Kriz-viruset på vei tilbake

Kriz-viruset på vei tilbake

Det ett år gamle viruset vil mest sannsynlig komme tilbake denne julen, takket være dets egenskap til å infisere andre virus og spre seg sammen med dem.

Publisert

W32/Kriz.3862, som er virusets fulle navn, er basert på CIH, viruset som forårsaket mye skade da det ble aktivert 26. april 1998. Symantec, produsentene av Norton Antivirus, oppfordrer folk til å skanne datamaskinene sine før jul. For å hjelpe til med dette har de nå gitt ut et gratis verktøy for å finne og fjerne viruset.

Kriz kan "haike" med andre virus, og kan derfor spre seg ved hjelp av e-postormer og lignende. Slike ormer spres raskt - jfr. "I love You", og når de sprer seg til en maskin hvor Kriz allerede finnes, tar de med seg viruset til de neste maskinene de spres videre til.

Latent og dødelig

Kriz sprer seg til en datamaskin når brukeren åpner en fil som er infisert med viruset. Det første den gjør er å angripe operativsystemets sentralnervesystem, kjernen (bedre kjent som kernel32.dll). Deretter går det i gang med å infisere andre programmer på harddisken, og også alle nettverksstasjoner. På denne måten har det mulighet til å spre seg til et helt nettverk.

Denne prosessen merker du lite til, da viruset ikke ødelegger noe i denne fasen. Maskinen din er bare en bærer av viruset. Moroa begynner ikke før 25. desember.

Når viruset aktiveres overskriver det alle filene på harddisken, for deretter å prøve å overskrive BIOSen på PCen din. Selv om BIOS-angrepet bare fungerer på noen få typer BIOS, kan ødeleggelsen av filer og programmer på harddisken din være skade nok.

Ingen grunn til panikk?

Antivirusprodusentene mener at viruset ikke har den helt store muligheten til å spre seg ennå, men dersom det får haik med flere e-postormer kan dette bli en stygg affære. Både Symantec og Trend Micro rapporterer at viruset allerede har infisert to ormer; Happy99 og Bymer.

Trend Micro, som er en av Symantecs største konkurrenter, sier at viruset er meget destruktivt, men at det hittil ikke har spredt seg raskere enn cirka 50 maskiner i døgnet. Dette nummeret kan være en del høyere, i og med at Trend bare har oversikt over de maskinene som bruker firmaets egen online-service.

Viruset er i bunn og grunn en kopi av CIH, som ble laget i 1997. CIH spredte seg ikke mye det første året, og varianten av det som aktiverte seg hver måned døde ut etter kort tid. Den andre varianten derimot, som aktiverte seg en gang i året, forårsaket store ødeleggelser da det aktiverte seg 26. april 1998.

De fleste antivirusprogrammer har allerede mulighet for å fjerne viruset fra maskinen din, så noen grunn til panikk er det ikke. Du bør imidlertid ta forholdsregler mot dette viruset. Hvis du skanner PCen for virus før jul og sørger for å ha på antivirusprogrammets e-postfilter og lignende, så vil du ganske sikkert unngå Kriz.

Symantecs Kriz-fjerner kan hentes ned her.

Vi bryr oss om ditt personvern

dinside er en del av Aller Media, som er ansvarlig for dine data. Vi bruker dataene til å forbedre og tilpasse tjenestene, tilbudene og annonsene våre.

Les mer