Læs mere:
Nets: Derfor kan du stole på NemID trods nyt indbrud
Sådan undgår du at blive snydt af dyr porno-trojaner
En trojaner, der blev opdaget i juli, viser sig efter nærmere analyse at være langt mere potent end først antaget.
Den er blevet døbt Crisis, og trojaneren udmærker sig ved at gå efter en hel stribe forskellige it-platforme, herunder Windows- og Mac-installationer, VMwares virtuelle miljøer og Windows mobile-enheder.
"Crisis er en type malware, kaldet multi-threat eller krydsplatforms-malware, som vi skal forholde os til. Betegnelsen dækker over skadelig kode, der kan sprede sig på tværs at operativsystemer," siger Peter Kruse, der er sikkerhedsanalytiker i firmaet CSIS.
"Teknisk set er Crisis meget interessant for en analytiker som mig, fordi det er et nyt udviklingstrin inden for malware, men it-administratorer har næppe den samme opfattelse," siger han.
Kendt teknik får nyt krudt
Ideen om malware, der rammer mange forskellige platforme, er ikke ny. Helt tilbage i 2001 var det første eksempel, kaldet Nimda, på banen.
Den gik efter Windows-installationer i alle afskygninger, og den spredte sig via en stribe forskellige kanaler.
Men Crisis angreb på de virtuelle miljøer er ganske unik.
"De fleste malware-typer gør faktisk det stik modsatte af Crisis," fortæller Peter Kruse.
"Hvis de afvikles på et VMware-system, så sletter de sig selv, blandt andet for at drille sikkerhedsfolk, der laver dynamiske analyser af skadelig kode i virtuelle miljøer. Men Crisis kan lide VMware."
I koden er der indbygget mekanismer, der ligefrem leder efter virtuelle images.
"Hvis de detekteres, kopierer den sig ned i de virtuelle systemer og spreder i hele det virtuelle netværk."
VMware fortæller, at problemet kun er relevant for Type 2 hypervisor, altså når virtualiserings-motoren kører oven på Windows eller OS X.
Denne type arkitektur findes i firmaets retail-produkter, VMware Workstation til pc og VMware Fusion til Mac, og de er kun ramt i det tilfælde, at den virtuelle disk er ukrypteret.
Ingen andre VMware produkter er ramt, lyder det fra Virtualiseringefirmaet.
Sådan kommer malware under radaren
Opbygningen af Crisis gør, at den ikke umiddelbart dukker op på radaren hos sikkerhedsanalytikerne.
"Applikationen er signeret med et gyldigt certifikat, der er stjålet fra en virksomhed, og det medfører, at den er meget svær at opdage for antivirus-firmaerne. Når en kode har et certifikat, opfattes den nemlig ikke som en umiddelbar trussel men som troværdig software," siger han.
Antivirus-firmaerne anvender automatiserede analysemodeller, der leder efter definerede karakteristika i software, til at skanne for skadelig kode, men det har Crisis-udviklerne altså taget højde for.
Malware, der kan stjæle digitale certifikater, er en tendens, der breder sig med lynets hast blandt it-kriminelle, netop af denne årsag.
Kedelig spion-software
De funktioner, der er indbygget i Crisis, er dog ikke på nogen måde unikke. Applikationen kan overvåge trafik og stjæle brugernavne eller passwords.
"Der er bare tale om en informationstyv, og på det område ligner Crisis 99 procent af alle de andre malware-programmer, der findes" siger Peter Kruse.
Han fortæller desuden, at der ikke er nogen røde lamper, der blinker i forhold til udbredelsen af Crisis i Danmark. Crisis rammer ikke iPhone eller Android.
Læs mere:
Nets: Derfor kan du stole på NemID trods nyt indbrud