Den ondsindede Sality-variant som har ødelagt omkring 80 maskiner blandt de administrative medarbejdere hos A.P. Møller-Mærsk, består af såkaldt polymorfisk kode, der gør virus i stand til hele tiden at ændre sig.
"Det er noget modbydeligt noget," siger Peter Kruse fra it-sikkerhedsfirmaet CSIS om Sality-visussen.
Han fortæller, at de nye varianter af Sality-virussen benytter såkaldt endpoint obfuscation, (EPO), der gør koden svær at læse for antivirus-motorer, som benytter signaturskanning.
"Den ændrer sig hele tiden. Den binære kode ændrer hele tiden udsende. Det gør den til en kompleks kode," siger Peter Kruse.
Kendt virus i ny forklædning
Dermed adskiller den variant af Sality, som har ramt Mærsk, sig fra tidligere versioner, som er i stand til at sprede sig via en gammel autorun-funktion i Microsoft Windows XP og ældre udgaver.
Funktionen betyder, at en reference til autorun altid bliver kørt, når et flytbart drev eller en usb-stik kobles til maskinen.
Det sker selvom Microsoft, efter sidste års Conficker-plage, gik ud med en rettelse, som ændrede autorun-funktionen, så det ikke længere burde være så nemt for denne type orme at sprede sig via netværk.
Når Sality-virussen først er sluppet ind på maskinen, udnytter den sårbarheder i Windows til at sprede sig videre. Den vil også forsøge at sprede sig via passwordbeskyttede drev, som er delt, hvis disse kodeord er svage. Dermed benytter Sality tre måder til at sprede sig under et angreb.
Stjæler information
De nyere udgaver indeholder også funktioner som downloader supplerende malware gemt i eksempelvis jpg-filer, der kan slippe gennem filtre. Det er ifølge Peter Kruse bekymrende, fordi virussen på den måde bliver i stand til at indsamle information.
Samtidig henter ormen ledsagerkomponenter, som er i stand til at sende skærmdumps af inficerede maskiner tilbage til Sality-bagmændene, ligesom de kan registrere tastetryk.
Slår funktioner fra
En anden Sality-funktion går ind og dræber antivirus-programmer, så den under kørsel stopper processer, der tilhører sikkerhedssoftware og ødelægger brugerkonti-kontrollen. Det gør det muligt for den at at kopiere sig selv til områder, som normalt kræver administrative rettigheder.
Desuden sætter Sality centrale systemkommandoer ud af kraft, så adgangen til at redigere registreringsdatabasen og benytte oversigten over systemets processer er umulig.
Ifølge Peter Kruse har Sality ramt mange danske virksomheder i løbet af sommeren. Så A.P. Møller-Mærsk er langtfra alene om at blive ramt af den ondsindede virus, fortæller han.
"Det eneste det i virkeligheden handler om, er at være parat til at handle, så man ved hvad man skal gøre, når sådan en situation opstår. Fordi før eller siden så kommer det," siger Peter Kruse.
