Forfalskede afsenderadresser forvirrer

Chefkonsulent Preben Andersen, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned i Børsen Informatik om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

Inden for den sidste måned har du måske modtaget besked om, at en e-mail, du har sendt, ikke kunne afleveres til modtageren. Men du har aldrig skrevet til vedkommende, som du måske ikke engang kender. Det er en af bivirkningerne ved ormen Sobig.F, der har spredt sig med rekordfart, siden den dukkede op den 19. august.

Sobig.F spreder sig via e-post. Den ankommer som en mail, hvor emnet for eksempel kan være "Re: Details." Teksten opfordrer til, at man åbner den vedlagte fil. Gør man det, bliver ens pc inficeret, og ormen begynder at sende sig selv videre til andre, hvis adresser den finder på computeren.

Forfalsker afsender
I lighed med andre orme forfalsker den sin afsenderadresse. Som afsender vælger den en tilfældig adresse, den finder på computeren. Her er årsagen til de mystiske beskeder, mange modtager, om at deres mail ikke kunne afleveres. Hvis din mail-adresse optræder i adressekartoteket på en inficeret computer, kan du risikere at modtage ormen. Men du risikerer også at stå som afsender i en af de mails, ormen udsender. Hvis ormen har sendt sig selv til en adresse, der ikke findes længere, vil du så modtage en besked om, at din mail ikke kunne afleveres.

Sobig.F har også andre bivirkninger. Måske bliver ormen fanget af et antivirusprogram hos en modtager. Hvis vedkommende ikke har sat sig ind i, hvordan den fungerer, tror han/hun nu, at din pc er inficeret, fordi du står som afsender. Så hvis du modtager en mail med advarsel om, at din pc udsender virus, er der altså grund til at undersøge sagen en ekstra gang.

Ekstragevinst
En lille "ekstragevinst" ved denne type orm er, at man kan modtage feriebeskeder fra folk, man aldrig har hørt om. De takker høfligt for den virus, du har sendt dem, og lover at kigge nærmere på den, når de vender hjem fra ferie.

Det bedste middel til at undgå, at organisationens pc'er bliver inficeret med Sobig.F og lignende orme og virus, er information. Gør det helt klart for medarbejderne, at man aldrig dobbeltklikker på en fil, man har fået tilsendt uopfordret. Kombiner det gerne med antivirusprogrammer på både pc'er og postserver.

Og så lige en positiv afslutning på Sobig.F-miseren: Ormen holder op med at virke i morgen, den 10. september. Det er den programmeret til.

Oprindelig bragt i Børsen Informatik den 9. september 2003.

Keywords: