Artikel top billede

Glubsk supertrojaner spiser Windows, Mac og VMware

En helt ny type multi-trojaner rammer et hav at forskellige platforme med den samme kode. Den bringer it-kriminelle op på næste udviklingstrin, lyder analysen.

Læs mere:
Nets: Derfor kan du stole på NemID trods nyt indbrud

Sådan undgår du at blive snydt af dyr porno-trojaner

En trojaner, der blev opdaget i juli, viser sig efter nærmere analyse at være langt mere potent end først antaget.

Den er blevet døbt Crisis, og trojaneren udmærker sig ved at gå efter en hel stribe forskellige it-platforme, herunder Windows- og Mac-installationer, VMwares virtuelle miljøer og Windows mobile-enheder.

"Crisis er en type malware, kaldet multi-threat eller krydsplatforms-malware, som vi skal forholde os til. Betegnelsen dækker over skadelig kode, der kan sprede sig på tværs at operativsystemer," siger Peter Kruse, der er sikkerhedsanalytiker i firmaet CSIS.

"Teknisk set er Crisis meget interessant for en analytiker som mig, fordi det er et nyt udviklingstrin inden for malware, men it-administratorer har næppe den samme opfattelse," siger han.

Kendt teknik får nyt krudt

Ideen om malware, der rammer mange forskellige platforme, er ikke ny. Helt tilbage i 2001 var det første eksempel, kaldet Nimda, på banen.

Den gik efter Windows-installationer i alle afskygninger, og den spredte sig via en stribe forskellige kanaler.

Men Crisis angreb på de virtuelle miljøer er ganske unik.

"De fleste malware-typer gør faktisk det stik modsatte af Crisis," fortæller Peter Kruse.

"Hvis de afvikles på et VMware-system, så sletter de sig selv, blandt andet for at drille sikkerhedsfolk, der laver dynamiske analyser af skadelig kode i virtuelle miljøer. Men Crisis kan lide VMware."

I koden er der indbygget mekanismer, der ligefrem leder efter virtuelle images.

"Hvis de detekteres, kopierer den sig ned i de virtuelle systemer og spreder i hele det virtuelle netværk."

VMware fortæller, at problemet kun er relevant for Type 2 hypervisor, altså når virtualiserings-motoren kører oven på Windows eller OS X.

Denne type arkitektur findes i firmaets retail-produkter, VMware Workstation til pc og VMware Fusion til Mac, og de er kun ramt i det tilfælde, at den virtuelle disk er ukrypteret.

Ingen andre VMware produkter er ramt, lyder det fra Virtualiseringefirmaet.

Sådan kommer malware under radaren

Opbygningen af Crisis gør, at den ikke umiddelbart dukker op på radaren hos sikkerhedsanalytikerne.

"Applikationen er signeret med et gyldigt certifikat, der er stjålet fra en virksomhed, og det medfører, at den er meget svær at opdage for antivirus-firmaerne. Når en kode har et certifikat, opfattes den nemlig ikke som en umiddelbar trussel men som troværdig software," siger han.

Antivirus-firmaerne anvender automatiserede analysemodeller, der leder efter definerede karakteristika i software, til at skanne for skadelig kode, men det har Crisis-udviklerne altså taget højde for.

Malware, der kan stjæle digitale certifikater, er en tendens, der breder sig med lynets hast blandt it-kriminelle, netop af denne årsag.

Kedelig spion-software

De funktioner, der er indbygget i Crisis, er dog ikke på nogen måde unikke. Applikationen kan overvåge trafik og stjæle brugernavne eller passwords.

"Der er bare tale om en informationstyv, og på det område ligner Crisis 99 procent af alle de andre malware-programmer, der findes" siger Peter Kruse.

Han fortæller desuden, at der ikke er nogen røde lamper, der blinker i forhold til udbredelsen af Crisis i Danmark. Crisis rammer ikke iPhone eller Android.

Læs mere:
Nets: Derfor kan du stole på NemID trods nyt indbrud

Sådan undgår du at blive snydt af dyr porno-trojaner




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Højer og Lauritzen ApS
Distributør af pc- og printertilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere