Hannemyr, som er universitetslektor ved Universitetet i Oslo, er en av landets fremste eksperter på internett. Da Sobig.F slo til i midten av august ble han oversvømt av meldinger fra antivirusselskaper om at han hadde sendt virus, til tross for at han var virusfri.
Mange antivirusprogrammer kan settes opp til automatisk å varsle avsenderen når de oppdager et e-postvirus. Men flere av virusene er i stand til å maskerer hvem som er den egentlige avsenderen. De plukker et vilkårlig navn i adresseboken som de bruker som avsender for å ikke gi en ledetråd tilbake til den maskinen mailen egentlig sender fra.
Dette fører til at «uskyldige» internauter kan blir bombardert med meldinger fra antivirusprogrammene av typen «Norton AntiVirus detected and quarantined a virus in a message you sent».
Annonse
– E-postsystemer verden over overbelastes av slike sprettballer. Virustrafikken blir dobbelt så høyt. Dette er unødvendig og klandreverdig, sier Hannemyr.
Virker mot sin hensikt
Den største skaden mange av nyere tids ormevirus gjør er å legge beslag på nettkapasitet og å oversvømme mailkontoer med e-post. Når disse samtidig utløser tusener av virusadvarsler forsterkes skadevirkningene.
– Det er helt uforståelig at selskapene ikke skjønner at virus forfalsker avsenderadresser. Dermed generer de en masse unødig e-postrafikk som er minst like plagsom som viruset, sier Hannemyr til ITavisen.
Erkjenner problemet
Virusekspert Henrik Vaage i Symantec innrømmer at funksjonen i Norton Antivirus-programmene som sender ut antivirus-meldinger fungerer uheldig i perioder med massive virusutbrudd av typen SoBig.f og fjorårets Klez.
– Jeg får flere slike mail selv, uten å selv være infisert med virus. Å prøve å begrense spredningen av viruset ved å informere avsender fungerer ikke når virusskaperen klarer å maskere avsenderadressen. Vi anbefaler å skru av denne funksjonen i programvaren, sier Vaage.
Symantec anbefaler også folk å sette opp spamfilter for å beskytte seg mot selskapets egne virusadvarsler.
– Jeg ville satt opp spam-regler for den type meldinger. For min egen deler filtrer jeg ut omlag tusen slike meldinger daglig, sier Vaage til ITavisen.
– Ødelegger vår troverdighet
De fleste store antivirusprogrammer har denne automatiske varslingsfunksjonen. I Symantecs tilfelle er den kun tilgjengelig i server-produktene, mens Norman Internet Security lar både bedrifter og private brukere bruke den.
Det hele fungerer mot sin hektisk g fører til at antivirusselskapene mister troverdighet hos folk flest.
– Denne type funksjonalitet ble lagt inn i en periode da forfalskning av avsenderavdresser ikke var så vanlig. Nå gjør jo mange det. Det fører til økt spam og at folk ender opp med å ikke ta advarslene seriøst, sier Normans virusanalytiker Snorre Fagerland.
Vil nødig fjerne funksjonen
Verken Symantec eller Norman virker særlig lystne til å fjerne funksjonen fra sine programmer, men er usikre på hvordan de skal gå frem videre. Argumentet for å beholde den er at det finnes mange virus som ikke maskerer avsenderadressen, og hvor denne form for opplysning faktisk kan bidra til å redusere spredningen.
– Vi diskuterer saken nå. Det er ikke så lett å se at en mail ikke kommer fra avsender som er oppgitt. Et mulig alternativ er å slå den automatiske varslingen av og på dynamisk alt ettersom hvilket virus vi detekterer. Siden SoBig alltid forfalsker adresser kan vi for eksempel droppe å sende e-post til avsenderen i de konkrete tilfellene, sier Fagerland.
(Fra ITavisen Business – i salg nå)
Annonse
