Trojansk hest forfalsker links

Opachki omdirigerer links, skjuler sig og forhindrer fejlsikret tilstand, skriver Shehzad Ahmad fra DK•CERT i denne klumme fra Computerworld Online.

Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

Hvordan tjener en forbryder penge på et skadeligt program? Hvis programmet stjæler passwords, kan han overføre penge til en bankkonto.

Men det giver et problem med at få fat i pengene uden at blive opdaget.

En anden metode går ud på at snyde websteder, der anvender såkaldt affiliate-baseret annoncering.

Disse websteder betaler et lille beløb til deres partnere, hver gang partneren fører trafik hen til dem.

Partnerne er ofte søgemaskiner eller prissammenligningssteder. Hvis forbryderen driver en søgemaskine, kan han tjene penge på at føre sine ofre hen til den, hvorefter de får links til de sider, han får betaling fra.

Omskriver links

Vi har længe kendt til skadelige programmer, der omskriver koden på søgesider, så ofrene ledes hen til andre websider.

De seneste måneder er den trojanske hest Opachki dukket op. Den er ikke særlig udbredt, men den indeholder nogle interessante teknologier.

For det første nøjes den ikke med at omdirigere søgeresultater. Når Opachki er installeret på en pc, opsnapper den al kommunikation mellem kendte web-applikationer og nettet.

Hver gang den ser et link, omskriver den det. Hvor linket før førte direkte til en side, fører det nu til en søgemaskine, hvor linkteksten bliver afleveret som den tekst, der skal søges efter.

Hvis offeret så klikker på et af søgeresultaterne, får bagmanden en lille gevinst i form af betaling fra partneren.

Skjuler sig grundigt
Noget af det interessante ved Opachki er, at udvikleren har gjort meget for at skjule den.

Programmet har form af en DLL-fil, der loades ind i alle kørende processer på systemet.

DLL-filen bliver løbende ændret, så den kan være svær at genkende for antivirusprogrammer.

Da det er en trojansk hest, har den ikke selv en metode til at sprede sig med.

Den spredes sandsynligvis ved hjælp af skadelige serverprogrammer. De udnytter sårbarheder i de pc'er, som besøger deres websteder, til at installere den.

Allerede under installationen gør den sig umage for at forblive skjult. Således udpakker installationsprogrammet ikke alle filer, men kun dem, det lige i øjeblikket har brug for.

Det sletter også den såkaldte PE-header (Portable Executable) fra RAM'en, så det bliver sværere at finde og debugge koden.

Forhindrer fejlsikret tilstand
Opachki er naturligvis sat til at køre automatisk, når Windows starter. Det er gængs praksis for skadelig software.

Men desuden gør den det umuligt at slette de nøgler i registreringsdatabasen, der indeholder navnene på dens DLL-filer. Dermed kan man ikke hindre, at den starter automatisk.

Endelig fjerner den muligheden for at starte i fejlsikret tilstand.

Alle disse hindringer gør det svært for antivirusprogrammer at fjerne Opachki. Da den blev opdaget, var man henvist til at følge komplicerede opskrifter for manuelt at desinficere pc'en. På det seneste er antivirusprogrammerne dog også blevet i stand til at slette den.

Skønt Opachki ikke er særlig udbredt, er den værd at lægge mærke til. Den er et godt eksempel på de udfordringer, moderne skadelige programmer giver sikkerhedsbranchen.

 

Oprindelig offentliggjort på Computerworld Online fredag den 27. november 2009

LINKS

Sikkerhedsforsker Joe Stewarts analyse af Opachki
Analyse af Bojan Zdrnja, SANS Internet Storm Center
Denne klumme på Computerworld Online

Keywords: