Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 10/11/2004
To mail-baserede orme spreder sig på en ny måde: De udsender sig selv via e-mail, men selve ormeprogrammet er ikke vedhæftet. I stedet hentes det via en sårbarhed i Internet Explorer.Ormen ankommer i form af en mail, hvis emne blandt andet kan være "Confirmation" eller "Funny photos :)". Mailen opfordrer modtageren til at klikke på et link. Hvis man gør det, inficeres ens computer med et ormeprogram, som installeres ved at udnytte en sårbarhed i Internet Explorer. Microsoft har endnu ikke rettet denne sårbarhed, der findes i Internet Explorer 6 - dog ikke under Service Pack 2 til Windows XP. Sårbarheden ligger i behandlingen af kommandoerne FRAME og IFRAME.
Efter ens pc er blevet inficeret, sender den mails ud med ormen til adresser, der findes på pc'en. Hver mail indeholder et link, der peger tilbage til ens egen pc. Så ormeprogrammerne hentes altså via web fra pc'er, der tidligere er blevet inficeret. Ormeprogrammerne hentes fra port 1639 på den inficerede pc.
Ormen prøver også at forbinde sig til en række IRC-servere (Internet Relay Chat). Det er sandsynligvis et forsøg på at koble pc'en til et botnet (netværk af robotter), så ormens bagmænd kan fjernstyre den.
De fleste antivirusfirmaer finder, at de nye orme minder så meget om Mydoom-familien, at de regner dem for varianter af Mydoom. Sophos har dog valgt at oprette en ny familie til ormene, som de kalder Bofra.
Man kan undgå at blive ramt af de nye orme ved ikke at klikke på links i mails, man får tilsendt uopfordret. Hvis man kører Windows XP, kan man beskytte sig ved at installere Service Pack 2.