Det danske sikkerhedsfirma Protego fik sig en overraskelse, da selskabets teknikere kom en større dansk virksomhed til undsætning.
Virksomheden oplevede en række symptomer på netværket, som ikke ville forsvinde, selvom alle gode våben mod sikkerhedsproblemer blev taget i brug.
Den skyldige viste sig at være et stykke spyware, som overlistede antivirus og antispyware-programmerne.
- Det kom bag på os, at programmet brugte nogle mekanismer, vi ikke havde set før. Der er virkeligt lagt kræfter i det, forklarer kommunikationschef Claus Fonnesbech fra Protego.
Skjuler sig effektivt
Spywaren Kalvxxx32.exe skjuler sig nemlig i hukommelsen på de Windows-pc'er, den inficerer.
Det gør programmet så effektivt, at Protego kun fandt et enkelt af de antivirus og antispywareprogrammer, de testede, som havde held til at fjerne spywaren fuldstændigt.
Med programmet skjult, så den eksempelvis ikke kan ses i Windows' jobliste, fjerner de fleste antivirusprogrammer blot filerne på harddisken.
Ifølge Protego undersøger processen i hukommelsen flere gange i sekundet, om filerne stadig findes. Hvis de er fjernet, genskaber programmet dem igen.
Derfor kan et af symptomerne på en infektion være, at antivirusprogrammet gentagne gange fortæller, at det har fjernet nogle filer, og truslen dermed skulle være elimineret.
Antivirus ikke nok
Det var sammen med de typiske symptomer på spyware det scenario, som it-folkene i den større danske virksomhed oplevede.
Virksomhedens antivirus formåede ikke at få bugt med problemet, som optrådte på flere af virksomhedens systemer.
- Vi havde tre mand på opgaven. Kundens antivirus-producent var også inde i billedet med rådgivning, men kunne ikke fremskaffe en løsning inden for vores tidsramme, fortæller Claus Fonnesbech.
Derfor udarbejdede Protegos folk et script, som de manuelt kunne bruge til at fjerne spywaren fra de inficerede systemer.
- Når det findes hos en stor dansk virksomhed med sikkerheden i orden, så findes det sandsynligvis også hos andre. Vi går ikke ud og advarer om det her for at råbe ulven kommer, men hvis man har symptomerne, så bør man være opmærksom på det, siger Claus Fonnesbech.
Kan åbne bagdør
Spyware-programmet Kalvxxx32.exe er ikke i sig selv en virus, men kan spredes via en række kanaler som e-mail, sikkerhedshuller i webbrowsere eller usikre hjemmesider.
Spywaren kan kapre browseren, så brugeren bliver viderestillet til sider, der downloader andre skadelige programmer. Desuden forsøger programmet at hente informationer og opdateringer fra internettet. På den måde kan programmet fungere som en bagdør.
- Vi fandt den på flere systemer. Så man bliver nødt til at gå alt efter i krogene, når spyware-programmet kan ligge skjult i hukommelsen og genskabe sig selv, hvis man sletter filerne, fortæller Claus Fonnesbech.
