Artikel top billede

Glubsk supertrojaner spiser Windows, Mac og VMware

En helt ny type multi-trojaner rammer et hav at forskellige platforme med den samme kode. Den bringer it-kriminelle op på næste udviklingstrin, lyder analysen.

Læs mere:
Nets: Derfor kan du stole på NemID trods nyt indbrud

Sådan undgår du at blive snydt af dyr porno-trojaner

En trojaner, der blev opdaget i juli, viser sig efter nærmere analyse at være langt mere potent end først antaget.

Den er blevet døbt Crisis, og trojaneren udmærker sig ved at gå efter en hel stribe forskellige it-platforme, herunder Windows- og Mac-installationer, VMwares virtuelle miljøer og Windows mobile-enheder.

"Crisis er en type malware, kaldet multi-threat eller krydsplatforms-malware, som vi skal forholde os til. Betegnelsen dækker over skadelig kode, der kan sprede sig på tværs at operativsystemer," siger Peter Kruse, der er sikkerhedsanalytiker i firmaet CSIS.

"Teknisk set er Crisis meget interessant for en analytiker som mig, fordi det er et nyt udviklingstrin inden for malware, men it-administratorer har næppe den samme opfattelse," siger han.

Kendt teknik får nyt krudt

Ideen om malware, der rammer mange forskellige platforme, er ikke ny. Helt tilbage i 2001 var det første eksempel, kaldet Nimda, på banen.

Den gik efter Windows-installationer i alle afskygninger, og den spredte sig via en stribe forskellige kanaler.

Men Crisis angreb på de virtuelle miljøer er ganske unik.

"De fleste malware-typer gør faktisk det stik modsatte af Crisis," fortæller Peter Kruse.

"Hvis de afvikles på et VMware-system, så sletter de sig selv, blandt andet for at drille sikkerhedsfolk, der laver dynamiske analyser af skadelig kode i virtuelle miljøer. Men Crisis kan lide VMware."

I koden er der indbygget mekanismer, der ligefrem leder efter virtuelle images.

"Hvis de detekteres, kopierer den sig ned i de virtuelle systemer og spreder i hele det virtuelle netværk."

VMware fortæller, at problemet kun er relevant for Type 2 hypervisor, altså når virtualiserings-motoren kører oven på Windows eller OS X.

Denne type arkitektur findes i firmaets retail-produkter, VMware Workstation til pc og VMware Fusion til Mac, og de er kun ramt i det tilfælde, at den virtuelle disk er ukrypteret.

Ingen andre VMware produkter er ramt, lyder det fra Virtualiseringefirmaet.

Sådan kommer malware under radaren

Opbygningen af Crisis gør, at den ikke umiddelbart dukker op på radaren hos sikkerhedsanalytikerne.

"Applikationen er signeret med et gyldigt certifikat, der er stjålet fra en virksomhed, og det medfører, at den er meget svær at opdage for antivirus-firmaerne. Når en kode har et certifikat, opfattes den nemlig ikke som en umiddelbar trussel men som troværdig software," siger han.

Antivirus-firmaerne anvender automatiserede analysemodeller, der leder efter definerede karakteristika i software, til at skanne for skadelig kode, men det har Crisis-udviklerne altså taget højde for.

Malware, der kan stjæle digitale certifikater, er en tendens, der breder sig med lynets hast blandt it-kriminelle, netop af denne årsag.

Kedelig spion-software

De funktioner, der er indbygget i Crisis, er dog ikke på nogen måde unikke. Applikationen kan overvåge trafik og stjæle brugernavne eller passwords.

"Der er bare tale om en informationstyv, og på det område ligner Crisis 99 procent af alle de andre malware-programmer, der findes" siger Peter Kruse.

Han fortæller desuden, at der ikke er nogen røde lamper, der blinker i forhold til udbredelsen af Crisis i Danmark. Crisis rammer ikke iPhone eller Android.

Læs mere:
Nets: Derfor kan du stole på NemID trods nyt indbrud

Sådan undgår du at blive snydt af dyr porno-trojaner




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Also A/S
Salg af serviceydelser inden for logistik, finansiering, fragt og levering, helhedsløsninger, digitale tjenester og individuelle it-løsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
SAP Excellence Day 2025

Hvordan du orkestrerer og opdeler SAP-projekter for at opnå gevinster hurtigere? Hvordan påvirker AI fremtiden for SAP i almindelighed og måske også din virksomhed? Dette er blot nogle af de svar du får ved at deltage på denne spændende konference.

03. april 2025 | Læs mere


Cyber Briefing: Backup, availability og disaster recovery

I en tid hvor truslerne mod it-driften kun vokser, er det afgørende at kende forskellen på backup, availability og disaster recovery. Deltag og få konkret viden og praksisnære eksempler på, hvordan I kan styrke jeres beredskab.

07. april 2025 | Læs mere


Cyberthreat Day, København: Trusler, angreb og forsvar i praksis

Stå rustet mod cybertrusler. Få et detaljeret overblik over de nyeste sårbarheder, angrebsmønstre og metoder, som cyberkriminelle anvender. Lyt til beretninger fra sikkerhedseksperter på den digitale frontlinje, og få indsigt i både succesfulde angreb og de, der blev afværget

08. april 2025 | Læs mere