sobig varianter. I Oktober måned 2002 skrev Kruse Security en klumme til comon om netop virus i zip filer. Se links.
Se Microsoft Knowledge Base for yderligere oplysninger om opdatering.
http://support.microsoft.com/default.aspx?scid=kb;en-us;330994
En komplet analysen af ormen kan findes hos Kruse Security.
http://support.microsoft.com/default.aspx?scid=kb;en-us;330994
http://www.krusesecurity.dk/advisories/mimail.txt